資料請求リストに製品が追加されていません。
不正ログイン、DDOS、ボット、標的型攻撃……、日々新たな脅威が現れているITの世界。
一方で、対策も進化しています。その代表的なものがDLP(Data Loss Prevention:情報漏えい防止)です。機密情報の送信やコピーなど、社外への持ち出し操作を発見すると警告を発し、操作自体をブロックするツールのことです。すでに、多くの製品が発表されており、ここではその選択のポイントを紹介しましょう。
DLPは、「DLPエージェント」「DLPアプライアンス」「DLP サーバ」の3つの要素で構成されます。
DLPエージェントはパソコンにインストールすることで、リアルタイムに機密情報の転送やコピーを監視します。利用者が誤って機密情報の入ったファイルをメールで送ったり、USBメモリにコピーしたりすると、警告メッセージが表示されます。
ただし、DLPエージェントがインストールされたパソコン同士であれば、機密情報のやり取りも可能となります。独立して「エンドポイント型」としてツール化もされています。
DLPエージェントがパソコンを監視するのに対し、DLPアプライアンスはネットワークを流れるデータを監視します。DLPエージェントをインストールしていないパソコンや、DLPエージェントが対応していないOSのパソコンでもDLPを利用できるようになります。独立して「ネットワーク型」としてツール化されています。
社内にある機密データを登録するのがDLPサーバです。登録すると、DLPサーバは登録した機密データの「フィンガープリント」を生成します。フィンガープリントとは指紋のことで、ファイル名を書き換えたり、一部を改ざんしても、機密データのユニークな特徴を抽出し、これにより、DLPエージェントは機密情報か否かを判断します。
DLPツールは、基本機能が共通しているものの、その機能の深さが大きく異なります。また、特定の分野、たとえばCAD図面に特化しているツールもあります。DLPツールの選択においては、何をどのレベルまで監視・制御するのかを決定しておく必要があります。
最もシンプルな製品は、パソコンにインストールして使う「エンドポイント型」です。「エンドポイント型」はパソコン内の機密データを認識し、USBメモリをはじめとするリムーバブルメディアやスマートデバイスへのコピーを不能にします。また、機密情報の印刷やスクリーンキャプチャも禁止します。
DLP導入の第1ステップとしては、「エンドポイント型」によるパソコンの監視が考えられます。この際、監視できる範囲も重要となります。スマートデバイスも監視したいのであれば、対応しているツールを選択します。
次に対象となるのが社内ネットワークです。「ネットワーク型」を導入することで、デバイスのみならずネットワークを流れる機密情報の監視も可能となります。試験的にDLPアプライアンスを利用してみて必要性を検討するのもいいでしょう。「エンドポイント型」「ネットワーク型」がセットになっているツールも多くあります。
DLPの導入において、セキュリティポリシーの設定で失敗している企業が多くあります。 DLPを導入するに当たって、初めてセキュリティポリシーを策定するのであれば、ひどく難しい作業になります。低いレベルで設定しては、効果を得ることができません。逆に厳しすぎると、操作できない情報が増えすぎて、業務効率を落とすことになります。
そこで、多くの製品にはテンプレートが用意されています。テンプレートをベースに自社要件を加えたり引いたりして、適切な設定を検討することができます。業界・業種のニーズやコンプライアンス要件を網羅したテンプレートもあります。
また、ツールの選択や導入に当たっては専門家のノウハウを利用する手もあります。コンサルティング対応もできる提供事業者もありますので相談してみましょう。
監視対象を人やウィルスから視点を変えて、機密情報に変更したDLPツール。守るべき情報を特定することで、逆に進化する攻撃手法を追いかけることなく、防御に徹することができる新しいセキュリティです。情報漏えい対策の次の一手としてDLPツールの導入をお薦めします。
会員になるとできること
注目の最新ニュース・製品・サービスの情報をメールで
お届けします。
気になる製品・サービスにもそのままお問い合わせ可能!
資料請求やお問い合わせをされた場合、提供会社へお知らせをさせていただきますので、ご了承いただけますようお願い申し上げます。
登録された個人情報は、マイページ「登録情報の変更」で変更いただけます。
