DLPとは？従来の情報漏えい対策との違いから、機能や仕組みまでわかりやすく解説

DLPとは

DLP（Data Loss Prevention）とは、機密情報や重要データの紛失、外部への漏えいを防ぎ、セキュリティを強化するためのシステムです。あらかじめ設定したポリシーをもとに機密情報を識別し、重要データと認定された情報の送信やコピーを制限することにより、機密データの流出を防ぎます。

従来の情報漏えい対策との違い

DLPとほかの情報漏えい対策の違いは、どのような点にあるのでしょうか。監視する範囲や対象をもとに違いを解説します。

対象とする情報の範囲

DLPと従来の情報漏えい対策とでは、漏えいを防ぐ情報の範囲が異なります。いい換えれば、従来の情報漏えい対策ではすべての情報を対象とするのに対し、DLPは特定された機密情報のみが対象です。

従来の情報漏えい対策方法の場合、情報量が増えるのに比例して、管理や運用にかかるコストも大きくなります。しかし、DLPは特定の機密データを監視するので、もち出しなどの不正があったときだけ管理者にリアルタイムに通知します。情報量が増えてもコストは変わらず、機密情報以外のデータの利用は制限されないので、作業効率が低下することもありません。

監視の対象

従来の情報漏えい対策では情報の利用者（ユーザー）を監視しますが、DLPの場合、監視対象は機密情報そのものです。

ログ管理システムをはじめとする情報漏えい対策は、情報にアクセスしたユーザーを監視します。不正なユーザーによる情報のもち出しは防げても、権限を持つ社員など正規のユーザーによる誤操作や不正アクセスを防ぐことはできません。

一方、DLPは情報システムに保管されているデータの機密性や重要性を識別し、重要だと認識されたデータだけを常に監視する仕組みです。正規ユーザーであっても、機密データを外部へ送信しようとしたり、USBメモリにコピーして持ちだそうとしたりすると、アラートを出して自動的にその操作をキャンセルします。

従来の情報漏えい対策とDLPはどちらが最適か

結論からいうと、網羅的な情報漏えい対策を実現するには両方が必要です。しかし、費用や運営コストがかかるため、企業によっては現実的でないでしょう。

リスクマネジメントの優先順位としては、機密情報の保護が最も重要です。まずはDLPで機密情報の漏えいを防ぎ、そのほかの情報も守りたいという場合には、補完的に暗号化やログ管理といった従来のシステムを利用するとよいでしょう。

なお、DPLの導入を検討したい方は、以下のボタンより具体的な製品の資料請求ができるので、ぜひご利用ください。

DLPの仕組み

DLPは、キーワードや正規表現の指定と、フィンガープリントの登録によって機密情報を判別する仕組みです。それぞれの特徴について解説します。

キーワードや正規表現で判別

キーワードや正規表現を指定しておき、条件に該当するデータを見分けて、重要データと判別する方法です。氏名や住所、電話番号、クレジットカードなど、特定のキーワードで判別したい場合に向いています。ただし、指定したいキーワードや正規表現が多い場合、登録に時間や手間がかかる点がデメリットです。

フィンガープリントで判別

フィンガープリントは「指紋」を意味し、文書が改ざんされていないかチェックするためのデータを指します。DLPで「データの指紋」を登録しておけば、重要データや関連するデータの判別が可能です。

たとえば、特定の文書データを登録した場合、文書の一部を改変しても、文書全体のキーワード構成や文書構造の特徴で機密情報かどうか判別できます。データの類似性をチェックしているため、類似する重要データの検知も可能となり、キーワード登録の手間や管理を省きながら、効率的に判別の精度を上げられます。

DLPの機能

ここでは、DLPの主な機能を紹介します。

■デバイス制御機能

社内で使用するパソコンやダブレットなどのデバイスを一元管理し、ウイルスやマルウェア、不正アクセスなどのさまざまな脅威から各デバイスを保護する機能。

■印刷制限機能

データのコピーや印刷、画面キャプチャなどの操作を制限する機能。内部の人間が機密情報をコピー、キャプチャして外部へもち出す、といった事態を防止できる。

■Webセキュリティ機能

URLのフィルタリング機能を利用して、セキュリティ保護されていないサイトやポリシーに反するコンテンツへのアクセスを制限する機能。従業員ごとに閲覧権限を設定することも可能。

■コンテンツ監視機能

サーバー上で管理している機密情報をリアルタイムでモニタリングする機能。業務時間外でも、情報漏えいにつながるようなアクションがあれば、すぐに検知して行動をブロックする。

■メールセキュリティ機能

情報漏えいにつながると判断したメールの送信をブロックする機能。キーワードやフィンガープリントから機密情報が含まれるメールを自動で検知して送信をストップさせる。

■システム運用・管理機能

システムをどのように運用・管理するか、利用者個人あるいは部門ごとに詳細な設定が行える機能。

以下の記事では、DLP機能についてより詳しく解説しています。あわせてご覧ください。

関連記事

watch_later 2023.02.09

DLPの６つの基本機能を解説！

続きを読む ≫

DLPのメリット

DLPを導入すると、どのようなメリットが得られるのか具体的に解説します。

リアルタイムで異常を検知

従来の対策方法は、過去に行われた操作ログの記録を用いて、情報漏えいが発生しているかを検知していました。しかし、検知できるのは過去に実行された操作のみであるため、情報漏えいを未然に防げません。

一方、DLPは常に機密情報の監視が可能であり、リアルタイムで不正を検知します。すぐに情報漏えいを検知できれば迅速な対応が取れるため、被害の拡大を最小に食い止められます。

また、「機密情報が添付されたメールを誤って送信してしまった」などの場合でも、アラートで警告したり、送信をブロックしたりするため、人的ミスによる情報漏えいも防止できるでしょう。

運用・管理コストの削減

人の手で、機密情報かどうかを一つひとつチェックすると運用・管理コストがふくれ上がります。時間もかかり、実際にすべてをチェックするのは現実的ではないでしょう。

DLPを利用すれば、キーワードや正規表現、フィンガープリントを登録しておくだけで機密情報を自動的に判別しデータ保護するため、人の手でチェックする必要がなくなります。業務の生産性がアップし、管理・運用コストの削減が実現するでしょう。

情報漏えい対策にはDLPの導入を検討しよう

DLPは「情報」に着目するので、ユーザーのセキュリティ意識に依存することなく情報漏えい対策が可能です。また、各企業のセキュリティポリシーにあわせて機密情報を識別できるため、自社に適したセキュリティ対策を実現します。貴重なデジタル資産を管理・保護し、データ損失を防げるでしょう。

まずはDPL製品の資料請求をして製品について詳しく知り、自社のセキュリティ管理がどのくらい改善できるかを予測しながら、DPL製品の導入を検討してみることもおすすめです。