DLPとは
DLP(Data Loss Prevention)とは、機密情報や重要データの紛失、外部への漏えいを防ぎ、セキュリティを強化するためのシステムです。あらかじめ設定したポリシーをもとに機密情報を識別し、重要データと認定された情報の送信やコピーを制限することにより、機密データの流出を防ぎます。
例えば、従業員が企業の機密情報を含むファイルを外部のメールアドレスに送信しようとした場合、DLPシステムはこの行動を検知し、送信をブロックするか警告を発することで、データの不正な流出を防ぎます。
このようにDLPは、企業の情報セキュリティを強化し、ビジネスにおける機密性の高いデータを保護する重要な役割を果たすのです。
従来の情報漏えい対策との違い
DLPとほかの情報漏えい対策の違いは、どのような点にあるのでしょうか。監視する範囲や対象をもとに違いを解説します。
対象とする情報の範囲
DLPと従来の情報漏えい対策とでは、漏えいを防ぐ情報の範囲が異なります。いい換えれば、従来の情報漏えい対策ではすべての情報を対象とするのに対し、DLPは特定された機密情報のみが対象です。
従来の情報漏えい対策方法の場合、情報量が増えるのに比例して、管理や運用にかかるコストも大きくなります。しかし、DLPは特定の機密データを監視するので、もち出しなどの不正があったときだけ管理者にリアルタイムに通知します。情報量が増えてもコストは変わらず、機密情報以外のデータの利用は制限されないので、作業効率が低下することもありません。
監視の対象
従来の情報漏えい対策では情報の利用者(ユーザー)を監視しますが、DLPの場合、監視対象は機密情報そのものです。
ログ管理システムをはじめとする情報漏えい対策は、情報にアクセスしたユーザーを監視します。不正なユーザーによる情報のもち出しは防げても、権限をもつ社員など正規のユーザーによる誤操作や不正アクセスは防げません。
一方、DLPは情報システムに保管されているデータの機密性や重要性を識別し、重要だと認識されたデータだけを常に監視する仕組みです。正規ユーザーであっても、機密データを外部へ送信しようとしたり、USBメモリにコピーしてもちだそうとしたりすると、アラートを出して自動的にその操作をキャンセルします。
IT資産管理との違い
IT資産管理システムは、企業のハードウェアやソフトウェア資産の追跡と管理に重点を置いたものです。一方、DLPはデータ自体の流出を防ぐことに特化しており、特定の機密データや文書の管理と保護に焦点を当てています。
IT資産管理は資産の在庫や使用状況を追跡するのに対し、DLPはデータのセキュリティと使用規則を管理し、不正なアクセスやデータ漏えいを防止する役割を担っています。
従来の情報漏えい対策とDLPはどちらが最適か
結論からいうと、網羅的な情報漏えい対策を実現するには両方が必要です。しかし、費用や運営コストがかかるため、企業によっては現実的でないでしょう。
リスクマネジメントの優先順位としては、機密情報の保護が最も重要です。まずはDLPで機密情報の漏えいを防ぎ、そのほかの情報も守りたいという場合には、補完的に暗号化やログ管理といった従来のシステムを利用するとよいでしょう。
DLPの仕組み
DLPは、キーワードや正規表現の指定と、フィンガープリントの登録によって機密情報を判別する仕組みです。それぞれの特徴について解説します。
キーワードや正規表現で判別
キーワードや正規表現を指定しておき、条件に該当するデータを見分けて、重要データと判別する方法です。氏名や住所、電話番号、クレジットカードなど、特定のキーワードで判別したい場合に向いています。ただし、指定したいキーワードや正規表現が多い場合、登録に時間や手間がかかる点がデメリットです。
フィンガープリントで判別
フィンガープリントは「指紋」を意味し、文書が改ざんされていないかチェックするためのデータを指します。DLPで「データの指紋」を登録しておけば、重要データや関連するデータの判別が可能です。
例えば、特定の文書データを登録した場合、文書の一部を改変しても、文書全体のキーワード構成や文書構造の特徴で機密情報かどうか判別できます。データの類似性をチェックしているため、類似する重要データの検知も可能となり、キーワード登録の手間や管理を省きながら、効率的に判別の精度を上げられます。
DLPの機能
ここでは、DLPの主な機能を紹介します。
- ■デバイス制御機能
- 社内で使用するパソコンやダブレットなどのデバイスを一元管理し、ウイルスやマルウェア、不正アクセスなどのさまざまな脅威から各デバイスを保護する機能。
- ■印刷制限機能
- データのコピーや印刷、画面キャプチャなどの操作を制限する機能。内部の人間が機密情報をコピー、キャプチャして外部へもちだす、といった事態を防止できる。
- ■Webセキュリティ機能
- URLのフィルタリング機能を利用して、セキュリティ保護されていないサイトやポリシーに反するコンテンツへのアクセスを制限する機能。従業員ごとに閲覧権限を設定することも可能。
- ■コンテンツ監視機能
- サーバ上で管理している機密情報をリアルタイムでモニタリングする機能。業務時間外でも、情報漏えいにつながるようなアクションがあれば、すぐに検知して行動をブロックする。
- ■メールセキュリティ機能
- 情報漏えいにつながると判断したメールの送信をブロックする機能。キーワードやフィンガープリントをもとに、機密情報が含まれるメールを自動で検知して送信をストップさせる。
- ■システム運用・管理機能
- システムをどのように運用・管理するか、利用者個人あるいは部門ごとに詳細な設定が行える機能。
以下の記事では、DLP機能についてより詳しく解説しています。あわせてご覧ください。
DLPのメリット
DLPを導入すると、どのようなメリットが得られるのか具体的に解説します。
リアルタイムで異常を検知
従来の対策方法は、過去に行われた操作ログの記録を用いて、情報漏えいが発生しているかを検知していました。しかし、検知できるのは過去に実行された操作のみであるため、情報漏えいを未然に防げません。
一方、DLPは常に機密情報の監視が可能であり、リアルタイムで不正を検知します。すぐに情報漏えいを検知できれば迅速な対応が取れるため、被害の拡大を最小に食い止められます。
運用・管理コストの削減
人の手で、機密情報かどうかを一つひとつチェックすると運用・管理コストがふくれ上がります。時間もかかり、実際にすべてをチェックするのは現実的ではないでしょう。
DLPを利用すれば、キーワードや正規表現、フィンガープリントを登録しておくだけで機密情報を自動的に判別しデータ保護するため、人の手でチェックする必要がなくなります。業務の生産性がアップし、管理・運用コストの削減が実現するでしょう。
ヒューマンエラーを防止できる
人間によるミスは、情報漏えいの一般的な原因です。DLPは機密データを含むファイルの不正な共有を防ぐために、自動化されたルールの設定も可能です。
例えば「機密情報が添付されたメールを誤って送信してしまった」などの場合でも、アラートで警告したり、送信を中止したりするため、ヒューマンエラーによる情報漏えいが防止できるでしょう。
機密情報保護を強固にできる
DLPにより、企業の機密情報や重要な顧客データなどをより強固に保護できます。これは、業界規制の遵守、ブランドの信頼性の維持、および顧客からの信頼を保つうえで不可欠です。
例えば、金融業界において顧客情報のセキュリティを強化することで、規約違反のリスクを減少でき、企業としての信頼性も高まるでしょう。
情報漏えい対策にはDLPの導入を検討しよう
DLPは「情報」に着目するので、ユーザーのセキュリティ意識に依存することなく情報漏えい対策が可能です。また、各企業のセキュリティポリシーにあわせて機密情報を識別できるため、自社に適したセキュリティ対策を実現します。貴重なデジタル資産を管理・保護し、データ損失を防げるでしょう。
まずはDPL製品の資料請求をして製品について詳しく知り、自社のセキュリティ管理がどのくらい改善できるかを予測しながら、DPL製品の導入を検討してみることもおすすめです。
