DLPとは?

Data loss prevention (DLP) は、企業ネットワーク上のデータを監視・検査し、フィッシングや悪意のある内部脅威などのサイバー攻撃による重要データの流出するのを防ぐ一連の技術およびプロセスです。

今日のデジタル時代において、顧客や従業員の個人を特定できる情報(PII)、保護対象の医療情報(PHI)、クレジットカード番号を含む財務データ、知的財産など、大量の機密データが生成されます。これらのデータは組織の生命線であるため、強力なデータセキュリティを導入することが必要不可欠です。

ひと昔前は、この種の機密情報は紙に印刷され、鍵のかかったファイルキャビネットに保管されていました。対して今日では、1と0からなるデジタル化情報がデータセンターからクラウドストレージプロバイダー、ユーザーのエンドポイントデバイスまで伝達される過程で今まで以上に危険にさらされやすくなっています。こうした機密情報を保護するためには、企業は総合的なデータ損失防止(DLP)戦略を導入する必要があります。

DLPツールは常に、ビジネスリーダーとITリーダーが共同で組織にとっての「機密データ」を特定し、これらのデータがどのように使用されるべきか、そして違反をどのように定義するかに関する同意形成をサポートする組織全体のDLP戦略の一部であるべきです。データの分類、データプライバシーとコンプライアンス情報、修復手順などを含む情報セキュリティガイドラインは、DLPポリシーに変換することができます。

多くの組織は、規制(GDPR、HIPAA、PCI DSSなど)の遵守または罰金や業務制限措置を避けるためにDLPを導入する動機は十分揃っていますが、データが漏洩してしまうとエンドユーザーの個人データが暴露されてしまい、漏洩させた組織は顧客の喪失、ブランド価値の損害、または法的措置を受けるリスクがあります。よく定義されたDLPポリシーとしっかり管理されているサポート技術によって、企業はこれらのリスクを大幅に削減することができます。

 

DLPはどのように機能するか?

DLPの仕組みは簡単に言えば、保護が必要な機密データを特定し、それを実際に保護することです。データは、一般的に言って使用中、移動中、静止中の3つの状態のいずれかに存在し、DLPソリューションはこれらの状態のすべてまたは一部のみを識別するように設計されることがあります。DLPエージェントプログラムは機密性があるデータをフラグするために、以下を含む様々な技術を使用することがあります:

  • ルールベースのマッチングまたは「正規表現」:一般的な手法の一つで、事前に書き込まれたルールに基づいて機密データを識別します(例:16桁の数字はクレジットカード番号であることが多い)。誤検出率が高いため、ルールベースのマッチングは通常、より深い検査の前の一次検査としてのみ利用されます)
  • 厳密データ照合 (データベースフィンガープリント): この技術は、エージェントがフィンガープリントした他の機密データと完全に一致するデータを特定するもので、通常は所与のデータベースから取得します。
  • 厳密ファイル照合: この技術は、ファイルの内容を分析せずに一致するファイルのハッシュを識別する点を除き、本質的には厳密データ照合と同様に機能します。
  • Partial document matching: この技術は、確立されたパターンやテンプレート(例:緊急医療施設ですべての患者が記入するフォームのフォーマット)と照合することで、機密データをピンポイントで特定するものです。
  • 機械学習、統計解析など: この系統に属する技術は、学習モデルに大量のデータを与え、これらのデータ文字列が機密である可能性が高い場合にそれを認識できるように「学習」させて利用します。これは特に、非構造化データの特定に有効です。
  • カスタムルール: 多くの組織では、識別・保護すべき独自のデータタイプがありますが、最新の DLP ソリューションを利用すれば他のルールと一緒に実行する独自ルールを構築することが可能です。

機密データを特定した後、そのデータをどのように保護するかは、組織のDLPポリシーに委ねられます。そして、どのように 保護したいかは、なぜ 保護したいかに大きく関わっています。

 

DLPの主なユースケース

DLP のコアユースケースは「データ損失防止」であることは自明ですが、「データ損失」には偶発的なものと故意(すなわち悪意)によるものとがあります。そして、知的財産(IP)や規制対象・個人情報(従業員や顧客の個人情報、健康情報、クレジットカードや社会保障番号などが含まれる)など、さまざまな種類のデータがあります。すでに説明したように、データを保護することは、顧客、収益、風評などのさまざまな損失から組織を守り、業界や法律のコンプライアンス規制を遵守することにつながります。最後に、これらのデータを保護するためには、当然ながらどこに何があるのかを特定できることが必要であり、これがもう一つの重要なユースケースである「可視性」です。

つまり、DLPソリューションの主なユースケースは以下になります:

  • IPおよび機密・規制データの保護
  • レギュレーションの継続的な遵守
  • お持ちのデータを可視化

 

統合DLPとエンタープライズDLP

今日の DLP ソリューション は高いレベルの完成度を達成しています。しかし、市場ではエンタープライズDLPソリューション間の差別化がほとんど見られないため、アナリスト企業のGartnerは、エンタープライズ向けDLPのMagic Quadrantを廃止しました。現在同社は、代わりに全体的なデータ保護戦略の重要性を強調し、統合DLPソリューションの使用について読者を教育するマーケットガイドに重点を置いています。同社は2017年の時点で、2021年までに90%の組織が何らかの統合DLPを利用すると予測しています。

従来のエンタープライズDLPソリューションは、データ漏洩が発生しうるデータが保存あるいは通過するすべてのチャンネル(エンドポイント、ストレージ、エクスチェンジなど)に対して、さまざまな製品や機能を提供するのが典型的なものでした。これらは、データ漏洩を防ぐためのに異なるツールや技術のセットを必要とします。

しかし、デジタルトランスフォーメーションによりユーザーの行動やトラフィックパターンが変化し、エンドポイント、クラウドアプリケーション、データストレージ間を行き来するデータをDLPソリューションで保護することがより重要になってきています。この保護が、セキュアウェブゲートウェイ、コンテンツ管理、または クラウド アクセス セキュリティ ブローカー (CASB) などのテクノロジーによってネイティブに提供されている場合、統合 DLP と呼ばれます。

エンタープライズ DLP ソリューションは一般によく知られているように、複雑かつ高価であるのが実情です。エンタープライズDLPを購入した企業は、その機能の一部しか使用しておらず、統合DLPのほうがより迅速かつよいコストパフォーマンスで対応できる基本的なユースケースにしか応用していないことがよくあります。

DLPは、トラフィックが見えなければ、情報漏洩を防止できない

クラウドへの移行が進む中、ネットワークDLPソリューションは次の3つの課題により、本来検査すべきトラフィックを確認できなくなっています:

  • リモートユーザー: ネットワーク DLP では、可視性と保護レベルがユーザーがいる場所によって異なります。ユーザーはネットワークに接続されていない時に検査を簡単に回避し、直接クラウドアプリケーションに接続することができてしまいます。DLPとセキュリティポリシーが効果を発揮するには、ユーザーがの場所や使用モバイルデバイスにかかわらず適用される必要があります。
  • 暗号化: TLS/SSLで暗号化されたトラフィックの驚異的な増加により、ネットワークベースのDLPではそれを復号して検査することができないという大きな盲点が出てきています。
  • パフォーマンス上の制限: 従来のネットワークDLPアプライアンスはリソースに限りがあり、常に増え続けるインターネットトラフィックをインラインで検査するために拡張することができません。

 

クラウド・モバイルファーストの世界におけるDLPは新しい考え方と最新のテクノロジーが必要

デジタル変革に伴うデータ保護上の課題に対処し、従来のエンタープライズDLPの弱点を克服するには、従来のハードウェアスタックをクラウド用に再構成するだけではクラウド上で構築されたソリューションに対する保護とサービスが欠けてしまうため不十分です。クラウドベースのDLPソリューションは、次の3つの要素を提供する必要があります:

  • ネットワーク上でもネットワーク外でも、すべてのユーザーに同一の保護を提供し 、本社、支店、空港、ホームオフィスなど、どこにいてもすべてのユーザーに総合的なデータ保護を提供すること。
  • 今日のインターネットトラフィックの 80% 以上は脅威が隠れている可能性があり、TLS/SSL で暗号化されたトラフィックのネイティブインスペクション でそれらを可視化すること。
  • インラインインスペクションのための弾力的なスケーラビリティにより 、トラフィックが来るたびにすべて検査し、疑わしいファイルや不明なファイルを隔離することによってデータ損失を防ぎ、侵害後のダメージコントロールに依存しないこと。

 

Ponemon Instituteが発表した「2021年度 Cost of a Data Breach Report」によると、昨年発生したデータ侵害のコストは、米国で平均905万米ドル、世界で424万米ドルであり、そのうちの38%がビジネス機会の損失によるものです。

また同調査では、ゼロトラストアプローチが成熟している組織はそうでない組織と比較して、侵害1件あたりに平均176万ドルの被害を食い止めていることが判明しました。

Zscaler Data Protectionを活用する包括的なクラウドセキュリティの実現

SANSによるソリューションレポートを入手

ガートナーのDLPマジック・クアドラントに何が起きたか?

ブログ記事を読む
DLPとはのブログアイコン

規制対象外データの損失は、想像以上にコストがかかります

ブログ記事を読む
DLPとはのブログアイコン

情報漏洩防止とデジタルトランスフォーメーション

ホワイトペーパーを読む
DLPとはのホワイトペーパー

WFA(Work From Anywhere)環境におけるデータの保護

電子書籍のダウンロード
DLPとはのホワイトペーパー

データ保護ダイアログ:場所を問わずに仕事ができる世界におけるDLP

ビデオを見る
DLPとはのホワイトペーパー

DLPのための厳密データマッチング

情報漏えい対策ソリューションは従来、クレジットカード番号や社会保障番号などをパターンマッチングで識別し保護してきました。しかし、この方法は正確性に欠けます。安全なトラフィックは、保護対象として選択されたパターンが含むだけでブロックされることが多く、セキュリティチームは誤検出続出の問題に忙殺される可能性があります。

Exact Data Match (EDM) は、検出精度を誤検出の可能性をほぼ排除するレベルまでに高めた、強力なDLPテクノロジーイノベーションです。EDMはパターンマッチングではなく、機密データの「フィンガープリント」を作り、そのフィンガープリントを持つデータを不適切に共有・転送する試みを監視・阻止するものです。

DLPベストプラクティス

DLPを微調整する理想的な方法は組織ごとの固有ニーズによって異なりますが、一部のベストプラクティスはあらゆる状況に適用されます。本テーマを完全に網羅するのは別の記事に譲るとして、ここでは最も重要なベストプラクティスをいくつか紹介します:

  • 最初に導入する際は組織全体のデータフローを把握し、最適なポリシーを決定するためにモニタリングモードのみで開始する。
  • ワークフローの混乱と従業員の苛立ちを惹起しないよう、ユーザー通知を使用して従業員が知らないうちにポリシーが実行されることがないようにすること。
  • ユーザーが通知に関するフィードバックを送信し(自分の行動を正当化するため、またはポリシー違反のフラグを立てるため)、それを使ってポリシーを改良できるようなソリューションを使用する。
  • EDM(厳密なデータマッチング)などの高度な分類手段を活用し、誤検出の低減を図る。
  • 現在では大部分のウェブトラフィックは暗号化されているので、TLS/SSLで暗号化されたトラフィックを復号できるソリューションのみを使用する。

データ損失防止に関して、企業が着手すべきポイント

増大し続けるリスクとデータ保護関連規制の拡大に伴い、組織はクラウドとモビリティによって生じるセキュリティギャップを解消する必要があります。これは新しい話題ではなく、Cybersecurity Insidersによる2019年の調査では、データ損失の防止はITエグゼクティブにとって2番目に重要な優先事項であることがわかっています。

これまでは、ただでさえ複雑なスタックにさらにアプライアンスを追加していくことになっていました。しかし今はクラウドDLPがあります。Zscaler Cloud Data Loss Prevention (DLP) のようなソリューションを、より広範なSecure Access Service Edge (SASE) platform の一部として利用すれば、ユーザーがどこから接続しても、アプリケーションがどこでホスティングされていても、データ保護格差の解消と同時にITコストと複雑度の低減を実現することが可能です。

 

参考資料