お役立ち資料
Introduction
企業にとって、自社の機密情報や顧客、取引先、従業員の個人情報などが流出することは、避けたい問題のひとつです。しかし、近年はサイバー攻撃が高度化し、マルウェア感染によって、重要な機密情報が流出してしまうなどの被害が多発しています。
企業の重要な情報を守るために、より高度なセキュリティ対策が求められています。そこで役に立つのが、データをリアルタイムで監視して、情報漏洩を防ぐDLPという仕組みです。
この記事では、DLPとは何か、どのような機能や仕組みが備わっているのか、導入するメリット、自社にあったDLP製品の選び方などについて解説します。
目次
DLPとは?
DLPとは、企業や組織が保有する情報の漏洩や消失を防ぐための、セキュリティシステムのことです。ログイン認証やアクセス権限管理などとは異なり、守りたいデータそのものを監視し、重要な情報の流出を検知した際にブロックする仕組みです。
ここでは、DLPとはどのようなシステムなのかについて解説します。
情報漏洩の対策をするシステムのこと
DLP(Data Loss Prevention)とは、情報漏洩を防ぐためのセキュリティシステムで、漏洩を防ぎたい重要な情報だけを識別して保護する仕組みです。
総務省の『サイバー攻撃(標的型攻撃)対策 防御モデルの解説』によると、以下のように定義されています。
DLP
Data Loss Prevention の略称。データの機密性・重要性に基づき、ユーザによる
機密データのコピー、外部送信等を監視・制御する。
企業が保有する機密情報や個人情報などが流出すると、企業の信頼は失墜し、場合によっては事業を継続できなくなる可能性もあります。このような事態を防ぐために、システム的に情報の漏洩や消失を防ぐことが重要です。
情報漏洩を防ぐ対策としては、データにアクセスする際にログイン認証を行うなど、ユーザーのアクセス権限を管理する方法があります。しかし、この方法だと、従業員が意図的に情報を漏洩させるなど、内部犯行への対策にはなりません。また、不正アクセスにより、情報が盗まれるリスクもあります。
そこで、DLPを導入し、データそのものを監視することで、外部への送信やコピーを制限することが可能です。ログイン認証などでユーザーの行動を制限するのではなく、データそのものを監視して、流出を防ぐ仕組みになっています。従来のログイン認証などと組み合わせることで、情報の流出をより強力に防げるでしょう。
ほかの情報漏洩対策(IT資産管理ツール)との違い
DLPとは異なる情報漏洩対策に、IT資産管理ツールがあります。これは、パソコン、タブレット、プリンタなどのハードウェアやアプリケーション、OSなどのソフトウェアを一元管理するツールです。社内のハードウェアやソフトウェアを一元管理することで、アップデート管理やライセンス管理などが容易になります。
IT資産管理ツールとDLPは、以下のとおり監視対象が異なります。
| DLP | IT資産管理ツール | |
| 監視対象 | 機密性の高い情報のみ | 社内のすべてのハードウェアやソフトウェア |
| 監視する目的 | 機密性の高い情報の流出や漏洩の防止 | ライセンス管理、アップデート管理、不正利用の防止など |
上記のとおり、両者は監視対象と監視する目的が大きく異なります。社内のデバイスやソフトウェアの管理をする場合は、IT資産管理ツールを使用することをおすすめします。重要な機密情報の流出を防ぐ目的なら、DLPを活用するのがよいでしょう。
DLPの基本機能
DLPでは、どのような機能を利用できるのでしょうか。具体的な機能を確認することで、どのようなデータをどのように守れるかを理解できます。ここでは、DLPがもつ具体的な機能についてご説明します。
デバイス制御機能
社内で使うパソコン、タブレット、スマホなどのデバイスを一元的に管理し、セキュリティの脅威から守ります。不正アクセスやマルウェア感染などから、デバイスを守るために有効な機能です。
データ・コンテンツ監視機能
リアルタイムで社内のデータやコンテンツを監視し、機密情報をメールで送信するなどの動作を検知します。アラートを出して、メール送信やコピーなどをブロックすることで、データやコンテンツの流出を防ぎます。
このような監視機能は、24時間365日体制で行われるので、業務時間外であっても対策が可能です。
印刷・コピー・キャプチャ制限機能
データをそのままもち出すだけでなく、データを印刷した紙媒体をもち出す、画面に映したデータをキャプチャするなどの方法で、情報を簡単に外部にもち出せてしまいます。
そこでDLPを使えば、印刷やキャプチャなどの動作の制限をかけることが可能です。
Webサイトセキュリティ制限機能
ネット上には、詐欺サイトやフィッシングサイトなど、ウィルスを感染させたり重要情報を抜きとったりする悪意のあるサイトが存在します。このような悪意あるサイトにアクセスすると、社内の機密情報や認証情報を盗まれる恐れがあります。DLPを導入すれば、リスクの高い、悪意あるサイトへのアクセスを制限することが可能です。
また、ネット上で情報収集を行う必要がある従業員のアクセス制限はかけず、一般的な業務を行う従業員のみ、アクセス制限を行うなどの使い方もあります。アクセス権限を業務内容にあわせて設定することで、仕事をしやすくしながら、社内のセキュリティレベルを高めることが可能です。
メールセキュリティ機能
近年、メールに添付されたファイルから、マルウェアに感染する被害などが増えているため、メールを利用する際はとくに注意が必要です。メールの添付ファイルを開くと、社内のネットワークを介して、マルウェア感染が広がる場合もあります。さらに、マルウェア感染したデバイスから無作為にメールを送信して、感染を広げるタイプのサイバー攻撃も存在するのです。
DLPでは、メールを送信する際に、キーワードに反応してメールの送信をキャンセルする機能があります。この機能を活用すれば、メール送信によるマルウェアの拡散や情報漏洩を防ぐことが可能です。
DLPで判別する仕組み
DLPを使って情報を判別することで、機密情報や個人情報などの重要な情報だけを守ることが可能です。ここでは、どのようにして重要な情報を判別するのかをご説明します。
フィンガープリントでの判別
フィンガープリントとは、指紋のことです。DLPの機能で、データの指紋にあたる情報をあらかじめ登録しておくことにより、守りたい重要なデータと関連するデータを判別できます。
次でご説明するキーワードや正規表現による判別を行う場合、個別にキーワードを登録する必要があります。一方、フィンガープリントなら、キーワード登録の手間を省いて、効率よく判別することが可能です。
キーワードや正規表現での判別
守りたいデータのキーワードや正規表現をあらかじめ登録しておき、データを判別する方法です。たとえば、名前、住所、組織名称、電話番号などの特定のキーワードで判別します。
この方法を使えば、キーワードを指定すると簡単にデータを判別できます。ただし、登録すべきキーワードが大量になると登録に手間がかかり、判別時にシステムに負荷がかかることもあるため、注意が必要です。
DLPを導入するメリット
DLPを導入すると、企業にどのようなメリットがあるのかをご説明します。
24時間リアルタイムで監視し、異常を検知できる
DLPを用いて、24時間リアルタイムでデータが流出しないように監視できるメリットがあります。業務時間にかかわらず、リアルタイムでデータを監視でき、いつでも情報の流出を検知できるのは、企業にとって大きなメリットといえるでしょう。
管理・運用コストを削減できる
データの流出の有無などを自動化できるため、運用・管理の面でコストを削減できます。
DLPを導入すれば、あらかじめキーワードや正規表現、フィンガープリントを登録するだけで、自動的に機密情報が流出しないように監視してくれます。最初の登録時には人手が必要ですが、登録したあとは自動的に監視してくれるため、運用・管理のコストを削減できるでしょう。
ヒューマンエラーを防止できる
DLPを導入することで、誤って機密情報をメールに添付して送信してしまった、データを社外にもち出してしまったなどのヒューマンエラーを防止できます。あらかじめ守りたい情報のキーワードなどを登録しておくだけで、あとは自動的に流出を検知し、防止してくれます。ヒューマンエラーは必ず起きると考えておくべきですが、DLPはそれを防止するための重要な対策といえるでしょう。
セキュリティレベルが強化される
日ごろから機密情報の保護を行うため、セキュリティ対策を実施している企業は多いでしょう。DLPを導入すれば、さらにセキュリティレベルを強化できます。コストをかけずにセキュリティレベルを強化したい場合は、自動で情報を判別し、情報漏洩の有無を監視できるDLPの導入が適しています。
DLP製品の選び方
DLP製品を選ぶ際に、確認すべきポイントについてご説明します。さまざまなポイントを確認し、自社にあった製品を選んでみてください。
提供タイプ
DLPの提供タイプは、以下の3種類です。それぞれについてご説明するので、自社にあったタイプを選んでみてください。
・全体監視型
社内ネットワークを通過する、すべての情報を監視するタイプです。社内で扱うすべての情報を監視して、情報漏洩を防ぎたい場合に選ぶとよいでしょう。
・エンドポイント型
パソコンやタブレットなど、エンドポイントを監視するタイプです。たとえば、社内ネットワークのなかは十分守られているため、社外にもち出すデバイスを監視したいなどの場合に適しています。
・ファイアウォール型
社内ネットワークのファイアウォールを通過する情報を監視するタイプです。監視するエンドポイントのすべてに、ソフトウェアをインストールするエンドポイント型と比べると、導入しやすいといえます。ただし、ファイアウォールを通過しない情報は監視できないので、注意が必要です。
自社に必要な機能・スペック
導入したいDLPの動作に必要なパソコンやサーバーの機能、スペックなどを確認しましょう。たとえば、メモリ容量が足らない、OSが対応していないなどの場合、動作が遅くなったり、機能しなかったりすることもあります。またDLPの動作が重すぎて、業務に支障が出る場合もあるので、注意が必要です。
導入するDLP製品の推奨スペックや機能を確認し、社内の機器がそれを満たしているかを確認してください。
サポート体制
DLPを使用する際、万が一トラブルが発生した場合に、メーカーのサポートを受けられるかも重要です。動作が急に止まってしまった、機密情報の判別が正しく行われていないなどの不具合が発生した場合、早急に対応が必要です。そのような場合に、電話などですぐにサポートを受けられるかなど、サポート体制を確認してください。
同業他社での導入実績
導入を検討しているDLP製品を、同業他社も使っているかを確認しましょう。
DLP製品に限らず、セキュリティ製品を利用する際には、業務内容や扱うデータ形式などにあった製品を選ぶ必要があります。同業他社の導入実績があるDLP製品のなかから選ぶことで、自社にあった使いやすい製品を見つけやすいでしょう。
価格
機能にあった価格になっているか、極端に安すぎる、または高すぎることはないかを確認してください。
安すぎる場合には、機能が不足している、十分な効果を得られない、必要なサポートを受けられないなど、デメリットが多い可能性があります。逆に、利用できる機能やサポートの割に、価格が高すぎる場合もあります。
適切な価格の製品を選ぶためには、複数の製品を比較して、機能やカスタマイズ範囲、サポート体制などを詳しく比較することをおすすめします。
まとめ
この記事では、DLPとは何か、どのような機能や仕組みが備わっているのか、導入するメリット、自社にあったDLP製品の選び方などについて解説しました。
DLPを導入することで、データそのものを監視し、情報漏洩を防げます。また、誤ってメールに機密情報を添付して送信してしまうなど、ヒューマンエラーを防ぐことも可能です。
SHIFTでは、DLPをはじめ、セキュリティソリューションの導入支援を行っています。単にソリューションや製品をご提案するだけでなく、お客様の環境にあわせたアーキテクチャの作成や、ソリューション選定の支援なども対応いたします。自社のセキュリティレベルを高めたい、自社にあった製品を検討したいなどの場合には、お気軽にご相談ください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
WAFとは?仕組みや機能、導入するメリットをわかりやすく解説
2024.08.14
詳しく見る
-
- セキュリティ
OWASP Top 10 for LLMとは?生成AI開発の安全性を高める方法について解説
2024.08.19
詳しく見る
-
- セキュリティ
サンドボックスとは?仕組みや機能、導入するメリット・注意点を解説
2024.08.14
詳しく見る
-
- セキュリティ
VPN接続とは?仕組みやメリット・デメリット、安全に使うためのセキュリティ対策を解説
2024.08.02
詳しく見る
-
- セキュリティ
DMZとは?ネットワークの構築方法やメリット・デメリットを解説
2024.08.02
詳しく見る
-
- セキュリティ
SOARとは?意味やメリット・デメリット、導入手順について解説
2024.08.02
詳しく見る
-
- セキュリティ
OSINTとは?サイバーセキュリティでの活用方法や注意点について解説
2024.08.02
詳しく見る
-
- セキュリティ
IDS/IPSとは?機能や役割の違い、対策できる攻撃について解説
2024.07.29
詳しく見る
-
- セキュリティ
PAM(特権アクセス管理)とは?仕組みやメリット、活用方法を解説
2024.07.29
詳しく見る
-
- セキュリティ
シャドーITとは?発生する原因やインシデント事例、対策について解説
2024.06.28
詳しく見る
