近年、企業では顧客の個人情報やマイナンバーなどを含む社員の情報、社外秘の情報など、多くの情報を持つようになり、それに伴い、サイバー攻撃の脅威への対応策を求められることが多くなりました。
本日は、脅威へのセキュリティ対応の中でも、「データそのもの」に着目して情報を守る仕組みであるDLP(Data Loss Prevention)について、概要や仕組み、メリットとあわせて、導入時のポイントについて解説します。
DLPとは何か?
DLP とは「 Data Loss Prevention 」を略で、企業が保有するデータなどの消失や情報漏えいを防ぐことを目的としたセキュリティツールです。
いままでも情報漏えいの防止を目的としたセキュリティツールはありましたが、DLPは従来のセキュリティツールとは異なり、データそのものを監視し、不審な動きがあった場合は、アラート通知を出して、自動的にブロックすることができます。
また、監視対象のデータに関しても、指定した特定データのみを監視対象することができるため、不要なログやアラートを減らすことができ、運用負荷を大きく軽減することができます。
DLPの仕組みと機能
では次に、DLPではどのようにしてデータを監視し保護しているのか、その仕組みと機能について説明します。
DLPの仕組み
DLPの情報保護の仕組みは、大きく「機密情報の検出する」、「検出された機密情報を監視・保護する」の機能から成り立っています。
- 機密情報の検出
機密情報の検出では「キーワードや正規表現の指定」、「フィンガープリント」という2つの方法のいずれかを利用して重要なデータか否かを判定し、判定の結果、重要とされた場合、そのデータの監視・保護を行います。 - 機密情報の監視・保護機能
重要と判定したデータを監視、保護に入ります。機密情報が持ち出せないように重要データの送信や書き込みの禁止、暗号化などの機能でデータの保護を行います。
そして、監視を行い、万が一、機密情報が持ち出せれそうになった場合はアラートを飛ばし管理者へお知らせをします。
DLPの判定方法と機能
判定方法
- キーワードや正規表現
特定キーワードや、正規表現によって指定したキーワードに該当するデータを判別する方法です。昔から利用されており、「住所」「電話番号」「クレジットカード番号」等、特定のキーワードに対しては効果を発揮します。
しかし、特定キーワードの種類は多く、登録に手間がかかる点がデメリットとなるため、実際では、フィンガープリントと併用されるケースが多いです。 - フィンガープリント
フィンガープリントは「指紋」を指しており、「データの指紋」を登録することで、関連データを含めたデータ判別を可能にする方法です。特定文書データのフィンガープリントを登録すれば、文書データの一部を改変してた場合でも、キーワード構成や文書構造などの特徴によってデータを判別し、データの中身の類似性から、機密データかどうかを判別します。
以上のことから、特定のデータから派生した類似のファイルやフォルダなども判別でき、登録や管理の手間を省きながら判別の精度を高めることが可能となります。
機能
- デバイス制御機能
社内にあるデバイスを一元管理し、利用を制御することで様々な脅威からデバイスを守ります。
また、デバイス単位で USB メモリの使用を許可するなど、現場に即した運用ができるため、生産性向上にも寄与します。 - コピー制限機能
各種ファイルのコピーはもちろん、プリントや画面キャプチャも制限、外部メディアへの持ち出しも禁止する機能です。 - webセキュリティ機能
閲覧ポリシーに違反する危険なサイトへのアクセスを制限でき、ウイルス感染や情報漏洩のリスクを低減できる機能です。ユーザーごとに権限を設定できるため、現場の状況に合わせた柔軟な運用が行えます。 - コンテンツ監視機能
サーバー内に存在する機密情報をリアルタイムに監視し、異常を検知した場合は即座にアラートを通知します。 - メールセキュリティ機能
機密情報を含んだメールの送信を強制的に禁止できる機能で、脅威を防ぎながらメールを安全に利用することが可能になります。 - レポート機能
監査資料や分析資料として活用することができるレポート機能となります。資料作成の手間が削減できるため、有事の際に、経営層へのスムーズな報告が可能となります。
DLPのメリット
- 未然にセキュリティ事故の防止できる
未然に情報漏洩などのセキュリティ事故を防止できる点がDLPのメリットとなります。従来のセキュリティ対策では、実際に情報漏洩が発生した後にしか検知できませんでしたが、 DLP はデータそのものを監視するため、異常をリアルタイムに検知し、情報漏洩のリスクを未然に防ぐことができます。 - 人の誤操作などによる情報漏洩の防止
従来のセキュリティ対策における監視対象はユーザーであるため、メールの誤送信や添付ファイルの間違いなどといった、正規社員の行動に起因した情報漏洩を防ぐことは困難でした。
DLPではデータそのものが監視対象となっているため、ユーザー属性に関わらずデータの異常を検知することが可能で、異常検知の際はアラート通知や操作ブロックなどの措置で、ヒューマンエラーによる情報漏洩を防ぐことができます。 - 重要データのみを保護対象にできる
企業が扱うデータ量は多いため、すべてを監視するには大きな運用負荷が発生します。 DLPでは特定の機密情報を事前にシステムへ登録することで、そのデータのみを限定的に保護することが可能なため、運用負荷を軽減することができます。
DLP サービスと導入時のポイント
DLPの3つのサービス
DLPは「エンドポイント型」、「ネットワーク型」、「サーバー型」の3種類があり、それぞれ特徴があるため、自社の要件と照らし合わせて最適なサービスを選択する必要があります。
- エンドポイント型
エンドポイント型は各個人のパソコンにインストールすることで、リアルタイムに機密情報の転送やコピーを監視することができる製品です。利用者が誤って機密情報の入ったファイルをメールで送ったり、USBメモリにコピーしたりすると警告メッセージが表示されます。
また、PCのハードディスクの内容を暗号化し、悪意をもった第三者が容易に端末内のデータを悪用できないようにします。 - ネットワーク型
ネットワーク型はネットワークの境目に配置する導入方法が主流で、主に外部ネットワークとLANの接続ポイントで不正なアクセスやデータがないかを監視します。
また、エンドポイント型に対応していないOSのパソコンでもDLPを利用できます。 - サーバー型
社内にある機密データをサーバー上に登録します。登録すると、サーバ上で機密データの「フィンガープリント」を生成し、機密情報を特定できたりします。
DLPツールの導入時の3つのポイント
- 導入目的の明確化
DLPをはじめ、セキュリティツール導入において、セキュリティポリシーの設定で失敗している企業は少なくありません。セキュリティを低いレベルで設定すると効果を得られないが、一方で厳格にしすぎると業務に支障がでてきます。なので、自社の状況を鑑みてどのレベル・どんな目的で導入するのかを明確にすることが重要となります。 - 段階的な導入
DLPをはじめ、セキュリティツール導入において、セキュリティポリシーの設定で失敗している企業は少なくありません。セキュリティを低いレベルで設定すると効果を得られないが、一方で厳格にしすぎると業務に支障がでてきます。なので、自社の状況を鑑みてどのレベル・どんな目的で導入するのかを明確にすることが重要となります。
目的を明確化できない、もしくは明確化できたとしてもそれが妥当か否か判断するのが難しいケースがあります。そのような場合は広範囲にいきなり導入するのではなく、導入範囲を細かく区切り導入していくことが重要です。 - テンプレートの活用
セキュリティポリシーを一から設定するのは大変なため、DLP製品の多くはテンプレートを用意しています。このテンプレートを有効活用し作業を効率化することがポイントとなります。
最後に
本記事では、自社のセキュリティを高めるための DLP に関して、概要、機能、メリット、導入時のポイントに関して紹介しました。
サイバー攻撃の脅威が増している中、自社の貴重なデータを守るためには DLP が有効な手段になります。
また、サイバー攻撃だけでなく、ヒューマンエラーによる情報漏洩の防止や情報管理における工数削減など、多くのメリットを享受できます。
本記事がDLP サービスの導入の手助けになると幸いです。
また、他のセキュリティ関連の記事ならびに、情シスのキャリアなどIT技術以外の記事もありますので、もしご興味あればご参照ください。
セキュリティ関連記事
https://digital-jyoshisu.com/archives/category/セキュリティ
