不正行為や誤操作による情報漏えいを防ぎたいITセキュリティ担当者へ。機密や個人情報などのデータ自体を監視して流出を防ぐセキュリティシステムDLPでできること・比較ポイントとともにおすすめのサービスを紹介します。
DLPとは、機密的に重要だと認定されたデータを監視することで、情報漏えい対策を行うセキュリティシステムです。
従来のセキュリティシステムとの違いは、監視対象となる情報の範囲です。従来はすべての情報を監視対象としていたのに対し、DLPでは重要機密データを監視対象とし、対象のデータが持ち出されたりコピーされたりした場合にのみ、アラートや操作のキャンセルなどといった防衛を行います。
対象データを絞るメリットは、主に次の二点。ID/パスワードによる管理では不正アクセスや操作ミスを防げない、監視対象となるデータの量が増えるほど管理や運用の手間・コストが増えてしまう、といった従来のセキュリティシステムの課題を解決できることです。
また、データそのもの・データの所在を監視対象とするDLPなら、故意・過失問わず正規ユーザーによる流出に対応できます。重要な機密情報に限った対応のため、膨大なデータを対象とする必要もありません。
また、機密データ以外の利用を制限しないため、作業効率の観点からもメリットがあるといえます。
DLP製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
従来のセキュリティシステムと異なる、DLPの特徴的な機能を含めて詳しく解説していきます。
DLPでは2つの方法で重要データの判別を行います。「①キーワード・正規表現による判別」と「②フィンガープリントによる判別」です。
「①キーワードや正規表現による判別」とは、事前に登録したキーワードなどから、監視対象を識別する方法。氏名、住所、クレジットカードなど特定のキーワードで判別したい場合に有効です。
一方、「②フィンガープリントによる判別」では、「文章のフィンガープリント(指紋)」によって文書などの改ざんの有無を確認します。事前にフィンガープリントをDLPシステムに登録しておくと、キーワードや文書構造などから改ざんを検知できるようになります。たとえば文書の一部を書き換えても、登録したキーワードや文書構造の特徴から機密情報を判別できる仕組みです。
特定した機密情報や重要なデータを常に監視・保護する機能です。重要と判別されたデータであれば、データの種類(氏名・住所・クレジットカード番号など)やファイルの種類(Word・Excel・PowerPointなど)は問いません。
機密情報が持ち出されそうなときにアラート通知をするほか、送信や書き込み・改ざんの禁止、データの暗号化などの機能を備えています。
USBや周辺機器ポートを制御する機能。ポリシーに違反するリムーバブルデバイスの使用制御や、デバイスのロックダウンといった操作ができます。中には、管理ベンダーIDやシリアル番号に基づいたきめ細かな制御ができる製品も。
USBなどのリムーバブルメディアに暗号化エリアを生成する機能。持ち出しデータの暗号化が自動で行われるので、業務効率を下げることなくデータを保護できます。
米国民事訴訟において、電子証拠を特定・提供する制度「eDiscovery」に対応するための機能。クライアントPCから、法的調査に必要な機密データを検出・保護します。また、コンプライアンスに違反したデータを検出し、暗号化や削除できる製品も。
DLP製品は、主に以下の3つのタイプに分けられます。
PCやサーバーなどの機器や社内サーバー、利用中のIaaSを含めた社内リソース全体を幅広く監視したい場合に適したタイプ。エンドポイントとなる利用機器にエージェントをインストールしたうえで、監視用のサーバーを設置し、社内ネットワークを通過するデータを監視します。
たとえば、「Symantec Data Loss Prevention」は、エンドポイントでコピーや印刷などをブロック・警告する機能に加えて、公開領域にある保護すべき機密情報を安全な場所に隔離・コピーするストレージ向け監視機能や、メール・Web・FTPなどの通信内の機密情報を見つけ出して警告・ブロック・機密データ消去を行うネットワーク監視機能などを搭載しています。
エンドポイントとなるPCなどの端末機器に「エージェント」と呼ばれるソフトウェアをインストールして、エンドポイント側でデータのやりとりを監視するタイプ。機密情報をメールに添付したり、USBへコピーしたりすると、アラート通知を行います。
エンドポイント型の場合、自社で利用中の端末機器のOSに対応している必要があります。たとえば、「Endpoint Protector」では、Windowsだけでなく、MacやLinuxなど、マルチOS対応。複数OSの端末機器を使用している組織での導入に適しています。
インターネットと社内利用機器間の全通信が通過するファイアウォールに、DLP機能が搭載されているタイプ。利用機器ごとにエージェントインストールをする手間がなく、導入しやすいのが特徴です。たとえば、「Quantum Security Gateway」は、DLP以外にファイアウォールやマルウェア対策など多様な機能を備え、1台で多層防御を実現します。
ただし、ファイアウォールを通過しない通信(PCか社内回線以外を使ったネット通信など)は監視できません。
DLP製品を選ぶ際、何を基準に選べばいいのか、比較ポイントを3つ紹介します。
一言でデータ漏えいといっても、誤送信、データを保存した端末の紛失、不正アクセスなど、その原因は様々です。DLP製品を選ぶ際には、どのような検出方法を採用しているのか、自社に必要な範囲をカバーしているのか確認しておきましょう。
たとえば「Acronis DeviceLock DLP」のように、スクリーンショットのブロックやOCRによる画像内テキストの抽出・フィルタリング、印刷の監視・制御ができる製品もあります。
DLPは監視対象となる重要データが流出や改ざんなどの危険にさらされた場合に、検知・防止するシステムです。そのため、何を重要データとみなして監視・検出対象とするのか、指定しておく必要がありますが、監視・検出対象を設定するには時間と労力がかかります。
そこで、事前に定義された識別子があれば、設定の手間を軽減できます。たとえば、「Netskope」では3,000種類以上のデータ識別子が用意されています。
また「Symantec Data Loss Prevention」も、データ識別子があらかじめ用意されているシステム。口座番号、運転免許証番号、パスポート番号といった個人識別データの識別子が用意されている点が特徴的です。
USBメモリや外付けHDDからの情報流出を防ぐためには、アクセス可否などの接続制御をしなくてはいけません。たとえば、未登録の機器からのアクセスを遮断・記録する、読み取り専用にして持ち出せないようにする、といった方法が挙げられます。
業務上、外部機器の利用が避けられない場合は、個別設定や管理者承認などの機能を備えたシステムを選ぶのがおすすめです。
(出所:Symantec Data Loss Prevention公式Webサイト)
マイナンバーにも対応している全体監視型のDLP。重要情報の検出・監視・保護のほか、インシデント傾向分析や改善検討の促進にも対応している。社内のネットワークやデバイスに散在している情報のどこに重要情報があるか把握できていなくても、あらかじめ定義した条件に基づいた特定が可能。外部デバイスへの書き出しやメール送信といった漏えいリスクのある操作が行われると、警告やブロックによって情報を保護する。
また、新規作成ファイルに重要情報が含まれているか否かの判定が自動で行われる。社員の知識やスキルにも依存せず、全社統一のセキュリティポリシーで運用できるので、属人化の防止にも役立つ。
(出所:Netskope Data Loss Prevention公式Webサイト)
法人クラウドサービスのセキュリティをまるごと任せられる統合プラットフォーム。様々なクラウドサービスや利用状況に対応する、幅広い機能を備えているのが特徴。ひとつのプラットフォームで可視化から制御、保護・防御までを一気通貫で行える。
たとえば、クラウドサービスにアップロードするファイルに個人情報などの重要情報が含まれている場合には、アップロードをブロック、またはアップロード許可制にするといった対策が可能。また、重要情報が含まれている場合には、個人メールアドレスへの添付ファイル付きメールの送信を禁止できる。
(出所:Proofpoint Enterprise DLP公式Webサイト)
「人」に焦点を当てたセキュリティ環境を構築し、内部脅威から組織を守るDLP。コンテンツの判別に加え、ユーザーの行動認識と脅威の遠隔測定によってリスクを洗い出し。アラートの原因が、外部からの侵害なのか、悪意あるユーザーの行動なのか、または単なる不注意であるのかを見分けられる。人に起因するデータ損失のあらゆるシナリオに対応できるので、アラート対応の優先順位付けと素早く適切な対応が可能に。
調査や対応にかかる時間を短縮できるので、より迅速な意思決定に役立つ。監視リソースの合理的・効率的な振り分け、早期の適切な対応を実現する。
(出所:Microsoft Purview公式Webサイト)
オンプレミス、マルチクラウド、SaaSを対象とした統合データガバナンスソリューション。データの検出、機密データの分類、エンドツーエンドのデータ系列の自動化により、データ資産全体の最新の統合マップを自動で作成する。更に、データにラベルをつけて分類できるなど、データ管理を効率化する機能を豊富に備えている。
必要な時に、社内エンジニアやアナリスト、データサイエンティストに適切なデータを渡せるので、リアルタイムでのアクセスによりスムーズなデータ共有が可能に。また、様々なAzureサービスと連携してセキュリティレベルを高められる、Microsoft製品ならではの強みも持っている。
(出所:Forcepoint ONE Data Security公式Webサイト)
企業全体の機密データを保護するための包括的なセキュリティプラットフォーム。幅広いデータ保護機能やレポート作成、分析、リアルタイムでのインシデント修復機能など機能が充実しており、エンドポイント対策とポリシー導入の簡素化が期待できる。
また、リスクの高い行動をしたユーザーを検知し、新たな脅威を防ぐための自動制限昨日や、送信メールからデータが盗難されないよう保護する機能が備わっている。単一プラットフォームだけでなく、メールやWeb、クラウドなど複数のプラットフォームのデータ保護を簡易的に実施したい場合に役立つ。
(出所:EXOセキュリティ公式Webサイト)
セキュリティ対策と情報漏えい対策が行えるエンドポイントセキュリティシステム。ITに不慣れでも簡単に使いこなせる操作性が特徴で、情報システム専任者がいない企業でも安心して導入できる。直感的に操作できるユーザーフレンドリーな管理画面ながら、マルウェア・ランサムウェア両方への対策と情報漏えい対策のための機能を豊富に搭載。ウイルスや悪意あるプログラムの侵入を防ぐことができるほか、リムーバブルメディアやWebサイトなどを通じたファイルの持ち立ちを遮断する。重要情報の流出を防ぎたいが、ITの専門人材がいない企業におすすめ。
(出所:Acronis DeviceLock DLP公式Webサイト)
USBポートやCD/DVDドライブなどの外部デバイス制御と、ファイルのコピー・送信制御によって情報漏えいを防止するDLPソリューション。複雑な操作や高価なサーバーが不要で導入しやすいうえ、管理の手間が少なく、導入・管理しやすいのが特徴だ。官公庁をはじめとする国内約5,800社・約40万台の導入実績を持つ。
ローカル仮想マシン上のデスクトップやアプリケーションに対しても適用でき、リモート仮想化システムのBYODでの情報漏えい対策にも有効。プライベートと共用の機器の場合は、個人利用部分へのデータ送受信を制御できる。
(出所:Endpoint Protector公式Webサイト)
最短30分で設定が完了し、素早い導入が可能なクロスプラットフォームDLP。専門的な知識がなくても詳細な設定もが適用できるほか、マルチOS対応、複数の導入オプションや統合機能など、あらゆる企業のニーズに対応している。
単一のダッシュボードで、場所を問わずに接続デバイスやデータの流れを制御。リアルタイムのアラート、レポート、ポリシーの設定、イベント、ファイル転送、使用デバイス、ユーザーアクティビティに関する詳細な情報とログにより、素早く正確な対応を行う。シンプルで少ない負担で運用できるよう工夫されているため、コア業務に支障をきたすことなく活用できる。
(出所:Digital Guardian公式Webサイト)
リスクの可視化やきめ細やかな制御により、業界トップクラスの広範なデータ漏えい防止機能の提供を実現するDLPソリューション。ネットワーク内外のすべてのシステムイベント、ユーザーイベント、データイベントを補足・記録するほか、内部の不審な挙動やマルウェアによる情報漏えいが起きる前に検知し、自動的にブロックする。
通常業務が滞らないよう、事前にセキュリティポリシーの策定が可能。また、独自技術によるDLP適用選別によって、正規のアプリケーションや行動はブロックせずに、脅威のみを検出・ブロックするように設定できる。
(出所:Quantum Security Gateway公式Webサイト)
60以上の革新的なセキュリティサービスによって、第5世代のサイバー攻撃を防御できるなど、多種多様な脅威に対応する次世代ファイアウォール。あらゆるサイバー攻撃を防御しながら、セキュリティの簡素化とコストの削減を実現する。
データ移動の追跡・制御、適切なデータ取り扱いに関する警告表示といったDLP機能を搭載。単一のコンソールから全体を一元管理できるほか、500以上の事前定義のデータ・タイプを有するので、少ない労力での導入・管理が可能に。
目的や規模に合わせた15種類のモデルが用意されている、
(出所:エンタープライズDLP公式Webサイト)
機密情報や個人情報などの紛失・漏えいを防ぐ、包括的なクラウド提供型のセキュリティツール。あらゆるネットワーク、クラウドなどの機密データを一貫して保護できる。特定データのみを監視するため、ログやアラートの数を必要最低限に抑えられるのがメリットで、データごとに操作制限の設定が可能。
単一クラウドとは異なり、すべての分散制御ポイントに一貫性のあるポリシーを適用しているため、出口、エッジ、クラウドでの総合アプローチが実現できる。機密データがどこにあるか、どこに流れているかを特定して、安全でないデータ転送およびコンプライアンス違反を監視・防止する。
DLPは故意・過失ともに内部からの情報漏えい対策として有効かつ、作業効率を妨げない優秀なセキュリティシステムです。「重要データの識別」と識別した重要データ、つまり機密情報の監視と保護が主な役割としており、主に以下3つのタイプに分けられます。
製品を比較・検討する際には、次の3点を確認しておきましょう。
過失による流出や、悪意のある攻撃から企業を守るためには、誤操作や不正行為によるデータ流出の危機をリアルタイムで検知するDLPの存在が欠かせません。本記事を参考に、自社に最適なDLP製品の導入を検討してみてください。
DLP製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。