DLPとは？従来の情報漏洩対策との違いから、機能、活用事例まで紹介

顧客情報や、社員のマイナンバー情報など、企業が守るべき情報はたくさんあるでしょう。重要な情報をサイバー攻撃などから守るために情報漏洩対策が必要ですが、対策の１つとしてDLPが挙げられます。

DLP（Data Loss Prevention）とは、情報漏洩対策を行うセキュリティシステムのことです。IT資産管理ツールなどのようにIDやパスワードを管理してユーザー監視を行う情報漏洩対策とは異なり、DLPはデータそのものを監視して守ります。

この記事ではDLPと従来の情報漏洩対策との違いを詳しく解説し、DLPの機能や活用事例を紹介します。

DLPとは

DLP（Data Loss Prevention）とは、セキュリティを強化するためのシステムの一つであり、機密情報や重要データの紛失、外部への漏えいを防ぐシステムのことを指します。です。機密情報を識別して重要データと認定された情報の送信やコピーを制限することにより、機密情報の流出を防げます。

従来の情報漏洩対策との違い

DLPと他の情報漏洩対策の違いはどのような点にあるのでしょうか。以下で見ていきましょう。

対象とする情報の範囲

DLPと従来の情報漏洩対策とでは、漏洩を防ぐ情報の範囲が異なります。言い換えれば、従来の情報漏洩対策ではすべての情報を対象とするのに対し、DLPは特定された機密情報のみが対象になるということです。

従来の情報漏洩対策方法の場合、情報量が増えるのに比例して、管理や運用にかかるコストが大きくなるというデメリットがあります。しかし、DLPだと特定のデータを監視するので、持ち出しなどの不正があったときだけアラートが送信されます。機密情報以外のデータの利用制限はされないので、作業効率が低下することもありません。

監視の対象

従来の情報漏洩対策では情報の利用者（ユーザー）を監視しますが、DLPの場合、監視の対象は機密情報そのものです。

ログ管理システムをはじめとした情報漏洩対策は、情報にアクセスしたユーザーを監視します。不正なユーザーによる情報の持ち出しは防ぎますが、権限を持つ社員など正規のユーザーによる誤操作や不正アクセスを防ぐことはできません。

一方、DLPは情報システムに保管されているデータの機密性や重要性を識別し、重要だと認識されたデータだけを常に監視する、という仕組みです。正規ユーザーであっても、重要データを外部へ送信しようとしたり、USBメモリにコピーして持ちだそうとしたりすると、アラートを出して自動的にその操作をキャンセルします。

従来の情報漏洩対策とDLP、どちらが最適か

簡単に両者のシステムを比較しましたが、結局企業はどのシステムを使うべきなのでしょうか。

結論からいうと、網羅的な情報漏えい対策を実現するには両方が必要になります。しかし、費用や運営コストがかかるため、企業によっては現実的でないでしょう。

リスクマネジメントの優先順位としては、機密情報を保護することが最も重要です。まずはDLPで機密情報の漏洩を防ぎ、そのほかの情報も守りたいという場合には補完的に暗号化やログ管理といった従来のシステムを利用すると良いでしょう。

DLPの基本機能と仕組み

では、具体的にどのような仕組みで情報漏洩を防止するのか、DLPの機能を以下で紹介します。

機密情報の検出機能

DLPは、機密情報を重要なデータだと判定します。この判定は、「キーワードや正規表現の指定」と「フィンガープリント」という方法で行われます。住所や電話番号など、キーワードや正規表現を指定してデータを判定するのが従来の方法でしたが、機密情報だと特定するためのキーワードがたくさんある場合は運用が難しいでしょう。そこで登場したのが、フィンガープリントです。

フィンガープリントとは、文書の指紋という意味ですが、文書などが改ざんされていないかを確認するためのデータのことです。フィンガープリントと特徴が一致する文書を機密情報であると判定します。たとえば、ある文書データのフィンガープリントをDLPシステムに登録した場合、キーワードや文書構造などからその文書データが重要なものなのかを判定します。

このような機能で機密情報を検出し、そのデータを守るというのがDLPの仕組みです。