本記事ではセキュリティ対策の1つである「DLP」に焦点を当てて、その概要や仕組み、従来の対策との違いについて解説していきます。併せて、DLPの導入方法や導入することのメリット、DLP製品を選ぶ際のポイントについてもご紹介します。
DLP(Data Loss Prevention)とは
DLP(Data Loss Prevention)とは、情報漏洩対策を行うセキュリティツールやシステムのことです。DLPではデータの中身を監視して情報の漏洩を防止するため、高い効果を期待できます。
具体的には、対象のデータが正規の手順を踏まずに出力や送信が行われた場合に、自動的に操作を無効にしたり、アラートを出したりすることが可能です。そのため、内部からの誤動作や、不正による情報漏洩に非常に効果的と言えます。
従来の情報漏洩対策との違い
従来の情報漏洩対策としては、ユーザーIDとパスワードを用いたユーザー認証によって、ユーザー側を監視するシステムが主流でした。ただ、従来の対策法では、正規のユーザーによる情報漏洩を防ぐことができない点や、全ての情報を監視対象とするため、運用の負荷が大きい点などが課題としてあげられていました。
一方、DLPはデータそのものを監視するため、正規のユーザーによる情報漏洩も防ぐことが可能となりました。また、監視対象を機密情報と特定した一部の情報に限定するため、従来のシステムに比べて運用の負荷を軽減できるようになりました。
IT資産管理ツールとの違い
代表的な情報漏洩対策としては、他にもIT資産管理ツールが挙げられます。IT資産管理ツールとは、PCやソフトウェア、USBメモリといった、社内のIT資産を一元管理するためのツールです。
DLPは情報漏洩の防止を目的として、データそのものを監視するのに対し、IT資産管理ツールはコンプライアンスやセキュリティの強化を目的として、IT資産とユーザーの操作を監視します。
このように、DLPとIT資産管理ツールは目的や監視対象も異なるため、両者を併用するのが望ましいと言えるでしょう。
navigate_nextIT資産管理ツールについて詳しくはコチラ
DLPの仕組みとは?
DLPは保護すべき機密情報を自動的に判別・検出をして、該当データが外部に持ち出されそうになると、アラートが出たりブロックされたりする仕組みとなっています。
DLPがデータの機密性や重要性を判別する方法としては、主に以下の2つがあります。
- キーワードと正規表現
- フィンガープリント
以下でそれぞれの方法について、解説していきます。
キーワードと正規表現
特定のキーワードや正規表現によって、データの機密性や重要性を判別する方法です。住所・氏名・電話番号やクレジットカード番号といった、特定のキーワードに対して非常に効果的で、昔から使われていた方法です。
ただし、実際に運用する際は、特定のキーワードを1つずつ登録する必要があり、非常に労力を要する点がデメリットと言えます。
フィンガープリント
フィンガープリントとは指紋のことで、データに指紋のような個別の識別符号を登録する方法です。フィンガープリントを登録しておけば、仮にデータの一部が改変されたとしても、キーワード構成や文書構造などの特徴によって、機密情報として判別することが可能です。さらに、特定のデータから派生した類似のファイルやフォルダなども判別できます。
キーワードを1つずつ登録する必要もないため、キーワードと正規表現に代わる方法として、フィンガープリントは現在多くのツールで用いられています。
DLPを構成する3つの主な要素
DLPを構成する主な要素は、以下の3つです。
- DLPエージェント
- DLPアプライアンス
- DLP サーバー
DLPエージェントはPCにインストールすることで、そのPC内に常駐してデータのやり取りを監視できます。ただし、DLPエージェントがインストールされたPC同士であれば、機密情報のやり取りができてしまう点に注意が必要です。
DLPアプライアンスはネットワークを流れるデータを監視するため、DLPエージェントをインストールしていないPCであっても、DLPの機能が利用できます。ただし、DLPアプライアンスで防止できるのは,ネットワーク上を流れる機密データに限られる点に注意が必要です。
DLP サーバーは社内にある機密データを登録することで、DLPエージェントを監視できます。「フィンガープリント」を生成するのもDLPサーバーです。
DLPのさまざまな機能
DLPの最大の機能はデータそのものを監視することですが、他にも様々な機能があります。
代表的な機能としては、社内に存在するデバイスを一元管理・制御する「デバイス制御」、閲覧リスクが高いサイトへのアクセスを制御する「WEBセキュリティ」、機密情報を含んだメールの送信をブロックする「メールセキュリティ」、サーバー内に存在する機密情報をリアルタイムで監視する「コンテンツ監視」、機密情報が含まれたデータの印刷や画面キャプチャーを制限する「印刷制限」などが挙げられます。
その他、企業が扱う情報により柔軟に対応できる製品もあり、DLPの機能は多岐にわたります。
DLP導入のメリット
DLPを導入することには、以下のようなメリットがあります。1つずつ詳しく解説していきます。
- ミスによる内部漏洩を阻止できる
- リアルタイムに情報漏洩をキャッチできる
- USBによる安全なデータ持ち出しが可能
- 運用コスト、手間が削減できる
ミスによる内部漏洩を阻止できる
DLPはデータそのものを監視するため、人為的ミスによる情報漏洩を阻止できる点が最大のメリットです。
情報漏洩は意図的な不正によるものよりも、誤操作などのヒューマンエラーによるものの方が多いというのが実情です。保護すべき情報が増えれば増えるほど、人為的ミスによる情報漏洩が発生する可能性も高まるため、DLPでの情報漏洩対策は非常に重要といえるでしょう。
リアルタイムに情報漏洩をキャッチできる
従来のログ解析などによる対策では、解析を行わないと不正や誤操作の事実を特定できず、情報漏洩の発覚がリアルタイムでないという問題点がありました。
その点、DLPでは自動で解析が行われるため、即座に情報流出の事実が発覚し、すぐに対処することが可能です。また、DLPは正規の手順以外での操作は、自動的に無効にすることもできるため、情報漏洩の未然防止にも高い効果を発揮します。
USBによる安全なデータ持ち出しが可能
USBメモリは紛失や盗難のリスクが高く、情報漏洩に繋がるとして、USBメモリの使用を禁じている企業もあります。
その点、DLPを導入していれば、情報の機密性を確認した後に、USBメモリによるデータの持ち出しを許可する運用もできます。DLPの導入によって、セキュリティ対策とUSBメモリの利便性を両立させることが可能となるでしょう。
運用コスト、手間が削減できる
網羅的な情報漏洩対策を講じるためには、社内の全ての情報を監視体制に置くのが理想ですが、運用に大きな負荷がかかるため、あまり現実的とはいえません。
その点、DLPは保護すべき情報を機密情報に限定して自動検出するため、運用のコストや手間をかけずに必要な情報を守ることが可能です。
DLPの導入方法
DLPの導入方法は多く存在しますが、本章では代表的なDLPの導入方法を3つご紹介します。
- EDLP(Enterprise Data Loss Prevention)
- IDLP(Integrated Data Loss Prevention)
- CSPDLP
EDLP(Enterprise Data Loss Prevention)
EDLPは、専用のソリューションとしてDLPが提供される方法です。ネットワークやクラウド、ユーザーアクセスなど、企業の課題に沿って、幅広い箇所にDLPを導入することができます。専用のソリューションゆえに、柔軟なカスタマイズができる点も特徴です。
ただし、そのぶんコストが高く、導入には予算管理も含めて慎重な検討が必要でしょう。
IDLP(Integrated Data Loss Prevention)
IDLPとは、特定のセキュリティ対策製品としてDLPが提供される方法です。Eメールに特化したDLPや、エンドポイントセキュリティ製品(PCやサーバーなどの末端機器をサイバー攻撃から守る製品) に特化したDLPなど、機能する範囲が限定的になる点が特徴です。
機能を限定するぶんコストを抑えられますが、導入前に自社の課題を明確にしておかないと、十分な効果を得られない可能性があるため、その点に注意が必要でしょう。
CSPDLP( CSP-Native Data Loss Prevention)
CSPDLPとは、クラウドサービスとしてDLPが提供される方法です。企業がクラウド上で保護している情報が対象となり、EDLP並みの機能性や柔軟性を有している点が特徴です。
導入も比較的簡単で、企業の実態に合わせて利用プランを選べるため、予算管理も含めて導入のハードルが高くない点が魅力といえるでしょう。
DLP製品を選ぶポイント
DLP製品には様々な種類があり、製品ごとに特徴が異なるため、自社の実態やニーズに合わせて慎重に選択する必要があるでしょう。
そこで本章では、DLP製品を選ぶポイントをご紹介します。具体的には、以下のようなものがあげられます。
- 対応しているOS
- 必要なメモリ量
- サポート体制の充実
- 機能の豊富さ
- 効果に見合うコスト
対応しているOS
DLP製品を選ぶ際は、対応しているOSは必ず確認しましょう。というのも、自社で利用しているOSとDLP製品の相性が合わないと、PCの動作が不安定になるリスクがあるからです。
そのため、複数のOSに対応できるDLP製品がおすすめと言えます。ただし、複数のOSに対応できる製品は、初期費用やランニングコストが高くなりやすいため、注意が必要です。
navigate_next「Acronis DeviceLock 9」は最新Windows及びmacOSに対応!詳しくはこちら
必要なメモリ量
DLP製品を選ぶ際は、必要なメモリ量も確認しましょう。必要なメモリ量が大きければ大きいほどサーバーへの負荷が大きくなり、他の機能に影響が出る可能性もあります。
そのため、あらかじめ導入可能なメモリ量を見極めておくのはもちろんのこと、不要なデータは削除するなど、定期的なメンテナンスも必要となるでしょう。
サポート体制の充実
DLP製品を選ぶ際は、サポート体制にも着目しましょう。サポート体制が整っていないと、実際にセキュリティインシデントが発生した時や、システムトラブルが起きた時に対処が遅れてしまう可能性があります。
特に、これから本格的にセキュリティ対策を始める企業や、セキュリティ分野に強い人材が不足している企業は、サポート体制の内容は非常に重要と言えるでしょう。
機能の種類
DLP製品を選ぶ際は、機能の種類も重要です。DLP製品には、デバイス機器制御・VPN接続の制限・ファイル自動暗号化・ワークフロー・安全なUSBデータの作成など、複数のセキュリティ機能が搭載されているのが一般的です。
強化している機能はベンダーによって異なるため、自社の実態に合わせて必要な機能を見極める必要があります。
効果に見合うコスト
DLP製品を選ぶ際は、費用対効果の観点も必要です。高性能の製品は当然ながらコストも高いため、それに見合う効果を得られるかどうかの検討が必須といえるでしょう。
オンプレミスの製品は、初期費用が大きいものの、買い切りのためその後の追加コストは基本的に発生しません。一方、クラウド型の製品はランニングコストが発生するものの、初期費用は抑えられます。また、機能の強化が後から行いやすく、カバー範囲も広めというメリットもあります。
初期費用を抑えつつ、企業の実態に合わせたセキュリティ体制を構築したいのであれば、利用プランを選べるCSPDLPがおすすめです。
情報セキュリティの強化は、経営の最優先事項
近年は、企業の情報漏洩に関するニュースが後を絶ちません。万が一情報漏洩が発生した場合には、顧客や取引先から損害賠償を請求されるリスクだけでなく、社会的信用が大きく低下するリスクも含んでいます。
そのため、今や情報セキュリティの強化は、経営の最優先事項になりつつあります。人為的ミスによる情報漏洩を阻止できるDLPは、今後さらに重要性が増していくでしょう。
ラネクシーのデバイス制御・DLPソリューション
出来るだけシンプルに重要データの持ち出しを防ぐ
RunDX(ランディーエックス)
RunDX(ランディーエックス)は、会社や組織内のPCにおいてUSBメモリなど、様々な外部デバイスの利用を制限し、データの不正な持ち出しを防止するセキュリティソフトウエアです。
navigate_next
詳細はこちら
国内5800社、40万台の導入実績のデバイス制御ソフト!
DeviceLock(デバイスロック)
実績豊富なDLPソリューションとして、外部デバイス制御パッケージの分野でシェアNo.1(※)のツールです。
- ミック経済研究所「サイバーセキュリティソリューション市場の現状と将来展望2019 データ保護編」より
navigate_next
詳細はこちら
デバイス制御・PC操作ログ管理を実現
MylogStar(マイログスター)
PC1台から大規模案件までのデバイス制御とPC操作ログの管理を実現可能できます。
内部不正による情報漏洩を「抑止」から「持出制御」「原因追及」までサポートします。
navigate_next
詳細はこちら