VPNの脆弱性に関する不安が広がっています。ZPAの60日間無料トライアルを利用して、VPNからの移行のメリットをお確かめください。

エキスパートに相談する

Cloud DLP(情報漏洩防止)とは

クラウド情報漏洩防止(DLP)は、企業ネットワーク上のデータをモニタリングおよびインスペクションして、フィッシング、ランサムウェア、悪意のあるインサイダー脅威などのサイバー攻撃に起因するデータ流出を防ぐデータ セキュリティ技術およびプロセスに分類されます。クラウドから展開されたCloud DLPは、個人を特定できる情報(PII)、クレジット カード番号、知的財産などの機密データを、存在場所を問わず保護できます。

dlp
見る

Cloud DLPが重要である理由

機密情報が紙に印刷されていた時代の情報漏洩防止策は、保管用のキャビネットに鍵をかけるだけというシンプルなもので済んでいました。現在では、データ センター、クラウド プロバイダー、エンドポイント デバイス間で伝達されるデータはその過程で無数の脆弱性の影響を受ける可能性があり、不正アクセスから保護するには、総合的な情報漏洩防止(DLP)戦略を実装する必要があります。

DLP戦略の策定にあたっては、ビジネス リーダーとITリーダーが協力して組織の「機密データ」の条件を定め、データの取り扱い方法について合意したうえで、その違反条件を明確化する必要があります。こうして定めた情報セキュリティ ガイドライン(データの分類、データ プライバシーとコンプライアンス情報、修復手順など)は、DLPポリシーに変換することが可能です。

さまざまなコンプライアンス基準(GDPR、HIPAA、PCI DSSなど)による罰金や業務上の制約を回避するためにDLPの実装を迫られている組織もあるかもしれません。しかし、データ侵害が起これば、エンド ユーザーの個人データが流出し、顧客を失ったり、ブランド価値に傷が付いたり、法的な責任を問われたりするリスクも出てきます。適切に定義されたDLPポリシーと、適切に管理されたサポート技術を利用することで、こうしたリスクは大幅に削減できます。

クラウド情報漏洩防止のメリット

クラウドベースのDLPは、どのような組織に対しても以下のようないくつかのメリットを提供します:

  • 増大するデータ量と変化する情報エコシステムのニーズに対応できる簡単なスケーラビリティー
  • オンプレミスのハードウェアと関連する更新/メンテナンス費用の排除によるインフラストラクチャー コストの削減
  • データ センターにバックホールすることなく、場所を問わずユーザーおよび拠点を保護
  • 管理するボックスを持たずオンプレミスのDLPよりもスピーディーな実装と構成
  • クラウドからの自動更新により、ダウンタイムの心配なく最新のインテリジェンスおよび機能を提供

Zscaler ThreatLabzが実施した2022年の調査では、クラウド アプリ データの36%が誰でもアクセス可能なリンクで共有されていることが判明しています。

クラウド情報漏洩防止技術

簡単に言うと、クラウドベースのDLPを含むDLP技術は、保護が必要な機密データを特定し、それを保護することで機能します。DLPソリューションは、使用中、転送中、または保存されているデータ(もしくは任意の組み合わせ)を識別し、機密性があるかどうかを判断するようにデザインできます。この実践のために、DLPエージェントは以下のような多くの各種技術を使用できます

  • ルールベース マッチング(正規表現):あらかじめ記述されたルールに基づいて機密データを識別します(例:16桁の数字はクレジット カード番号であるケースが多い)。ルールベース マッチングは誤検出率が高いため、通常、より詳細な分析の前に行う一次検査としてのみ利用されます。
  • 完全データ一致(データベース フィンガープリンティング):すでにフィンガープリントが取得されている他の機密データ(通常はデータベース内に格納)と完全に一致するデータを識別します。
  • 完全ファイル一致:基本的には完全データ一致(EDM)と同様の技術ですが、完全ファイル一致はファイルのコンテンツを分析することなく、一致するファイルのハッシュを識別します。
  • Partial Document Matching:確立されたパターンやテンプレート(例:緊急医療施設で患者情報を入力する標準的なフォーム)と照合して、特定の機密データを識別するものです。
  • 機械学習、統計解析など:与えられたデータ文字列が機密性を持つ可能性が高い場合にそれを認識できるよう、学習モデルに大量のデータを与え「トレーニング」する技術のグループです。特に非構造化データの識別に有効です。
  • カスタム ルール:識別して保護するデータの種類が組織固有のものも多いため、最新のDLPソリューションでは独自のルールを作成して他のルールと併せて実行できるようになっています。

機密データが特定された後、そのデータをどのように保護するかはDLPポリシーによって異なります。どのようにデータを保護するかは、なぜそのデータを保護したいのかと大きく関わってくるのです。

Cloud DLPの主なユース ケース

すでに見てきたように、機密データの保護は、顧客、収益、評判といった面での損失から組織を守り、業界規制や法的規制を順守することにもつながります。データを保護するためには、必然的にデータの内容と保管場所の特定が必要になるため、ここでもう1つ重要なユース ケースが出てきます。「データの可視化」です。

つまり、DLPソリューションの主なユース ケースは以下の3つになります。

  • 転送中および保存状態の機密データの保護:DLPは、暗号化、アクセス制御の適用、疑わしいアクティビティーの監視を通して、複数のエンドポイント、ネットワーク、クラウド間で移動するデータや保存されているデータを保護します。
  • 各種規制への準拠:DLPポリシーや関連技術によって、アクセス制御の適用、使用状況の監視、監査の実施が可能になり、組織として、GDPR、HIPAA、PCI DSSなどの規制に確実に沿う形で機密データを取り扱えるようになります。
  • データの可視化:DLPはデータを可視化し、機密情報がどこで保管され、移動しているのかや、誰がアクセス権を持ち、どのように使用されているのかなどに関するインサイトを提供します。これにより、脆弱性を特定したり、危険なアクティビティーを検出したりすることができ、ひいてはデータ侵害の修復や阻止が可能になります。

5種類のCloud DLPソリューション

すべてのユース ケースやデータ損失のあらゆるリスクに1つの技術で対処することはできないため、現在利用できる効果的なデータ保護ソリューションには複数の機能が統合されています。具体的に最も一般的で重要なクラウドDLP技術をいくつか見てみましょう。

  1. クラウド アクセス セキュリティ ブローカー(CASB):エンドポイントとクラウド アプリ間のユーザー アクティビティーやデータ転送を監視および制御し、セキュリティ ポリシーを適用して、不正アクセス、データ漏洩、コンプライアンス違反を防止します。クラウド環境におけるユーザー行動、アプリの使用状況、データ ストレージを可視化します。
  2. DLPソフトウェア:エンドポイント、電子メール、クラウド サービスなどのチャネル全体で、機密データが流出しないよう保護します。データの監視とポリシーの適用をリアル タイムで行うことで、侵害リスクを特定し、実際に侵害が起こることを防止できます。
  3. ユーザーとエンティティーの行動分析(UEBA):ユーザー行動、アクセス パターン、システム イベントなどを監視、分析、関連付けすることで、異常や潜在的な脅威(悪意のある内部関係者、侵害されたアカウント、ラテラル ムーブメントなど)を検知します。
  4. SaaSセキュリティ態勢管理(SSPM):セキュリティ設定、アクセス許可、脆弱性の評価および管理を、さまざまなSaaSアプリ全体にわたって支援することで、セキュリティ ギャップに対処し、データ漏洩や不正アクセスに関連するリスクを軽減します。
  5. ブラウザー分離:安全な環境でWebコンテンツを実行することで、悪意の可能性があるWebコンテンツ(ドライブバイ ダウンロード、マルウェア、フィッシングなど)がユーザーのエンドポイント、ネットワーク、機密データに直接アクセスしたり悪影響を与えたりするのを防ぎます。

Cloud DLPとデータの可視性に対する必要性

DLPを取り入れても、検知できないトラフィックがあれば情報漏洩を防止することはできません。クラウド内で移動するデータの量が増え続けているため、これは非常に重大な問題です。従来のネットワークベースのDLPでは、主に以下3つの点が課題となり、検査すべきトラフィックを確認できません。

  • リモート ユーザー:ネットワークDLPで実現可能な可視性と保護レベルは、ユーザーの場所によって変わります。ネットワーク外のユーザーは、簡単に検査を回避し、直接クラウド アプリに接続できてしまいます。DLPやセキュリティ ポリシーが効果的であるためには、接続する場所や使用しているデバイスに関係なくユーザーを監視する必要があります。
  • 暗号化:TLS/SSLで暗号化されたトラフィックが飛躍的に増加しており、これを復号して検査できないネットワークベースのDLPの場合、膨大な盲点が残ります。
  • パフォーマンス上の制約:アプライアンスベースのDLPソリューションではリソースには限りがあるため、効果的な拡張を行い、増え続けるインターネット トラフィックのインライン検査に対応することができません。

クラウドおよびモバイルファーストの環境におけるCloud DLP

デジタル トランスフォーメーションに伴うデータ保護の課題に対処し、旧式のエンタープライズDLPが抱える弱点を克服するには、新しい考え方とそれに沿った技術が必要です。従来のハードウェア スタックをクラウド用に再構成する方法では不十分なうえ、非効率的です。一方、クラウドで構築されたDLPソリューションは、以下のような保護やサービスを実現しています。

  • ネットワーク内外のすべてのユーザーに対する一貫した保護の提供:すべてのユーザーに包括的なデータ保護を提供できます。本社、事業拠点、空港、自宅など、あらゆる場所のユーザーを保護します。
  • TLS/SSLで暗号化されたトラフィックのネイティブ インスペクション:現在の攻撃の85%以上が隠れているとされるトラフィックを検査でき、組織にとって非常に重要な可視性を得ることができます。
  • インライン検査の柔軟な拡張性:すべてのトラフィックを検査し、疑わしいファイルや不明なファイルを隔離することで、侵害後のダメージ コントロールに頼ることなくデータの流出を防ぎます。

Cloud DLP向けの完全データ一致

DLPソリューションでは長きにわたり、クレジット カード番号や社会保障番号などの識別にパターンマッチングが使用されてきました。しかし、この方法は正確性に欠け、安全なトラフィックでも、保護対象として選択されたパターンが含まれているだけでブロックされることがあるため、大量の誤検知によってセキュリティ部門を悩ませることとなります。

完全データ一致(EDM)は、DLP技術における強力なイノベーションで、誤検知をほぼ発生させないレベルにまで精度を高めます。EDMはパターンの照合を行う代わりに、機密データのフィンガープリントを記録することで、記録したデータが不適切に共有または転送されないよう、データの移動の試みを監視します。

Cloud DLPのベスト プラクティス

最適なDLP戦略は組織のデータやニーズによって異なるため、ベスト プラクティスも組織によって変わってきます。それもこの記事全体を通じてお伝えしたい点の1つです。ここでは、あらゆる状況に当てはまる広範なベスト プラクティスをいくつか紹介します。

  • 最初に導入する際は監視モードのみで開始する。組織全体のデータの流れを把握することで、最適なポリシーを決定できます。
  • ユーザー通知を通して従業員に最新情報を伝達する。ユーザーに周知しないままポリシーを施行して、ワークフローの混乱や従業員のストレスを招くことがないようにします。
  • ユーザーが通知に関するフィードバックを送信できるようにする。(アクションの正当性を示したり、ポリシーの不備を指摘してもらったりして)フィードバックを基にポリシーを改善することができます。
  • EDMなどの高度な分類手法を活用する。これによって誤検知を減らすことができます。
  • TLS/SSLで暗号化されたトラフィックを復号できるソリューションを使用する。現在のWebトラフィックの大部分は暗号化されているためです。

Ponemon Instituteによる、データ侵害によるコストに関するレポート(2022年版)では、以下のデータが示されています。

  • データ侵害による損失額は、米国で平均944万ドル、世界平均435万ドル(うち32%以上がビジネス機会の損失)
  • 成熟したゼロトラスト アプローチを導入している組織では、そうでない組織に比べ侵害1件ごとの被害額が平均151万ドル減少

Zscalerのクラウド情報漏洩防止で対策を始めましょう

リスクが増大し、データ保護に関する規制が拡大するなかで、組織はクラウド化やモバイル化によって生じるセキュリティ ギャップを解消しなくてはなりません。セキュリティ ギャップには、脆弱性に起因するものもあれば、設定ミスに起因するものもあります。

従来であれば、複雑なスタックにさらにアプライアンスを追加する対応を迫られていたことでしょう。しかし、現在はZscaler DLPでの対応が可能です。これは、Zscaler Data Protectionスイートの一部で、100%クラウドで提供されます。Zscaler DLPは、ユーザーやアプリケーションの場所を問わず、データ保護のギャップを解消すると同時に、ITのコストと複雑さを軽減します。

Zscaler DLPが提供する機能は以下のとおりです。

  • あらゆる場所のユーザーとデータに対する一貫した保護
  • インターネット、エンドポイント、メール、SaaS、プライベート アプリ、クラウド態勢全体の保護
  • 世界最大のインライン セキュリティ クラウドによるスケーラブルなTLS/SSLインスペクション
  • 機械学習を活用した革新的なデータ検出を通じた合理的なワークフローおよびオペレーション

データの検出および保護の方法を刷新するZscaler DLPの詳細はこちら

ご利用のDLPツールで検出できていない情報漏洩はありませんか?Zscaler Security Previewでご確認ください。

おすすめのリソース

よくある質問

クラウドベースのDLPとは

情報漏洩防止(DLP)には、企業ネットワーク内またはクラウド内の機密データを保護することを目的とした、一連のサイバーセキュリティ対策や関連プラクティスが含まれます。クラウドベースのDLPは文字通りクラウドから展開されるDLPです。データを継続的にモニタリングおよび検査することで、フィッシング、ランサムウェア、インサイダー脅威などのサイバー攻撃によってデータが流出するリスクを軽減します。個人を特定できる情報(PII)、クレジット カードの詳細、知的財産などの重要なデータの保護は、規制コンプライアンスの維持、財務上の安定性確保、顧客の信頼維持において不可欠です。

Cloud DLPが重要である理由

クラウドDLPは、保存中、移動中、または転送中(特にクラウド全盛の現代では一般的)を不正アクセスから保護します。完全データ一致や高度なデータ検出など、最新のDLP手法を採用したDLPポリシーおよび技術を実装することで、組織における規制順守、データ侵害の防止、罰金の回避、顧客の信頼ならびに企業としての評判の維持を容易に実現できます。

Cloud DLPの主なユース ケースとは

Cloud DLPには、主に以下の3つのユース ケースがあります:

  • 転送中および保存状態の機密データの保護: Cloud DLPは、暗号化、アクセス制御の適用、疑わしいアクティビティのモニタリングを通して、複数のエンドポイント、ネットワーク、クラウド間で移動および保存されているデータを保護します。
  • 各種規制への準拠: Cloud DLPポリシーや関連技術によって、アクセス制御の適用、使用状況のモニタリング、監査の実施が可能になり、組織がGDPR、HIPAA、PCI DSSなどの規制に確実に沿う形で機密データを取り扱えるようになります。
  • データの可視化を取得: Cloud DLPはデータを可視化し、機密情報がどこで保管および移動しているのか、誰がアクセス権を持ち、どのように使用されているのかなどに関するインサイトを提供します。これにより、脆弱性の特定や危険なアクティビティを検出してデータ侵害の修復や阻止が可能になります。

情報漏洩を防ぐにはどのような方法が最も効果的ですか?

情報漏洩を防ぐには、適切なセキュリティ、ユーザーの意識向上、移動中データおよび保存データを保護するための効果的なDLP対策、定期的なバックアップやディザスター リカバリー プランを組み合わせた強力なアプローチを取ることが最も効果的です。

  • DLPは、機密データの識別、監視、保護をサポートするほか、規制順守を徹底し、不正アクセスやデータ侵害のリスクを軽減します。
  • ユーザー教育を通して、データの安全な取り扱い手順、強力なパスワード、フィッシングの認識、およびデータ セキュリティ ポリシーに関する理解の重要性を周知することも大切です。
  • バックアップおよびデータ リカバリー プランを用意しておくことで、インシデントが発生した場合でもデータが完全に失われないように備えることができます。

Cloud DLPとCASBの違いとは

Cloud DLPとクラウド アクセス セキュリティ ブローカー(CASB)ソリューションには、独特の主要重点エリアがあります。Cloud DLPは主にクラウド環境での機密データの漏洩をモニタリングおよび防止するためにありますが、CASBにはクラウド環境でのデータ保護、脅威検出、アクセス制御、およびポリシー適用が含まれます。これらはどちらもクラウド セキュリティにおいて重要なコンポーネントで、互いに補完し合いながら機能します。