リソース > セキュリティー用語集 > Exact Data Matchingとは

EDM(Exact Data Matching)とは

EDM(Exact Data Matching)とは

Exact Data Matching(EDM)は、ビジネス関連の情報やその他の機密データの漏洩を防止するために構築されたセキュリティー アプローチである、情報漏洩防止(DLP)の重要なコンポーネントです。Verizonの2019年版データ漏洩/侵害調査報告書では、約34%のデータ侵害において内部アクターが意図せず、もしくは誤使用によって関与していることが明らかになっています。これこそ、DLPが企業セキュリティの重要なコンポーネントである理由と言えます。

基本的に、DLPシステムはパターン マッチングを使用して、保護が必要なデータを特定します。管理者が保護対象として選択した記録の種類とそれに関連付けられたポリシーによって異なりますが、DLPシステムがモニタリングの対象とするデータのパターンはクレジット カード番号、口座番号、社会保障番号など多岐に渡ります。

これに対し、EDMは異なるアプローチを採用しています。保護する必要があるデータをパターン マッチングで特定する代わりに、実際に保護する必要があるデータをモニタリングすることで、検出の精度が飛躍的に向上し、誤検出の多くを排除できます。

これだけ高い精度が重要となる理由

クレジット カード番号を例にして考えてみましょう。単純にトラフィックのモニタリングでクレジット カード番号を検出しようとする場合、組織内の誰かが何らかの理由でクレジット カードを使用した際に毎回アラートが作動します。そのため、休憩時間に従業員がオンラインでなにかを購入しようとすると、購入がブロックされ、セキュリティ管理者にアラートが送信されます。このアラートは「誤検出」となりますが、これは、クレジット カード情報を送信しようとする試みをシステムが正しく検出したにもかかわらず、その行為が組織に一切のリスクを生じさせなかったためです。EDMでは、企業がデータベースに登録したクレジット カード番号(顧客やパートナーのものなど)のみがアラートの対象になり、従業員が何かを購入した場合でも経理部門が請求書を処理した場合でも、アラートは作動しません。

わかりやすく言えば、誤検出の多くは正確な検出であり、検出エンジンがその役割を果たしてポリシーに合ったコンテンツを識別しています。しかし、使用されるコンテキストによっては、そのコンテンツはビジネスにリスクをもたらすものとは限りません。誤検出は実際に何らかの影響を与えるものであり、直接的な被害はないものの、システムに負荷がかかります。管理者が毎週あるいはそれ以上の頻度で数百の誤検出を排除することになり、正当なアラートを調査する時間が少なくなってしまうのです。

すべてのデジタル ビジネスの機会には、データ保護やプライバシーに関連する法律、ハッキング、詐欺、ランサムウェアなどによって増大するビジネスリスクの軽減に優先的に取り組む、データ中心のセキュリティ戦略が必要です。
Gartner、2019年7月

EDMの仕組み

EDMにおいては、データベースやスプレッドシートなどの構造化されたソースからの機密データに対してフィンガープリンティングを行い、フィンガープリンティングされたデータを移動させようとする試みを監視することで、不適切な共有や転送を防止します。

EDMではまず、機密の記録を含むデータベースやExcelスプレッドシートの平文から始め、これらの記録のデータがプライバシー保護の目的で、多くの場合ハッシングにより難読化されます。ハッシングでは、アルゴリズムをデータに適用することで短いデータ文字列(ハッシュ)にし、それらのハッシュをDLPソリューションに保存します。そして、同じアルゴリズムがすべてのアウトバウンド トラフィックに適用されます。そのため、ハッシングされたトラフィックがDLPソリューションに保存されたハッシュと一致すると、転送がブロックされるか、アラートが作動します。

情報漏洩防止ツールの重要性は今後さらに高くなるため、すべての企業はこれをセキュリティの必須項目と考えるべきでしょう。
SC Labs、2020年3月3日

クラウド提供型のEDMが理想的な理由

EDMは多くのストレージと演算を必要とするため、その高い負荷を処理できる高度にスケーラブルなプラットフォームが必要です。Zscaler Cloud DLPとEDMは、世界規模のマルチテナント クラウド アーキテクチャーに基づいて構築されているため、ユーザーが接続する場所や使用するアプリケーションに関係なく、保護されたデータを送信しようとする試みを検出してブロックできます。また、パフォーマンスに影響することなく、Zscalerの一元化された管理ポータルから、リアルタイムでインシデントを可視化できます。

ほとんどのDLPシステムは、暗号化されたトラフィックを検査する能力を備えていないため、企業のトラフィックの大部分に死角が残されることになりますが、Zscaler Cloud DLPは、統合されたZscaler Cloud Security Platformの一部をなしており、すべての暗号化されたトラフィックを含む全トラフィックを検査します。

Zscaler EDMでは、一意の機密データの数十億単位のセルをフィンガープリンティングして照合できます。これらのフィンガープリントがZscaler Cloudに保存されることで、全世界での大規模な情報漏洩防止が可能になります。また、ZscalerはHIPAAなどの業界の標準やGDPRなどのデータ プライバシーの法規制へのコンプライアンスを維持しつつ、最大限のデータ保護も実現します。一方でCloud DLPは、EDM、機械学習、ファイルタイプコントロール、ユーザへのきめ細かいポリシーの適用などの幅広い機能を活用することで、地域の法規制へのコンプライアンスを簡素化します。

Zscaler Cloud DLPのような、EDMを備えた情報漏洩防止システムは、組織のセキュリティー ポスチャーを強化し、トランザクションが不必要にブロックされることでエンド ユーザーに不満を与える頻度を減らすのに役立ちます。また、膨大な量の誤検出を調べる必要がなくなるため、実際の情報漏洩のインシデントの調査と修復により多くの時間を割くことができるようになります。
 

参考となるその他のリソース