完全データ一致(EDM)とは

サイバーセキュリティにおけるEDMとは

EDMの目的は、DLPと同様に、個人を特定できる情報(PII)などの機密データがインターネットに公開されないよう保護することです。組織がクラウド サービスを採用するにつれて、このような情報の保護はより困難になります。それはアクセス許可、エンドポイント セキュリティ、修復などのセキュリティ機能を組織が管理するときに、クラウド データ侵害の最大の原因である設定ミスのリスクが高まるからです。

完全データ一致はDLPの重要な要素であるデータの分類の1つの方法です。DLPシステムは通常、パターン マッチングを使用して保護する必要があるデータを特定します。DLPシステムは、管理者が保護の対象として選択した記録の種類および付随するポリシーに応じて、クレジット カード番号、口座番号、社会保障番号(SSN)などのデータをモニタリングします。

EDMは、このような値を関連ベースではなく完全ベースで保護するのに役立ちます。つまり、値自体をグループでひとまとめにして扱うのではなく、各々の値そのものに独自のセキュリティ プロトコルが与えられているということです。これにより、セキュリティ部門が受信する誤検知(または不要な通知)の量を減らすことができます。

完全データ一致の仕組み

EDMは、データベースやスプレッドシートなどの構造化されたデータ ソースから機密データを「フィンガープリント」し、フィンガープリントされたデータを移動させようとする試みを監視することで、不適切な共有や転送を防ぎます。トランザクションが1つでも疑わしいと判断される場合には、EDM付属のDLPが、カスタマイズされた機密情報種別(クレジット カードなど)の全エントリーへのアクセスを遮断します。

EDMは最初に、機密の記録を含むデータベースやスプレッドシートのプレーン テキストから開始します。記録内にあるデータは通常はハッシュによって難読化され(データ文字列はアルゴリズムによって短縮および暗号化)、DLPソリューション内に保存されます。これと同じアルゴリズムがすべてのアウトバウンド トラフィックに適用されます。ハッシュされたトラフィックが保存されているハッシュと一致すると、転送がブロックされるかアラートが作動します。

EDMが重要な理由

クレジット カード番号の場合を例に取ると、単にクレジット カード番号のトラフィックをモニタリングしている場合は、組織内の誰かが何らかの理由でクレジット カードを使用したときに毎回アラートが通知される可能性があります。そのため、従業員が休憩時間にオンラインで商品を購入しようとするとブロックされてしまい、セキュリティ管理者にアラートが通知されます。

この場合、クレジット カード情報を送信しようとする行為をシステムが正しく検知したにもかかわらず、実際は組織に対するリスクではなかったので、アラートはいわゆる「誤検知」となります。EDMを使用すると、企業がデータベースに登録したクレジット カード番号(お客様やパートナーのカードなど)のみがアラートの対象になり、従業員が何かを購入したり、経理担当者が支払いを行ったりしても、アラートは通知されません。

わかりやすく言えば、誤検知の多くは本当の検知であり、検知エンジンは本来の役割を果たし、ポリシーと一致したコンテンツを識別しています。しかし、そのコンテンツが使用される状況においては、コンテンツはビジネスにリスクをもたらさないということです。誤検知は、直接的な害をもたらさないまでも、システムに負荷をかけ、悪影響を生じさせます。管理者が毎週数百件以上の誤検知への対処を強いられると、正当なアラートの調査に費やす時間が少なくなってしまいます。

EDMのメリット

DLPは、組織がデータを安全に保つのに役立つプロトコルを既に導入していますが、完全データ一致により、組織は特定のデータ値を検出して保護できます。ただし質の高いプラットフォームを選択する場合は、特定の機能に注目する必要があります。効果的なEDMプラットフォームのメリットには以下のものがあります。

インライン検査と適用

EDMを備えたクラウド配信DLPは、ユーザーがネットワーク内外どちらにいるかにかかわらず、すべてのネットワーク トラフィックをインラインで検査できるため、情報漏洩インシデントの検出精度が向上して誤検知がほぼなくなります。ネイティブSSLインスペクションとポリシー適用を備えたEDMは、すべてのアプリケーションとユーザーのトラフィックを保護し、セキュリティを強化しながら可視性を向上させます。

クラウドの容量

クラウドのスケーラビリティーを活用することで、お客様はいつでも最大10億セルのデータにフィンガープリントを付けて照合できます。このようなソリューションをオンプレミスに実装しようとすると、リソースを大量に消費するテクノロジーの性質によりパフォーマンス上の制約が生じてしまいます。

きめ細かなポリシー制御

クラウド ネイティブなDLPは、EDMと高度なカスタマイズが可能なポリシーを活用することで、特定の記録との完全一致が、許可されていないユーザーやサービスへ転送されるのを検出して停止できます。この技術により誤検知がなくなり、セキュリティ態勢と管理者の生産性がどちらも向上します。

EDMが多様なDLPユース ケースをサポートできることは明らかですが、クラウドで構築され、場所や使用するデバイスを問わずにゼロトラストの原則でユーザーを保護できるDLPベンダーは、Zscalerだけです。

完全データ一致とZscaler DLP

Microsoftから提供されている完全データ一致と混同しがちですが、Zscalerの完全データ一致はストレージとコンピューティングを集中的に使用するオペレーションで、その高い負荷を処理できる高度にスケーラブルなプラットフォームが求められます。

EDMを備えたZscaler Cloud DLPはグローバル マルチテナント クラウド アーキテクチャー上に構築されているため、ユーザーが接続する場所や使用されているアプリに関係なく、保護されたデータを送信しようとする試みを検知してブロックします。世界各地に展開されるZscalerの大規模なクラウド(150 PoP以上)により、接続やパフォーマンスに影響が出ることはありません。また、一元化されたZscaler管理ポータルでインシデントをリアルタイムで可視化できます。

ほとんどのDLPシステムは暗号化されたトラフィックを検査できないため、企業トラフィックの大部分を把握できないままになりますが、Zscaler Cloud DLPは統合されたZscaler Zero Trust Exchange™プラットフォームの一部をなしており、暗号化されたトラフィックを含む全トラフィックを検査します。Zscalerは、この機能をクラウド配信サービスで提供する唯一のセキュリティ サービス プロバイダーです。

Zscaler EDMでは、一意の機密データの数十億のセルをフィンガープリントして照合できます。これらのフィンガープリントがZscalerクラウドに保存されることで、グローバルかつ大規模に情報漏洩を防ぎます。またZscalerは、医療データや医療記録のHIPAAなどといった業界内における義務や、GDPRなどのデータ プライバシー規制を遵守しながら、最大限の情報保護を実現する支援をします。

Zscaler Cloud DLPは、EDM、機械学習、ファイル タイプ コントロール、きめ細かいポリシーのユーザーへの適用などの幅広い機能を活用することで、地域の法規制へのコンプライアンスを簡素化します。また、セキュリティ態勢を強化して不必要にブロックされたトランザクションに起因するエンド ユーザーのストレスを軽減します。チームは、大量の誤検知に悩まされることなく、実際に発生している情報漏洩インシデントの調査および対処のために時間を確保できるようになります。