DLPとは？情報漏洩対策でファイルダウンロード、サイトアクセスも安全に

DLPとは？

DLPは「Data Loss Prevention」の略で、直訳すれば「データ損失防止」、つまり情報漏洩を防ぐことです。

DLPは、従来の情報漏洩対策ではカバーしきれなかった部分を補完し、組織のセキュリティポリシーや保護すべきデータの特性に合わせて、詳細なルール設定が可能です。例えば、クレジットカード番号や個人情報など、特定のパターンを含むデータの送信をブロックしたり、機密情報を含むファイルのアップロード先を制限したりすることができます。

また、DLPは、メールやクラウドストレージ、アプリケーションなど、様々な経路からの情報漏洩を防止します。例えば、添付ファイルのスキャンや本文中のキーワードチェックにより、うっかりミスによる情報漏洩を防ぐことができます。また、クラウドストレージへのアップロード時に機密情報を含むファイルを検知し、自動的に暗号化をかけることも可能です。

さらに、DLPは、ネットワーク上のトラフィックを監視し、機密情報を含むデータの送信をリアルタイムで検知することができます。また、アプリケーションの利用状況を監視し、許可されていないアプリケーションによるデータの持ち出しを防止することも可能です。

本記事では、DLPセキュリティの仕組みや基本機能にくわえ、DLP製品を選ぶうえでのポイントや導入メリットについて解説します。

DLPの仕組み

DLPは、情報漏洩を防ぐことを目的としていますが、その監視対象はユーザーやデバイスではなく「データ」です。

データを監視することによって、ユーザーの不用意な持ち出しや操作ミスによる流出といったヒューマンエラー起因の情報漏洩を防ぎます。

DLPのデータ監視で用いられる代表的な手法が「キーワード」方式と「フィンガープリント」方式です。 例えば、企業の機密文書ファイルなどが、許可なく外部サイトにアップロードされたり、メールに添付されて送信されようとしたりするのを検知し、ブロックすることができます。

キーワード方式

キーワード方式では、特定のキーワードや正規表現を用いてそのデータの重要性を判別します。
したがって、個人情報のような特定のキーワードに対して効果的な手法です。

ただし、キーワードを大量に登録する必要がある場合は手間がかかるため、フィンガープリント方式と併用して利用されることが多いです。

フィンガープリント方式

フィンガープリントとは、指紋のことで、フィンガープリント方式では、データを特定するための「指紋」をデータの特徴から生成します。

生成された「指紋」を照合することによって、重要データの判別や追跡が可能で、キーワード方式より容易に登録できる点が特徴です。

また、キーワードとフィンガープリントを組み合わせることで、重要データに関連したデータを検知できます。

DLPとIT資産管理の違い

IT資産管理も情報漏洩対策の一つですが、DLPとは監視対象や目的が異なります。

DLPでは監視対象がデータであり、重要データの外部流出防止を目的としています。一方で、IT資産管理では監視対象がハードやソフトといったIT資産にくわえ、それらIT資産を利用するユーザーの操作も監視対象になります。

その目的は、企業のコンプライアンス強化であり、ユーザーが法令や企業のルールに則ってIT資産を利用しているかをチェックします。

DLPとIT資産管理はそれぞれの目的と役割が異なるため、どちらかを導入すればいいというわけではありません。

むしろ、DLPとIT資産管理を併用すれば、より強固なセキュリティ対策を実現できます。

DLPと従来の情報漏洩対策との違い

従来の情報漏洩対策は、ファイアウォールやIDS/IPSといった境界防御を主軸に、外部からの脅威を防ぐことに重点を置いていました。しかし、標的型攻撃や内部不正による情報漏洩が増加するにつれて、機密情報そのものを保護する必要性が高まっています。そこで注目されているのが、DLP（Data Loss Prevention：情報漏洩防止）です。DLPは、従来型の情報漏洩対策とは異なるアプローチで、より包括的な情報保護を実現します。

従来の対策では、IPアドレスやポート番号を基に通信を制御していましたが、DLPはデータそのものを識別し、機密情報を含むデータの持ち出しを制御します。ユーザー管理においても、従来はユーザーアカウント単位でのアクセス制御が一般的でしたが、DLPでは、データへのアクセス権限をより細かく設定し、誰がいつどのデータにアクセスしたかを詳細に記録することができます。

デバイスとパスワードの扱いについても、従来はデバイスの持ち込み制限やパスワードポリシーなどでセキュリティ対策を行っていましたが、DLPでは、デバイスに保存されている機密情報へのアクセスを制御したり、データ自体を暗号化することで、より強固な保護を実現します。さらに、情報管理においても、従来はファイルサーバーでのアクセス制御が主流でしたが、DLPでは、データの重要度に応じて分類・ラベル付けを行い、適切なアクセス制御を実施します。また、データへのアクセス権限を定期的に見直すことで、アカウントの不正利用を防ぎます。

DLPの機能

DLPは、様々な機能を組み合わせることで、多層的な情報漏洩対策を実現します。DLPの導入・運用においては、適切な権限を持つ管理者がシステムを管理し、セキュリティポリシーを設定する必要があります。管理者は、ユーザーやグループに対してアクセス権限を付与したり、DLPシステムのログを監視したりすることで、セキュリティレベルを維持します。

DLPでは、ユーザーがデータにアクセスする際、あらかじめ設定されたルールに基づいてアクセス許可が判断されます。許可されていないアクセスはブロックされ、管理者へアラートが通知されます。ユーザー認証には、多要素認証などを組み合わせることで、より安全性を高めることができます。

また、DLPは、機密情報の変更や移動を検知し、管理者にアラートを通知することができます。例えば、重要なファイルがUSBメモリにコピーされた場合や、メールで外部に送信された場合などに、リアルタイムで検知することができます。

企業全体でDLPを運用する際には、組織全体のセキュリティポリシーに基づいた設定が必要となります。また、管理画面へのアクセス制限や操作ログの取得など、セキュリティ対策も重要となります。DLPでは、ユーザー名や所属部署、アクセス権限などの情報を管理し、きめ細かいアクセス制御を実現します。また、エンドユーザーに対しては、セキュリティ教育を実施することで、情報漏洩に対する意識を高めることが重要です。

DLPを導入するデバイスには、強固なパスワードを設定し、不正アクセスを防ぐ必要があります。また、OSやアプリケーションは常に最新の状態に保ち、セキュリティパッチを適用することが重要です。

DLPは、ネットワーク上のデータの流れを監視し、機密情報の不正な持ち出しを防止します。また、ファイルの共有設定を監視し、不用意な情報公開を防ぎます。DLPでは、SSL/TLS通信の証明書を確認することで、なりすましによる情報漏洩を防ぎます。また、VPN接続を利用する場合は、適切な認証と暗号化設定を行い、安全性を確保する必要があります。

さらに、DLPは、アプリケーションレベルでのデータの送受信を監視し、機密情報を含むデータの持ち出しを防止します。また、許可されていないアプリケーションの利用を制限することで、セキュリティリスクを低減します。

DLPの具体的な機能

DLPには情報漏洩のためのさまざまな機能が実装されていますが、ここでは3つの基本機能について解説します。

1.デバイス制御

デバイス制御は、PCやスマートフォンといったデバイス内部からの情報漏洩や、外部からの不正アクセスを許すようなマルウェアに感染するのを防ぐ機能です。

ユーザーが利用中のデバイスを監視することで、情報漏洩につながるようなソフトウェアの脅威やユーザーの操作を検知します。

また、デバイス内のデータは暗号化するため、仮にデバイスを盗難などで紛失したとしても最小限の被害に食い止めることができます。

2.Webセキュリティ

DLPのWebセキュリティは、セキュリティ保護がされていないサイトや、業務には関係のないサイトへのアクセスを制限する機能です。

最近は有名企業に成りすまし、個人情報を盗み取る詐欺サイトが増えており、これらの偽のサイトはセキュリティ対策が不十分なユーザーをターゲットとしています。

業務に関係のないサイトはもちろんですが、このような個人情報流出を脅かすようなサイトへのアクセスを防止することで、情報漏洩のリスクを最小限に抑えることが可能です。

3.コンテンツ監視

DLPのコンテンツ監視は、サーバー上に存在する機密情報コンテンツを特定し、リアルタイムに監視する機能です。機密情報をふくむと判断されたデータの操作を、リアルタイムに制限できるのが特徴です。

たとえば、USBメモリへのコピーや外部サイトへのアップロードを抑止したり、アラートを発したりすることで、データの外部流出を未然に防ぎます。

DLP製品の失敗しない選定方法3選

DLPにもさまざまな製品があるので、目的と予算に応じてどの製品を選ぶか検討する必要があります。
そこで、DLP製品選びに失敗しないための3つのポイントを解説します。

自社の導入目的とマッチしているか

DLPには、「DLPサーバー」「DLPエージェント」「DLPアプライアンス」の3つの構成要素があり、それぞれ役割が異なります。 これらの要素を組み合わせることで、自社の環境やニーズに合わせた情報漏洩対策システムを構築できます。

これらを段階的に導入したり組み合わせて導入したりできるので、それぞれのタイプの特徴をおさえ、自社の目的にマッチした構成で導入することが重要です。3つの構成要素の概要を以下で解説します。

DLPサーバー

自社の機密データを管理する役割を持っているのが、DLPサーバーです。機密データのふくまれるファイルをDLPサーバーに登録すると、そのファイルからフィンガープリントを生成します。生成されたフィンガープリントはデータの機密性の照合や追跡で利用されます。

DLPエージェントサービス

DLPエージェントサービスは、PCなどの端末にインストールし、リアルタイムで機密データの流出を監視します。機密データをメール添付あるいはUSBメモリへ移す、といった操作を行うと、警告を発して外部流出を防ぎます。

ただし、DLPエージェントがインストールされた端末同士であれば、機密データであってもやり取りが可能です。

DLPアプライアンス

DLPアプライアンスは、ネットワーク上を流れるデータを監視します。

監視対象がネットワーク上のデータのため、DLPエージェントがインストールされていない端末あるいはDLPエージェントに対応していない端末であっても利用できるのが特徴です。

自社にとって運用しやすいサービスかどうか

DLPには、さまざまな情報漏洩対策のための機能が実装されています。

しかし機能が充実している分、導入する端末に負荷がかかり、業務に支障が出る可能性があります。
また、自社で利用しているOSが対応していないケースもあるでしょう。

したがって、検討中の製品が求めているスペックやOSなどの対応範囲をしっかり確認したうえで、自社で運用しやすい製品を選ぶことが重要です。

低コストで運用できるか

DLPを導入すれば、情報漏洩対策の有識者のような人材を用意する必要がないので、その分の人件費を抑えられます。

しかし、導入にあたっては構築費用、ライセンス費用、導入後の運用費用など、さまざまなコストが必要です。

高額であれば機能の充実度も増しますが、目的にそぐわない機能や利用頻度の少ない機能は、余分な運用コストを増やすだけになりかねません。

導入目的や予算とのバランスにくわえ、低コストで運用できるかどうかも十分考慮し、必要な機能だけ利用できる製品を検討するのが重要です。

DLP製品を導入するメリット

DLP製品を導入するうえで3つの代表的なメリットを紹介します。

機密情報の保護

DLP導入の最大のメリットは、企業にとって重要な機密情報を強力に保護できることです。

前述のとおり、キーワードや正規表現、あるいはフィンガープリントで守るべき機密情報を登録することにより、内部から外部への情報流出を防ぎます。

膨大な量の機密情報も、フィンガープリント方式なら効率的に登録・管理できます。 例えば、顧客情報データベース全体をフィンガープリント登録しておけば、個々の顧客名を登録する手間が省け、情報漏洩のリスクを大幅に減らすことが可能です。

リアルタイムで異常を検知

IT資産管理ツールでは、ユーザーの操作ログなどから不正を検知します。

しかし、実際その操作が不正かどうかを判別するには時間を要し、リアルタイムに異常を検知できないケースもあります。

その点、DLPであれば監視対象がデータなので、判断が必要なのはデータが機密情報かどうかのみです。ユーザーの操作が、作為的なものなのか誤操作によるものか、といったことを判断する必要はありません。

そしてデータが機密情報と判断されれば、そのデータのコピーや外部への送信操作をリアルタイムに抑制し、管理者への通知も即座に行えます。

ヒューマンエラーによる情報漏洩を防ぐ

最初に述べた通り、情報漏洩の原因でもっとも多いのはヒューマンエラーです。

人間にはミスはつきものなので、ユーザーをいくら監視しても人為的ミスを防ぐことはできません。

しかし、DLPは監視対象がデータなので、ユーザーの誤操作や誤送信といった人為的ミスが発生したかどうかは関係ありません。

重要なのは、監視対象が守るべき機密情報かどうかであって、機密情報ならばそのデータが外部に流出しないよう抑制したり、アラートを発したりすることで情報漏洩を防止します。

言い換えれば、ヒューマンエラーの発生が起こることを前提とした情報漏洩対策がDLPなのです。

まとめ

本記事では、DLPの機能や製品を選ぶうえでのポイント、そして導入のメリットについて解説しました。
経営情報から顧客の個人情報まで、企業はさまざまな機密情報を保持しているため、それらの情報をどのような方法で保護するかが大きな命題の一つとなっています。

従来の情報漏洩対策では、ファイアウォールやIDS/IPSなどで外部からの攻撃を防ぐことに重点が置かれていました。しかし、DLPはデータそのものに注目することで、内部からの情報漏洩、特にヒューマンエラーによる流出事故を防ぐことを可能にします。

ただし、製品によって価格や機能はさまざまなので、自社の導入目的と運用コストに見合った製品を選びましょう。