DLPの構成と種類
DLPは、「DLPエージェント」「DLPアプライアンス」「DLP サーバ」の3つの要素で構成されます。
- ■パソコンに常駐「DLPエージェント」(エンドポイント型)
-
DLPエージェントはパソコンにインストールすることで、リアルタイムに機密情報の転送やコピーを監視します。利用者が誤って機密情報の入ったファイルをメールで送ったり、USBメモリにコピーしたりすると、警告メッセージが表示されます。
ただし、DLPエージェントがインストールされたパソコン同士であれば、機密情報のやり取りも可能となります。独立して「エンドポイント型」としてツール化もされています。
- ■ネットワークを流れるデータを監視「DLPアプライアンス」(ネットワーク型)
-
DLPエージェントがパソコンを監視するのに対し、DLPアプライアンスはネットワークを流れるデータを監視します。DLPエージェントをインストールしていないパソコンや、DLPエージェントが対応していないOSのパソコンでもDLPを利用できるようになります。独立して「ネットワーク型」としてツール化されています。
- ■機密データを登録「DLP サーバ」
-
社内にある機密データを登録するのがDLPサーバです。登録すると、DLPサーバは登録した機密データの「フィンガープリント」を生成します。フィンガープリントとは指紋のことで、ファイル名を書き換えたり、一部を改ざんしても、機密データのユニークな特徴を抽出し、これにより、DLPエージェントは機密情報か否かを判断します。
どこまでカバーするかを見極めて選択
DLPツールは、基本機能が共通しているものの、その機能の深さが大きく異なります。また、特定の分野、たとえばCAD図面に特化しているツールもあります。DLPツールの選択においては、何をどのレベルまで監視・制御するのかを決定しておく必要があります。
最もシンプルな製品は、パソコンにインストールして使う「エンドポイント型」です。「エンドポイント型」はパソコン内の機密データを認識し、USBメモリをはじめとするリムーバブルメディアやスマートデバイスへのコピーを不能にします。また、機密情報の印刷やスクリーンキャプチャも禁止します。
DLP導入の第1ステップとしては、「エンドポイント型」によるパソコンの監視が考えられます。この際、監視できる範囲も重要となります。スマートデバイスも監視したいのであれば、対応しているツールを選択します。
次に対象となるのが社内ネットワークです。「ネットワーク型」を導入することで、デバイスのみならずネットワークを流れる機密情報の監視も可能となります。試験的にDLPアプライアンスを利用してみて必要性を検討するのもいいでしょう。「エンドポイント型」「ネットワーク型」がセットになっているツールも多くあります。
失敗しないDLPツールの導入
DLPの導入において、セキュリティポリシーの設定で失敗している企業が多くあります。
DLPを導入するに当たって、初めてセキュリティポリシーを策定するのであれば、ひどく難しい作業になります。低いレベルで設定しては、効果を得ることができません。逆に厳しすぎると、操作できない情報が増えすぎて、業務効率を落とすことになります。
そこで、多くの製品にはテンプレートが用意されています。テンプレートをベースに自社要件を加えたり引いたりして、適切な設定を検討することができます。業界・業種のニーズやコンプライアンス要件を網羅したテンプレートもあります。
また、ツールの選択や導入に当たっては専門家のノウハウを利用する手もあります。コンサルティング対応もできる提供事業者もありますので相談してみましょう。
まとめ
監視対象を人やウィルスから視点を変えて、機密情報に変更したDLPツール。守るべき情報を特定することで、逆に進化する攻撃手法を追いかけることなく、防御に徹することができる新しいセキュリティです。情報漏えい対策の次の一手としてDLPツールの導入をお薦めします。
