エンドポイントDLPは興味深いテクノロジーです。登場から長い時間が経ち、重要なユースケースもいくつか存在しているものの、評判は芳しくありません。実装や運用の確立が難しい、または一貫性のないアラートによりインシデント管理が複雑になることが原因です。いずれにせよ、多くの組織で嫌われ者になっています。しかし幸い、セキュリティサービスエッジ(SSE)によって時代は変わりつつあります。

エンドポイントDLPは、組織の抱える重要課題の解決に役立ちます。メリットの1つとして、エンドポイントデータとその動きを詳細に可視化できることが挙げられます。多くの機密データがクラウドに移行していますが、依然、エンドポイントは大量のデータの発信元として極めて重要な存在です。データ保護の担当チームにとって、可視性の穴は何としても避けたいものであり、エンドポイントをデータポイントに含めることは極めて重要です。エンドポイントのデータの追跡は、コンプライアンスの維持だけでなく、従業員の急な離職(頻繁に起こります)の際にデータを守るうえでも鍵となります。

では、エンドポイントDLPにはなぜネガティブなイメージが付きまとっているのでしょうか。その理由を詳しく見ていきましょう。

1つ目の理由としては、前述したとおり、一貫性のないアラートの発生につながることが挙げられます。この問題は、組織内で複数のDLPテクノロジーが利用されている場合に起こります。エンドポイントDLPに加え、CASBやネットワークにDLPが実装されている場合です。ポリシーエンジンが複数存在していては、デバイスからネットワーク、クラウドアプリへとデータが移動してアラートがトリガーされた際、一貫した情報を得ることができません。結果的にインシデント管理に時間がかかり、生産性が低下します。

2つ目は、質の低いエンドポイントエージェントが引き起こす問題です。ポイント製品を使ったアプローチでは、誰も入れたがらないようなエージェントを各デバイスに複数入れることになります。これはユーザーエクスペリエンスに悪影響を与えます。また、膨大な数のデバイスを対象に複数のエージェントを管理することになれば、IT部門の負担が増えてしまいます。規模が大きくなれば、デプロイメントも複雑になることは言うまでもありません。

しかし、冒頭でも述べたように、時代は変わりつつあります。現在、エンドポイントのあり方は大きく変化しており、エンドポイントDLPを安心してデータ保護戦略に取り入れることが可能です。

進化したエンドポイントDLPのアプローチ

優れたエンドポイントDLPを実現するための基礎となるのが、Gartnerが「セキュリティサービスエッジ(SSE)」と定義するアーキテクチャーです。SSEは高パフォーマンスのクラウドプラットフォームを通じてセキュリティサービスを提供するもので、ポリシーと制御を1か所に集約、統合することを可能にします。クラウドへの一元化により、単一のDLPポリシーをさまざまな領域に配信して制御を適用できます。プロキシでのSSLインスペクションにより、インライン検査を簡単に行えるようになります。また、APIを活用することで、同じDLPポリシーでクラウドアプリの保存データを調べ、リスクの高いデータ共有(組織外との共有リンクやアクセス制限のない共有リンクなど)を特定できます。そして、特に重要なのが、このポリシーをエンドポイントにまで適用できるという点です。これにより、エンドポイントデバイスでデータの移動を制御することが可能です。

エンドポイントDLPの主要なユースケースの1つとして、USBドライブやプリンター、ネットワーク共有への機密データの移動防止が挙げられます。これにより、ユーザーが機密データに対して危険な処理を行わないよう制御できます。また、クラウド同期に対応したアプリをインストールする際に起こりがちな、リスクの高い個人用ストレージ(BoxやDropboxなど)との同期を制御することも可能です。

SSEとエンドポイントDLPがもたらすもう1つのメリットとして、統合エージェントが挙げられます。SSEは統合エージェントを通じて提供されるため、すべての保護機能をこの単一のエージェントに統合することができます。したがって、従来のエンドポイントDLPを使用したアプローチに必要だったその他の複数のエージェントは不要になります。

ZscalerのエンドポイントDLPの特徴

セキュリティサービスエッジを利用したエンドポイントDLPを導入する際は、ZscalerのエンドポイントDLPを選択することで、いくつかの点で非常に大きなメリットを得られます。

まず、すでにZscalerを利用しているお客様の場合、導入を簡単に行えます。機能の提供経路が確立され、Zscaler Client Connectorが展開されているため、DLPポリシーを非常に簡単にエンドポイントに適用できます。一度ポリシーを作成するだけで準備が整います。

さらに、Zscaler Endpoint DLPではデータの自動検出機能を提供しており、ポリシーの構成さえ行わずに利用することも可能です。エージェントに適用すれば、ポリシーが構成されていなくても、直ちにすべてのデータの移動が追跡されるようになります。これは「データアクティビティー」と呼ばれ、展開先のデバイス上で確認されたリスクに関する有益な情報を、利用開始直後からダッシュボード上で確認でき、データ保護プログラムに役立てることができます。

グラフ

Zscaler Endpoint DLPの次のメリットは、インスペクションのアーキテクチャーです。Zscalerのアプローチは慎重を期して設計されており、インターネットに接続されていない状態でもデバイス上のデータ移動を完全に制御することが可能です。これにより、穴のないデバイス制御を実現できます。インスペクション機能がエンドポイントに残るため、レイテンシーは少なく、ユーザーへの影響は最小限に抑えられます。これは、膨大な数のデバイスに拡張していく際、非常に大きなメリットになります。

最後は、調査に役立つフォレンジック機能やダッシュボードです。これにより、データ漏洩のインシデントを速やかに特定して対処することが可能です。

製品のデモ

また、ワークフローの自動化により、データ保護プログラムを次のレベルに引き上げることができます。具体的には、インシデントの説明責任を負うユーザーを特定し、指導を行えるようになります。機密データの扱いに関して正しかった部分や間違っていた部分についてユーザーに学んでもらい、データ保護プログラムに関する認識を組織の全員で共有していくことができます。