情報漏えい問題が深刻化する中、情報漏えい対策システムを導入する企業が増えています。様々な情報漏えい対策システムがありますが、今注目されているのが「DLP」です。
DLPは、重要情報のみを監視し、情報がコピー・送信などにより外部に持ちだされる際にアラートを出したり、操作をキャンセルします。重要情報を効率的に保護することができますが、失敗するケースもあります。どのような失敗があり、どうすれば失敗を防げるのか、以下で紹介します。
DLP導入で起こる失敗とは・・・?
DLPは、上手く活用できれば、社内情報が社外や外部ネットワークに流出することを防ぐので、情報漏えい対策として大きな効果を発揮します。では上手く活用できなかった場合、どのような失敗が起こるのでしょうか?よくあるのが以下のようなケースです。
- ■制限が多すぎる
- 重要情報と設定した情報が多すぎて、ユーザーの行動を制限してしまうケースです。結果として、ユーザーの作業効率が落ちてしまいます。
- ■結局情報漏えい対策ができていない
- 上記のケースと逆のパターンです。重要情報の設定が甘く、重要情報が簡単にコピー・送信できてしまいます。システムを導入したにも関わらず、結局情報漏えい対策ができないという結果になります。
失敗してしまう原因は何か?
では、こういった失敗はどうして起こってしまうのでしょうか?原因は以下の3つです。
原因1 重要情報の「基準」が不適切
- ■原因
-
DLPの導入が失敗する原因の1つに、重要情報を検出するための基準が不適切、というものがあります。いったん重要情報の基準を設定してしまえば、それにしたがってDLPが重要情報を自動的に判断しますが、基準設定自体は人の手で行わなければなりません。
しかし、重要情報か否かの基準を作るという作業は手間がかかります。なぜなら、基準を作る前に、まずどのような情報があるのか洗い出し、その情報が漏洩した際どのくらいの影響があるのかを考える必要があるからです。この手間を怠ってしまうと、重要情報の基準の設定が甘くなります。それにより、重要な情報なのにアラートがあがらない、重要な情報でないのに操作がキャンセルされる、といった問題が生じてしまうのです。
- ■失敗を防ぐために
- この失敗を防ぐために、まずは情報の洗い出しをするべきでしょう。そしてその情報の中から、漏洩した場合の影響が大きい情報を選定する必要があります。やみくもに基準を設定してしまうと、情報漏えい対策の効果がありません。
原因2 利用許可をする「人」が不適切
- ■原因
- 2つ目の原因は、情報の利用を許可する人が不適切である、というものです。例えば、情報漏えいを防ぐために、DLPで重要情報を検知して、自動的に情報利用の許可を求める、というフローが組まれます。その際に許可を下す人が、情報の重要度や、利用者の権限などを把握していない場合、本来利用を許可してはいけない情報なのに、許可をしてしまう、といった問題が起こり得ます。
- ■失敗を防ぐために
- この失敗を防ぐために、許可する人を決める際は、情報の重要度・利用者の権限を把握している点を重要視するべきでしょう。また、許可する人を複数設定する場合は、人によって情報利用の許可範囲に違いが生じないように明確に基準を設ける必要があります。
原因3 どこまでが「外部」か不明確
- ■原因
-
3つ目の原因は、情報を流出させてはいけない「外部」がどこまでを指すのかが、不明確であるというものです。もともとDLPには、企業の重要情報を社外や外部のネットワークに流出させない、という目的があります。では、例えば社員が社外からリモートアクセスしている場合、それも「外部」に含まれるでしょうか?
どこまで「外部」に含まれるのかを明確にしないと、情報の利用権限があるのに利用できないという状況が発生し、作業効率が落ちてしまいます。
- ■失敗を防ぐために
- この失敗を防ぐために、どこまでが「内部」「外部」なのかを明確にする必要があるでしょう。特にリモートワークなどを実施している企業はよく考慮する必要があります。
まとめ~手間をかけずにメリットは得られない~
DLPに関わらず、システムの導入には手間がつきものです。しかし、最初の手間を怠ってしまうと、システムのメリットを享受することはできません。DLPの場合、最初に「重要情報の基準」、「許可する人」、「外部の定義」を明確にすることを怠ってしまうと、情報漏えい対策ができなかったり、作業効率が落ちてしまいます。
導入を考えている場合は、こういった手間がかかるという点を踏まえたうえで、導入するか否かを決定する必要があります。
