高度化するサイバー攻撃に備えるべく、皆様の組織でもさまざまなセキュリティ対策を実施していることでしょう。UTMやアンチウイルス、Webフィルター、IPSといった侵入する脅威を防ぐ水際対策だけでは100%の防御が難しいという考えが広く浸透し始めたことで、最近では侵入されることを前提にしたEDRやNDRのようなセキュリティ製品を導入し、侵入した脅威を迅速に検知、対応することにも注力し始めている組織が増えてきました。
しかしながら、新たなセキュリティ対策にも注力しているにもかかわらず、サイバー攻撃被害や情報漏洩被害の報告は後を経たないのが現状です。加えて、最近では内部不正による情報漏洩被害も増えています。
こうした最新の状況を踏まえて、個々の脅威に備えるのではなく、実際にターゲットとなる社内にある重要な情報を守る、情報漏洩を防ぐような対策が、今再注目されています。
本ブログでは情報漏洩対策としてData Loss Prevention (DLP)について、詳しく紹介していきます。
情報漏洩対策のData Loss Prevention (DLP)とは
Data Loss Prevention (以降DLPと記載)は、社内の重要な情報の監視や制御を行うことで情報漏洩を防ぐセキュリティ対策製品です。セキュリティポリシーに基づいて社内の重要データの持ち出しを監視します。そしてセキュリティポリシーに反する不審な挙動や、許可されていない情報の持ち出しをリアルタイムで検出し、制御や修復を行うことで不慮の事故による情報の損失や、重要情報の漏洩を防ぐことができます。
監視対象のデータを識別する方法としては、単純な文字列マッチ、キーワード検索に加えて、ファイルタイプでの識別や正規表現によってクレジットカード番号やマイナンバー、社会保障番号、基礎年金番号などの識別も可能です。
DLP製品の中には、ファイルやDBのフィンガープリントを監視するものや、AIエンジンによって重要情報に含まれるキーワードやフィンガープリントと類似の情報を識別するもの、画像内に含まれる文字列情報を抽出して監視するものなど、さまざまな手法を活用した監視、情報の識別を行っています。
製品の性質上、DLPを利用するためには組織内にどんな情報があるのか、何が重要な情報であるのかを正しく把握することが必要です。DLPによる最適な効果を得るためには、守るべき情報の定義をしっかりと行い、セキュリティポリシーに反映させることが必要不可欠です。
DLPの実現方法
DLPについて提供方法と、導入ポイントの二つの観点で紹介します。
DLPの提供方法
現在、DLPは主に3つの方法で提供されています。
- EDLP:Enterprise Data Loss Prevention
DLP専用ソリューションとして提供されます。
共通のセキュリティポリシーのもと複数の導入ポイントにDLPによる監視、制御が可能であり、専用製品ゆえに柔軟性と強力な機能を持つことが特徴です。
十分な予算を確保して情報漏洩対策に注力している組織で導入が進められています。 - IDLP:Integrated Data Loss Prevention
セキュリティ対策製品の機能の一つとして提供されます。
ファイアウォールやプロキシ、Eメールゲートウェイ、エンドポイントセキュリティ製品に統合されて提供されるものであり、EDLPと比べると限定的な機能の提供であることが多いです。新たに専用製品を導入する必要がない分導入が容易である一方、十分な機能が提供されていない可能性もあります。
最低限の情報漏洩対策を希望するような組織や、導入するセキュリティ対策製品の数を減らして効率的な運用を希望するような組織で導入が進められています。 - CSPDLP:CSP-Native Data Loss Prevention
クラウドサービスのセキュリティ機能として提供されます。
クラウドサービス内のデータを保護する機能としてEDLP並みの強力な機能を提供することが多いです。
クラウドファースト戦略を取る組織で、重要な情報を持つクラウドサービスにおいて活用されることが多いです。
DLPの導入ポイント
DLPが導入されるポイントは、大きく4つあります。
- Email DLP (Eメールセキュリティ対策/Eメールゲートウェイ)
電子メールは、機密情報を送信するために最も一般的な手法であり、電子メールを監視し、重要な情報やファイルの持ち出しをリアルタイムに検出することで、情報漏洩を防ぐことが可能です。
Eメールセキュリティ対策/ゲートウェイ製品の多くはIDLP機能を提供しています。EDLP製品は、既存製品との連携や、専用のゲートウェイを利用することでより強力なDLP機能を提供します。 - Network DLP (ファイアウォール/セキュアWebゲートウェイ)
インターネットを経由して機密情報を外部サーバへ持ち出すのも一般的な手法です。インターネットの出入り口での監視から、機密情報の持ち出しを防ぐことも効果的な手法といえます。
SSL復号済みの通信に対してファイアウォールやプロキシ、セキュアWebゲートウェイでIDLP機能を提供されています。EDLP製品は、既存製品との連携や、専用のセキュアWebゲートウェイ製品と組み合わせることで強力なDLP機能を提供します。 - Cloud DLP (CASB/クラウドゲートウェイ)
クラウドサービスの普及により、クラウドサービス上にも重要な情報が含まれることが増えています。クラウドサービス上に保持されている情報を正しく把握し、重要な情報の持ち出しの監視、制御を行うことは情報漏洩対策を行う上で欠かせないポイントと言えます。
クラウドサービス事業者によるCSPDLPが提供や、CASBでのIDLPの提供が行われています。EDLP製品では専用のCASB製品との組み合わせにより強力なDLP機能を提供します。 - Endpoint DLP (エンドポイントセキュリティ対策/資産管理製品)
重要情報の持ち出し方法として、USBやCD/DVD ドライブなどのリムーバブルメディアを活用する方法もまだまだ利用されています。端末内の挙動を監視、制御することで、リムーバルメディアの利用だけではなく、ブラウザやその他アプリケーションを介した情報漏洩の監視、制御も実現します。
一部のエンドポイントセキュリティ製品でもIDLP機能の提供が増えてきていますが、日本では特に資産管理製品によってIDLP機能が提供されるケースが多いです。ただし、資産管理製品のIDLP機能はあくまで資産を管理することが目的であり、柔軟な制御や強力な防御機能は提供していません。EDLP製品では、専用のAgentソフトウェアを導入することで、柔軟で強力なDLP機能を提供します。
その他にもいくつか導入ポイントがあり、例えばEDLP製品の中には社内のファイルサーバやDBサーバ、メールサーバ、クラウドサービスと連携し、システム内に保存されたデータの監視を行うDiscover DLP機能を提供するものもあります。
まとめ
昨今の高度化するサイバー攻撃への備えとして、防御対策に加えて侵入検知とその後の対応を行う体制、仕組みづくりは重要です。しかし、それでも情報漏洩が発生してしまう現状を考えると、最後の砦としてDLPによる機密情報の保護を行うことは今考えるべきセキュリティ対策の一つ言えるのではないでしょうか。
弊社ではEDLP製品で非常にグローバルでの評価の高いForcepoint DLPを取り扱っております。本格的なDLPを検討される際には、ぜひご検討、弊社へのご相談をいただければと思います。
この記事に関するサービスのご紹介
Forcepoint ONE
Forcepointは、以下のソリューションコンセプトを掲げ、セキュリティをシンプルにすることで、管理者の運用負荷を下げ、ユーザーのビジネスを止めずに、内部不正や外部からのセキュリティ攻撃を阻止します。
詳細はこちら