DLPの基本機能
デバイス制御
システムのエンドポイントとなるパソコン、タブレット端末、スマートフォンからの情報漏えいを防止します。ネットワーク経由で侵入するウィルスやマルウェア、USBなどから侵入する脅威から各デバイスを保護します。
また、使用するアプリケーションを監視して、違反を検知することができ、モバイル端末では暗号化や紛失対策の機能も用意されています。これらは、DLPの最も基本的な機能です。
一般的に、USBメモリの使用禁止や検疫ネットワークによるパソコンの禁止では、社内の利用者に負担を強いかねません。しかし、DLPはデバイス制御を自動的に行うことができ、利用者はこれらを意識する必要がありません。
印刷制限
パソコンにおけるデータのコピー、印刷、画面キャプチャなどの操作を制限します。コピーでは、メニュー(コマンド)操作、ショートカットキー操作、ドラッグドロップによる機密情報のコピーを禁止します。外部メディアへのファイル持ち出しも禁止できます。
印刷では、プリンター出力やデジタルファイル出力など、機密情報の出力操作を禁止。画面キャプチャでは、特定のアプリケーションあるいは機密情報処理中における、PrintScreenキーやキャプチャソフトによる画面キャプチャを禁止します。システム的に禁止しますので、利用者のモラルに依存しません。デバイス制御と並んで、DLPの基本機能となっています
Webセキュリティ
URLフィルタリングにより、閲覧ポリシーに違反するサイトの閲覧を禁止します。SNSや掲示板の利用などは、職務権限に応じて個別に許可することができます。たとえば、広報担当者や企画立案者は市場調査をSNSを利用して行うことができる一方、一般の社員には禁止することができます。
インターネットへ送信されるファイルをリアルタイムに監視し、管理者が許可したファイルのみ送信できるよう監視します。また、ウィルス対策では、異常検知技術や振る舞い監視システムにより、Webサイト上の不正なコードを除去する機能を備えている製品もあります。
コンテンツ監視
サーバ上の機密情報を自動的に特定し、その操作をリアルタイムに監視します。同時に、機密情報のコピー、保存、メール添付、Webアップロードなどの操作を禁止します。USBメモリ、リムーバブルディスク、CDドライブ、ネットワークフォルダなどの外部メディアへのコピーや保存も禁止できます。
グローバルに展開している企業では、現地の規制により機密情報を暗号化できない国がありますので、CADデータの操作を監視し、社外流出を防止します。
メールセキュリティ
メールも情報が漏えいする重大な抜け道となります。利用者本人の意志にかかわらず、悪意のある外部の者に不正利用されることもありますし、利用者本人がうっかり送信してしまう危険性もあります。これに対しDLPでは、機密情報を特定し、本文あるいは添付による転送を強制的に禁止します。
また、ウィルス、マルウェア、スパムメール、フィッシングサイト、複合型脅威などの外部からの攻撃にも対処します。メールの利便性を損なうことなく、メールを介した脅威を防御できます。
その他
運用側の管理機能が用意されており、利用者個人あるいは部門ごとに詳細な設定が可能となっています。ActiveDirectoryと連携し、効率的に設定できる製品もあります。
また、ほとんどの製品にはレポート機能が備わっており、必要に応じて詳細なレポートを出力できるので、監査資料や分析資料としても活用できます。
情報漏えい事件として報道されている多くは、DLPによって防御できます。検討してみてはいかがでしょうか。
