DLPとは？仕組みとセキュリティ対策

DLP（data loss prevention）とは、ネットワーク管理者がユーザーの転送できるデータを制御し、機密または重要な情報を企業ネットワークの外部に漏洩しないようにするソフトウェアを指します。DLP製品は、ビジネスルールを使用して機密および重要情報を分類し保護することで、不正なユーザーが誤ってまたは意図的にデータを漏洩させ、組織をリスクにさらすことがないようにします。例えば、従業員が企業ドメインの外部にビジネスメールを転送しようとしたり、Dropboxのような消費者向けクラウドストレージサービスに企業ファイルをアップロードしようとしたりした場合、その行為が拒否されます。

組織は、内部脅威と厳格なデータプライバシー法のためにDLPを採用しています。これらの法律の多くには、厳格なデータ保護またはデータアクセス要件が含まれています。エンドポイント活動の監視と制御に加えて、一部のDLPツールは企業ネットワーク上のデータストリームをフィルタリングし、転送中データを保護するためにも使用できます。

DLP の展開は次のように行います。

• データに優先順位をつける
  すべてのデータが同じように重要なわけではありません。重要なデータの定義は組織により異なります。そこで、まず、データが窃盗された場合に最も深刻な被害となるデータを特定します。DLP 対策は、このように攻撃の標的となる可能性の高い、最重要の機密情報から着手します。
• データを分類する
  コンテキストによるデータ分類は、シンプルで拡張可能なアプローチです。ソース アプリケーションやデータ ストア、データを作成したユーザーに結びつけて分類を行います。一貫した分類タグをデータに適用して、データの利用を追跡できるようにします。コンテンツの検査も便利な機能です。社会保障番号、クレジットカード番号またはキーボード入力 (例えば「機密」) などのよくある表現からデータの検査を行います。コンテンツの検査は、PCI、PII などの基準に対応する事前に定義されたルールを適用することもできます。
• リスクが高い場面を把握する
  ユーザーのデバイスに送信されたデータと、パートナー、顧客、サプライチェーンとの間で共有されたデータでは、リスクが異なりますが、いずれのケースでもリスクが最も高くなるのは、データがエンドポイント上で利用される場面です。例えば、 データが E メールに添付されたり 、リムーバブル ストレージ デバイスに移管された場合にリスクは高まります。DLP プログラムは、データの移動やデータ リスクが高い場面に対応できることが重要です。
• 送受信中のデータを監視する
  データの利用方法を把握して、データ リスクを高めるような振る舞いを特定します。送受信中のデータを監視して機密データに何が起きているのかを可視化し、DLP 戦略で対応すべき問題の範囲を見極める必要があります。
• コミュニケーションを図り、コントロールを策定する
  次に、事業部のマネージャーと協力して、リスクの発生原因を解明し、リスク低減に向けて採るべきコントロールを定めます。DLP プログラムの開始当初は、データ利用のコントロールは比較的簡易なものとなり、多くの事業部のマネージャーがリスクが高いと考える共通の振る舞いに焦点を当てます。プログラムの成熟度が増すと、よりきめの細かい、状況に応じたコントロールを定めて具体的なリスクに対応することができるようになります。
• ユーザー トレーニングと継続的なガイダンスを提供する
  データの移動が把握できるようになれば、ユーザー トレーニングを実施することで、内部関係者の不注意によるデータ漏洩のリスクを低減することができます。一般的にユーザーは自分の行動がデータ漏洩につながるとは考えていません。このため、トレーニングを受ければその行動は改善されます。高度な DLP ソリューションでは、企業ポリシーに違反する可能性のあるデータ利用やリスクを高めるようなデータ利用について通知するユーザー プロンプトを提供しています。これは、リスクの高いデータ アクティビティを全面的にブロックする機能に追加的に提供されます。
• 展開する
  こうした作業を、データの範囲を広げながら、またはデータの特定や分類を拡大しながら繰り返して、組織に合ったデータ コントロールを展開していきます。DLP では、当初は最重要データのセキュリティに注力することで、実施も管理もシンプルに始めます。パイロット プログラムとして始めることで、プログラムを拡張させるオプションも得ることができます。その後、対象となる機密情報の範囲を徐々に拡大させていけば、事業プロセスへの影響も最小限に抑えられます。

2020年以降、データ侵害が47%増加

一般的な誤解として、データ損失は主に悪意のある攻撃者から発生すると思われがちです。外部からの侵害は依然として全データ侵害の半分以上を占めていますが、内部からのデータ侵害も増加しており、全データ侵害のほぼ半分を占めています。多くのデータ侵害は外部の者からではなく、不注意または不満を持つ従業員から発生しています。

リモートワークフォースがある場合のDLPはより難しいと、ITリーダーの84%が見解

在宅勤務のスタッフが増えるにつれて、管理者は個人のデバイスやクラウドに保存されたデータを保護するという追加の課題に直面しています。企業が管理するデバイス内でデータを保持することに、リモートワークはさらなるリスクを追加するため、DLPをより困難にします。

全てのデータ侵害の60%から70%が公開を要する

この統計は、どの企業の評判にも害を及ぼす可能性があります。インテルによって行われた研究によると、中小企業で発生したデータ損失事件の70%が公開を要するか、または財務に悪影響を与えました。

DLPソリューションは、コンテンツのコンテキストに基づいてデータを分析すること、および文字列マッチングに基づいてコンテンツを分析することの2つの方法で機能します。言語を分析するのと同様に、単語はコンテキストに基づいて意味を持ちます。DLPソリューションは、単語に基づいて攻撃をフィルタリングすることができますが、コミュニケーションに組み込まれた方法や形式に基づいてこれらの単語を理解する必要もあります。この技術は、特にメールのサイバーセキュリティやDLPにおいて重要です。

DLPソリューションは、以下の戦略を使用して機能します。

• 正規表現マッチング：DLPソリューションは、メール内の16桁のクレジットカード番号や9桁の電話番号などの特定のデータ条件に合わせて、コミュニケーションに機密データが含まれているかを判定します。
• 構造化データのフィンガープリント：データベースに保存されたデータは、特定の機密データについて分析され、適切に保護されているかどうかを判断します。
• ファイルチェックサム分析：ハッシュアルゴリズムを使用してファイルデータのハッシュを出力し、ファイルが保存された時点でのこれらを比較することにより、ファイル内容が変更されたかどうかを判断します。
• 部分一致データマッチング：この戦略を使用して、DLPソリューションは、複数の人々によって記入されたフォームやテンプレートなど、いくつかのデータに対する整合を実行します。
• レキシコンマッチ：辞書の用語やその他のルールベースの整合を使用して、非構造化データを分析し、機密情報を検出します。
• 統計分析：機械学習と高度な方法を使用して、DLPソリューションは他の方法では見つけることができないより曖昧な機密情報を検出します。
• カテゴリー化：データをカテゴリー化することにより、DLPソリューションはデータが高度に機密であり、コンプライアンス規制に違反しているかどうかを判断できます。

データ侵害のコストは、事例ごとに平均で425万ドルに達しますが、ブランド名への長期的な損害は今後数年にわたって収益に影響を及ぼす可能性があります。ビジネスは11秒ごとにサイバー攻撃の犠牲になり、この理由からDLPソリューションは以前よりも重要になっています。管理者が多くのリスクから環境を守るのは困難です。そのため、DLPソリューションは潜在的な攻撃やその他の異常を検出します。

選択するDLPソリューションは、リスクを軽減する戦略とともに機能します。リスクを100％減らすことは決してできないため、DLPソリューションはサイバーセキュリティの防御を回避する洗練された攻撃を検出します。またDLPは、組織が規制違反に対する重い罰金を避けるために、環境をコンプライアンス準拠している状態に保ちます。

DLPソリューションは、単独では解決できない現在のサイバーセキュリティとコンプライアンスの課題を多く解決します。管理者は常に最新の脅威を追い、それらを検出して停止する適切な解決策を見つけるために奮闘しています。DLPが必要な理由は以下のとおりです。

• コンプライアンス：複数のコンプライアンス規制は、モニタリングとデータ保護を要求しています。あなたの組織がHIPAA、PCI-DSS、GDPR、または他のコンプライアンス基準に従わなければならない場合、DLPソリューションは組織がガイドライン内に留まるのを助けます。
• 知的財産の保護：組織がドキュメントファイルに知的財産を保存することは珍しくありません。DLPは攻撃者がアクセスして企業秘密を盗むのを防ぎます。
• データへの可視性：保存中と転送中の両方のデータを追跡することはコンプライアンス要件であり、組織がエンドポイント全体に保存されているデータの種類を理解するのに役立ちます。

攻撃者がデータを盗む方法が数多くあるため、適切なDLPソリューションには、データが漏洩する可能性のある多くの方法をカバーする検出ソリューションが含まれています。DLPソリューションには以下が含まれます。

• メール：受信および送信メッセージを検出することで、フィッシングやソーシャルエンジニアリングからあなたのビジネスを保護します。
• エンドポイント管理：データを保存しているすべてのデバイスのため、エンドポイントDLPソリューションはデバイスがネットワークに接続されている状態だけでなくオフラインの状態でもデータを監視します。
• ネットワーク：ネットワーク上で転送中データは監視されるべきであり、管理者はいかなる異常にも気づくことができるようにするべきです。
• クラウド：より多くの従業員が在宅勤務をする中、管理者はクラウドを利用して在宅スタッフにサービスを提供します。クラウドDLPソリューションは、クラウドに保存されたデータが監視され、保護されていることを確実にします。

サイバーセキュリティの状況が変化するにつれて、組織は最新のトレンドに追いつく必要があります。セキュリティのトレンドを追跡することは難しいかもしれませんが、DLPソリューションは組織のコンプライアンス準拠を守り、効果的な監視で正しい方向に保つことができます。DLPの導入は以下の理由で引き続き増加しています。

• CISOの役割：組織は、しばしばDLPソリューションの採用を提案する最高情報セキュリティ責任者（CISO）の重要性を認識しています。
• コンプライアンス規制：サイバーセキュリティの風景が変化するにつれて、データを保護するための基準も変わります。そして、DLPソリューションは、データ保護を基準に合わせるために採用されます。
• 追加のエンドポイント：クラウドとユーザーデバイス上のデータは環境にリスクを追加しますが、DLPソリューションはクラウドおよび内部を通じて潜在的に数千に及ぶエンドポイントを監視し、データが保護されていることを確認します。

他の統合と同様に、DLPの導入には高額なミスやダウンタイムを避けるための正しい戦略が必要です。DLPソリューションを導入する前に、次のいくつかのポイントを考慮してください。

• ビジネス要件の定義：ソリューションを導入する前に、導入戦略の背後にあるビジネス要件を定義するべきです。ビジネス要件は、よりスムーズな導入プロセスを作り出す計画の開始を助けます。
• セキュリティ要件の定義：コンプライアンスおよびその他のサイバーセキュリティ基準も、DLPソリューションがどのように導入されるかを定義します。これらの基準を使用して、データがどのように監視され、保護されるべきかを決定します。
• インフラの監査：データがどこに保存され、どこに転送されるかを知る必要があります。DLPソリューションは保存中および転送中のデータを保護するので、この計画段階ではエンドポイントとデータ保存ポイントを発見します。
• 責任の決定：導入にはITスタッフの各メンバーが関与する必要があります。これにより、彼らは変更を理解し、顧客の質問をサポートできるようになります。また、バグの修正にも役立ちます。
• 文書でのコミュニケーション：環境の変更と、従うべき手順に関する文書を作成します。文書化により、スタッフが環境の何が変更されたのかを知らない場合のミスや、またDLPのデータ監視方法を知らない場合のミスを避けることができます。

DLPプロバイダーを選択する際には、効率的な追跡、検出、および修正に必要なツールと技術を持つ製品を見つける必要があります。適切なベンダーを見つけるために、次の質問をしてください。

• ベンダーは、システムにインストールされているオペレーティングシステムをサポートしていますか？
• 彼らはダウンタイムを減らすために必要な導入オプションを持っていますか？
• プロバイダーは内部および外部の脅威を阻止しますか？
• データの分類はプロバイダーによって行われますか、それともユーザーが文書を分類しますか？
• あなたのデータは主に構造化されていますか、それともされていませんか？
• 保存中および転送中のデータの保護が必要ですか？
• ベンダーがサポートするコンプライアンス規制は何ですか？
• DLPソリューションが統合する必要がある技術は何ですか？
• DLP導入のタイムラインはどのようなものですか？
• DLP統合をサポートするために追加のスタッフを雇う必要がありますか？

ProofpointのEmail DLPは、メールおよび添付ファイルの統合データ保護を提供します。これは、偶発的な情報漏洩を止め、メール経由での第三者攻撃者またはなりすまし攻撃を防ぐために設計されています。ProofpointのData DiscoverやEmail Encryptionなど、他の情報保護スイート製品と併用することができます。

フルスイートのDLPツールには4つの要素があります。それは、中央管理サーバー、ネットワーク監視、ストレージDLP、およびエンドポイントDLPです。小規模な展開では、エンドポイントエージェントを除くすべてが単一のサーバーまたはアプライアンスに統合されることがあります。より大きな展開では、インフラの異なる要素をカバーするために、複数の分散部分が含まれることがあります。

このツールを使用すると、組織は常に自社のプライベートまたは専有データがどこに存在するかを知ることができます。これには、知的財産、個人識別情報、患者情報、財務情報などが含まれます。DLPは検出を簡素化し、組織が迅速にデータを評価するのを助けるので、任意の問題に対応することができます。ProofpointのDLPソリューションに含まれるContent Controlは、以下を支援します。

• 企業内のどこにあっても、機密データを簡単に特定します。簡素化された発見プロセスにより、ISおよびITチームは、複雑なDLPソリューションを扱ったり、すべてをロックダウンするアプローチを使用したりすることなく、問題を認識することができます。
• 過去のデータを評価し、新しいデータが作成されると同時に評価されることを保証します。不適切な素材によって悪影響を受けることを避けるために、違反を隔離、移動、または削除します。例えば、企業コンテンツがDropboxの同期フォルダー内で発見された場合、ユーザーは自動的に警告され、データはITセキュリティチームの公認リポジトリに移動されます。
• メタデータおよびファイル内の全文を評価します。これにより、ITセキュリティ部門は、クレジットカード、個人識別情報、ライセンス番号、医療情報などを特定できます。このプロセスは、ユーザーに生産性やワークフローを妨げることなく、職場でのデータ管理とセキュリティのベストプラクティスを提供します。