プロフェッショナル サービス
Trellix Thrive Solution Services Cyber Consulting Services
教育とトレーニング
研修サービス トレーニング コース

DLP の概要と機能

DLP とは

Gartner によると、Data Loss Prevention (DLP) は、メールやインスタント メッセージなどのメッセージング アプリケーションを介して送信されるデータ、ネットワーク上を移動するデータ、管理対象のエンドポイント デバイスで使用されているデータ、オンプレミスのファイル サーバーまたはクラウド アプリケーションやクラウド ストレージに保存されているデータについて、コンテンツ検査とコンテキストに基づく分析の両方を実行する技術と定義することができます。これらのソリューションは、不注意または偶発的要因による漏えいや、承認されたチャネル外での機密データの公開といったリスクに対処するために定義されたポリシーとルールに基づいて対応を実行します。

DLP 技術は、エンタープライズ DLP と統合 DLP の 2 つのカテゴリに大別されます。エンタープライズ DLP ソリューションは包括的で、デスクトップ PC やサーバー用のエージェント ソフトウェア、ネットワークやメール トラフィックのモニタリング用の物理 / 仮想アプライアンス、データ検出用のソフト アプライアンスにパッケージ化されていますが、統合 DLP は、SWG (セキュア Web ゲートウェイ)、SEG (セキュア メール ゲートウェイ)、メール暗号化製品、エンタープライズ コンテンツ管理 (ECM) プラットフォーム、データ分類ツール、データ検出ツール、CASB (クラウド アクセス セキュリティ ブローカー) に限定されます。

DLP の仕組み

DLP ソリューション全体を理解するには、コンテンツ認識とコンテキストに基づく分析の違いを理解することが不可欠です。コンテンツが手紙だとすると、コンテキストは封筒のようなものです。コンテンツ認識では、封筒をキャプチャし、封筒内を覗いてコンテンツ (内容) を分析します。コンテキストには、ヘッダー、サイズ、形式などの外部要素をはじめとした、手紙のコンテンツ (内容) 以外のすべてが含まれます。コンテンツ認識の背後にある考え方は、コンテキストを使用してコンテンツに関するより多くの情報を取得しようとしつつ、単一のコンテキストに制限されないようにするということです。

封筒が開かれてコンテンツが処理されると、次のような複数のコンテンツ分析技術を使用してポリシー違反を検出できます。

  1. ルールベース / 正規表現: DLP で使用される最も一般的な分析技術では、16 桁のクレジット カード番号、9 桁の米国社会保障番号など、特定のルールについてコンテンツを分析するエンジンが使用されます。この手法は、ルールを迅速に構成して処理できることから、優秀なファーストパス フィルターだと言えます。ただし、有効なパターンを識別するためのチェックサム検証を行わないと、誤検知率が高くなる可能性があります。
  2. データベース フィンガープリント: 完全なデータ一致 (Exact Data Matching) とも呼ばれるこのメカニズムは、データベース ダンプまたはライブ データベースから完全一致を検索します。データベース ダンプまたはライブ データベースへの接続は、パフォーマンスに影響を与えはするものの、データベースの構造化データに対し使用できるオプションです。
  3. 完全なファイル一致 (Exact File Matching): ファイルの内容は分析されず、ファイルのハッシュが正確なフィンガープリントと照合されます。誤検知は少なくなりますが、この方法は、バージョンが類似していても同一ではないファイルが複数存在する場合には機能しません。
  4. 部分的な文書一致 (Partial Document Matching): 異なるユーザーが入力した複数のバージョンのフォームなど、特定のファイルにおける完全一致または部分一致を検索します。
  5. 概念 / 用語: これらのポリシーは、ディクショナリやルールなどを組み合わせて使用することで、単純なカテゴリ化に対応していない、完全に非構造化された概念についてアラートを生成します。ただし、提供される DLP ソリューションに合わせてカスタマイズする必要があります。
  6. 統計分析: 機械学習またはベイズ分析などの他の統計的手法を使用して、保護されたコンテンツにおけるポリシー違反を検知します。この場合、可能な限り多量のデータをスキャンする必要があります。スキャンできるデータの量が少ないと、誤検知や検出漏れの発生率が上がります。
  7. 事前作成されたカテゴリ: クレジット カード番号/PCI プロテクション、HIPAA など、一般的な種類の機密データ用のルールとディクショナリを含めて事前作成されたカテゴリ。

今日の市場には、さまざまな種類のコンテンツ検査を可能にする無数の技術があります。しかし、多くの DLP ベンダーが独自のコンテンツ エンジンを開発しているいっぽう、DLP 用に設計されていないサードパーティの技術を採用している DLP ベンダーもいることは考慮すべきです。たとえば、DLP ベンダーが、クレジット カード番号のパターン マッチングを自社で構築する代わりに、検索エンジン プロバイダーからクレジット カード番号のパターン マッチングを行う技術のライセンスを取得するケースがあります。DLP ソリューションを評価する際には、実際の機密データの集合に対して各ソリューションが検出したパターンの種類に細心の注意を払い、コンテンツ エンジンの正確性を確認する必要があります。

DLP のベスト プラクティスによるデータ セキュリティの強化

DLP のベスト プラクティスは、技術、プロセス制御、知識豊富なスタッフ、従業員の意識を組み合わせたものです。効果的な DLP プログラムを開発するために推奨されるガイドラインを以下に記載します。

  1. 単一の一元的 DLP プログラムを実装する - 多くの組織では、さまざまな部署や事業部門が一貫性のないアドホックな DLP プラクティスと技術を実装しています。このように一貫性がないために、データ資産の可視性が失われ、データのセキュリティが脆弱になります。さらに、従業員は、組織全体で採用されているわけではない、部門の DLP プログラムであれば無視する傾向があります。
  2. 内部リソースを評価する - DLP 計画を作成して実行するには、DLP の専門知識を持つ担当者が必要です。たとえば、DLP リスク分析、データ侵害への対応とその報告、データ保護法、DLP のトレーニングと意識向上などにおける知識です。政府機関による規制の中には、データ保護に関する知識をもつ社内スタッフまたは外部コンサルタントを雇用することを組織に義務付けているものもあります。たとえば、GDPR には、欧州連合 (EU) 域内の消費者に商品やサービスを販売する組織や、消費者の行動をモニタリングする組織を対象とした条項が含まれています。GDPR では、コンプライアンス監査の実施、DLP パフォーマンスのモニタリング、コンプライアンス要件に関する従業員の教育、組織とコンプライアンス当局の間の連絡役などを担う、データ保護責任者 (DPO) または同等の役割を持つスタッフを定めることが義務付けられています。
  3. インベントリを作成し、評価を行う -  データの種類と、各種類の組織にとっての価値を評価することは、DLP プログラム実装の初期段階として重要な役割を果たします。これには、関連するデータやデータの保存場所を特定し、機密データ (知的財産、機密情報、規制対象データ) に該当するかどうかを判定する作業も含まれます。DLP 製品の中には、ファイルのメタデータをスキャンして結果をカタログ化することで情報資産を迅速に識別できるものや、必要に応じてファイルを開いてコンテンツを分析できるものもあります。次の段階では、データが漏えいした場合のリスクをデータの種類ごとに評価します。データの終了ポイントや、データが失われた場合に組織が被る可能性のあるコストなども考慮する必要があります。たとえば、従業員福利厚生プログラムに関する情報が失われた場合と、1,000 件の患者医療ファイルが紛失した場合や、10 万件の銀行口座番号とパスワードが紛失した場合とではリスクのレベルが異なります。
  4. 段階的に実装する -  DLP は段階的に実装していくことで効果を発揮する長期的なプロセスです。最も効果的なアプローチは、データの種類と通信チャネルに優先順位を付けることです。同様に、すべてを一度に実装するのではなく、組織の優先度に基づいて、必要に応じて DLP ソフトウェア コンポーネントまたはモジュールを実装することを検討しましょう。このような優先順位を確立する上でリスク分析とデータ インベントリが役立ちます。
  5. 分類システムを作成する -  DLP ポリシーを作成して実行する前に、非構造化データと構造化データの両方にデータ分類フレームワークまたは分類法が必要です。データ セキュリティのカテゴリには、機密、社内、公開、個人を識別できる情報 (PII)、財務データ、規制対象データ、知的財産などがあります。DLP 製品は、事前構成された分類法に基づいてデータをスキャンできます。データの主要カテゴリを識別しやすくするために後で分類をカスタマイズできる製品もあります。DLP ソフトウェアによって分類が自動化・高速化されますが、カテゴリの選択とカスタマイズは手動で行います。コンテンツ所有者は、シンプルなキーワードやフレーズでは識別できない特定のタイプのコンテンツを視覚的に評価することもできます。
  6. データの処理と修復のポリシーを確立する - 分類フレームワークを作成したら、さまざまなカテゴリのデータを処理するためのポリシーを作成 (または更新) します。機密データを処理するための DLP ポリシーは、政府機関による要件に規定されます。DLP ソリューションは通常、HIPAA や GDPR などのさまざまな規制に基づいて、事前構成されたルールまたはポリシーを適用します。DLP スタッフは、組織のニーズに合わせてポリシーをカスタマイズできます。ポリシーを管理するために、DLP 適用製品は送信チャネル (メールや Web チャットなど) の遮断やモニタリングを行うほか、潜在的なセキュリティ侵害に対処するためのオプションを提供します。たとえば、機密性の高いファイルが添付されたメールを従業員が送信しようとしている場合、メッセージの暗号化を推奨するポップアップが表示されたり、システムによって完全にブロックされたり、マネージャーにリダイレクトされたりする場合があります。対応は、組織が確立したルールに基づいて行われます。
  7. 従業員を教育する -  DLP では、セキュリティ ポリシーと手順を従業員が受け入れ、意識することが重要です。講義、オンライン トレーニング、定期的なメール、動画、記事などを通じた教育とトレーニングの取り組みにより、従業員がデータ セキュリティの重要性をより深く理解し、推奨される DLP のベスト プラクティスに従う力を強化することができます。データ セキュリティ違反に対する罰則も、明確に定義されている場合は特に、コンプライアンスを向上させることができます。SANS Institute では、データ セキュリティに関するさまざまなトレーニングと意識向上のためのリソースを提供しています。

Explore more Security Awareness topics