リソース > セキュリティ用語集 > Exact Data Matchとは

EDM(Exact Data Match)とは?

EDM(Exact Data Match)とは?

EDMExact Data Match)は、ビジネス情報やその他の機密データの漏洩の防止を前提に設計されたセキュリティアプローチであるDLP(情報漏洩防止)の重要なコンポーネントです。ベライゾンの2019年版データ侵害調査レポートによれば、約34%の侵害が内部関係者の意図的ではない行為、あるいは誤用によって発生しており、だからこそ、DLPは常に企業セキュリティの重要な要素となるのです。

DLPシステムは通常、パターンマッチングを使用して保護する必要があるデータを特定します。管理者が保護対象として選択したレコードの種類とそれに紐付けられたポリシーによって異なりますが、DLPシステムが監視するパターンは、クレジットカード番号、口座番号、社会保障番号など、無数にあります。

EDMは、異なるアプローチを採用し、パターンマッチングで保護する必要があるデータを特定する代わりに実際に保護する必要があるデータを監視することで、検知の精度が飛躍的に向上し、誤検知をほとんど排除できます。

そのような精度がなぜ必要なのか?

例えば、クレジットカード番号の場合、トラフィックの監視でクレジットカード番号が検知されると、組織内の誰かが何らかの理由でクレジットカードを使用したというアラートが通知されます。そのため、休憩時間に従業員がオンラインでなにかを購入しようとすると、購入がブロックされ、セキュリティ管理者にアラートが通知されます。この場合、アラートはおそらく「誤検知」ですが、これは、クレジットカード情報を送信しようとする行為をシステムが正しく検知したにもかかわらず、その行為が組織のリスクではなかったことを意味します。EDMでは、企業がデータベースに登録したクレジットカード番号(顧客やパートナーのものなど)のみがアラートの対象になり、従業員が何かを購入しても、経理部門が請求書を発行しても、アラートは通知されません。

わかりやすく言えば、誤検知の多くは本当の検知であり、検知エンジンがその役割を果たしてポリシーと一致したコンテンツを識別したことを意味しますが、使用されるコンテキストによっては、そのコンテンツがビジネスにリスクをもたらすものではないということです。誤検知は実際に何らかの影響を与えるものであり、直接的な被害はないものの、システムに負荷がかかります。管理者が毎週あるいは以上の頻度で数百の誤検知を排除することになり、正規のアラートを調査する時間が少なくなります。

誤検知は実際に何らかの影響を与えるものであり、直接的な被害はないものの、システムに負荷がかかります。管理者が毎週あるいは以上の頻度で数百の誤検知を排除することになり、正規のアラートを調査する時間が少なくなります。

すべてのデジタルビジネスの機会には、データ保護やプライバシーに関連する法律、ハッキング、詐欺、ランサムウェアなどによって増大するビジネスリスクの軽減に優先的に取り組む、データ中心のセキュリティ戦略が必要です。 – ガートナー、2019年7月
ガートナー、2019年7月

EDMの仕組みは?

EDMは、データベースやスプレッドシートなどの構造化されたソースから機密データを「フィンガープリンティング」し、フィンガープリンティングされたデータを移動させようとする動作を監視することで、不適切な共有や転送を防止します。

EDMは最初に、機密レコードを含むデータベースやExcelスプレッドシートの平文から開始し、これらのレコードのデータがプライバシー保護の目的で、通常はハッシングにより難読化されます。ハッシングでは、アルゴリズムをデータに適用することで短いデータ文字列(ハッシュ)にし、それらのハッシュをDLPソリューションに保存します。これと同じアルゴリズムがすべてのアウトバウンドトラフィックに適用されます。そのため、ハッシングされたトラフィックがDLPソリューションに保存されたハッシュと一致すると、転送がブロックされるか、アラートが通知されます。

情報漏洩防止ツールの重要性は今後さらに高くなるため、すべての企業はこれをセキュリティの必須項目と考えるべきでしょう。
SC Labs、2020年3月3日

クラウド配信型EDMが優れている理由

EDMは、ストレージも処理能力も多用するため、その高い負荷を処理できる高度にスケーラブルなプラットフォームが必要です。Zscaler Cloud DLPとEDMは、グローバルのマルチテナントクラウドアーキテクチャを採用して構築されているため、ユーザが接続する場所や使用するアプリケーションに関係なく、保護されたデータを送信しようとする動きを検知してブロックできます。パフォーマンスに影響することなく、ゼットスケーラーの一元化された管理ポータルから、リアルタイムでインシデントを可視化できます。

ほとんどのDLPシステムは、暗号化されたトラフィックをインスペクションする能力を備えていないため、企業内のトラフィックの大部分に死角が残されることになりますが、Zscaler Cloud DLPは、統合Zscaler Cloud Security Platformの一部であるため、すべての暗号化されたトラフィックを含むすべてのトラフィックをインスペクションします。

Zscaler EDMでは、一意の機密データの数10億のセルをインラインでフィンガープリンティングして照合できます。これらのフィンガープリントがZscaler Cloudに保存されることで、グローバルな情報漏洩防止が可能になります。ゼットスケーラーは、HIPAAなどの業界のセキュリティ標準やGDPRなどのデータプライバシーの法規制へのコンプライアンスを維持しつつ、最大限のデータ保護も可能にします。Cloud DLPは、EDM、機械学習、ファイルタイプコントロール、きめ細かいポリシーのユーザへの適用などの幅広い機能を活用することで、地域の法規制へのコンプライアンスを簡素化します。

Zscaler Cloud DLPなどのEDMの機能を備えた情報漏洩防止システムは、組織のセキュリティポスチャを強化し、トランザクションが不必要にブロックされることによるエンドユーザの不満を軽減し、大量の誤検知に悩まされることなく、実際の情報漏洩インシデントの調査と修復のための時間を確保できるようにします。

 

参考: