公開日:2023年1月25日
データ漏えい防止(DLP:Data loss prevention)とは、企業の機密データの損失や盗難を防ぐための一連のツールやプロセスのことです。対象には、企業に重大な影響を与えたり競争上の優位性を低下させたりする可能性のあるデータの侵害、流出、露出、IPの不正使用などが含まれます。企業はデータの保護、データ侵害の検出、規制基準の遵守のために、DLPソリューションを使用しています。
DLPソフトウェアを使用すると、組織はネットワーク、エンドポイント、クラウドリソース全体にわたり、特に個人情報やコンプライアンス関連データといった規制対象データへの不正アクセスや不正転送を検出し防止することができます。また、DLPは、組織が機密データ、規制対象データ、ビジネスクリティカルなデータを特定して分類することや、HIPAA、SOX、GDPR、PCI-DSS、FISMAなどの関連規制にデータポリシーが準拠していることを確認することにも役立ちます。ポリシー違反が検出された場合、DLPはアラート、暗号化、データ分離、その他のアクションを通じて修復を特定し、実施します。
企業はデータの漏洩や損失によって甚大な被害を受ける可能性があり、これと無縁でいられる組織はありません。データ侵害の大部分は外部の脅威によるものですが、セキュリティインシデントの20%以上は内部関係者によるものです。また、データ損失は組織の財務健全性を著しく悪化させる可能性があります。2022年の時点で、米国でのデータ侵害による平均損失額は約950万ドルに達しており、これは前年の900万ドルを少し上回るものです。データ侵害がもたらすのは金銭的損失だけではありません。評判の低下、顧客離れ、生産性の低下にもつながる可能性があります。
以下のセクションでは、DLPの仕組み、そのメリットとユースケースに加え、独自のDLP戦略を開始する方法について説明します。
DLPの種類
DLPには、ネットワークDLP、エンドポイントDLP、クラウドDLPなどの種類があります。それぞれを詳しく見ていきましょう。
- ネットワークDLP:この種のDLPソリューションは、機密データを保護し、ネットワーク上を移動するデータの追跡と分析を支援し、データ損失のリスクを軽減して規制コンプライアンスを確保するためのポリシーを確立して適用します。ネットワークDLPソリューションは、組織のデータセキュリティポリシーに違反する疑わしいアクティビティをブロック、フラグ付け、監査、暗号化、または隔離することもできます。
- エンドポイントDLP:エンドポイントDLPソリューションは、コンピューター、モバイルデバイス、サーバーといった個々のエンドポイントデバイスのデータセキュリティを管理します。これにより、デバイスの場所や組織のリソースへの接続方法を問わず、保存中の機密データでもデバイス間で転送中の機密データでも、監視して暗号化できます。
- クラウドDLP:クラウドDLPソリューションは、クラウドに保存された機密データに対して可視化と保護を提供し、許可されたクラウドアプリケーションのみがアクセスできるようにします。組織ではリモートワーカーに向けてクラウドに移行するワークロードが増えています。そのためクラウドDLPは、組織全体のサイバーセキュリティ戦略において極めて重要な要素となります。
DLPの仕組み
DLPは、機密情報を特定し、それを保護するためのアクションを実装することで機能します。DLPは、ファイアウォール、ウイルス対策ソフトウェア、監視サービス、エンドポイント保護、機械学習、アルゴリズム、自動化などの標準的なサイバーセキュリティツールと技術を組み合わせて、疑わしいアクティビティや異常なアクティビティを検出、防止、コンテキスト化します。
データは常に3つの状態のいずれかにあります。機密情報を特定し保護するうえでは、それぞれについて課題があります。
- 使用中のデータ:データがシステム内でアクセスされている状態です。データが読み取り、使用、更新、または消去されるたびに、セキュリティギャップが生じる可能性があります。
- 転送中のデータ:データが、ある場所から別の場所に移動している状態です。これには、Webブラウザからコンピューターのローカルハードドライブにファイルをダウンロードするような1台のデバイスでの転送、またはクラウドサーバーからモバイルデバイスにファイルを転送するような異なるデバイス間での転送があります。また、転送中のデータには、USBメモリなどのポータブルストレージデバイスを介して物理的に移動するデータも含まれます。そのため、転送中のデータによって多く発生するセキュリティの脆弱性としては、従業員がリモートワークのために機密データを会社のネットワークから個人用デバイスに転送する場合が挙げられます。
- 保存中のデータ:データが、データベースまたはネットワークに保存されている状態です。この状態で最も多い脆弱性には、データを暗号化せずに保存している場合や、安全でない場所に保存している場合が挙げられます。
DLPは特に、以下に挙げた3つのよくある問題を解決します。
- データの抜き出し:データの抜き出しは、多くの場合、企業ネットワークの外部へのデータの不正な移動(データの流出とも呼ばれる)であり、サイバー攻撃の多くはこれを狙っています。これを実行できるのは、コンピューターに物理的にアクセスできる従業員や、マルウェア、フィッシング、コードインジェクションなどの手法を用いて組織のセキュリティ境界に侵入する外部攻撃者です。この種のデータ損失の犠牲となったのがFacebookです。ハッカーが脆弱性を狙って5億3,300万人のユーザーアカウントのデータを取得し、そのデータをオンラインに投稿する事態となりました。
- 内部脅威:データ損失の多くは、現在および過去の従業員、請負業者、ビジネスパートナーなどの内部者によって、偶発的に、または悪意を持って行われます。こうした人物は、自身の権限を悪用したり、より高いレベルの権限を持つユーザーのアカウントを侵害したりして、機密データを盗み出します。有名な例に、2013年に発生したTargetのクレジットカード侵害があります。これは、サードパーティベンダーの認証情報が盗み出されたものを攻撃者が利用し、同社の決済システムの脆弱性を悪用して顧客データを盗み出すというものでした。この侵害で被害を受けたのは4,100万人の消費者に及び、その結果としてTargetは1,850万ドルの和解金を支払うことになりました。
- 意図しない、または過失によるデータの露出:従業員が機密データを紛失したり、誤って誰もが機密データにアクセスできるように設定してしまったりと、不適切なデータの取り扱いにより、意図せずデータが公開されてしまうことが多々あります。フィッシング攻撃は、意図しないデータ漏出で多く見られる原因となっています。また、米国東海岸の石油パイプラインを数日間にわたって操業停止させたコロニアルパイプライン社への攻撃のように、ランサムウェア攻撃の前兆であることも多くなっています。
組織のデータは常に、3つの状態(使用中、転送中、保存中)のいずれかにあります。
DLPプログラムは、機密データを分析し、特定するためにさまざまな手法を使用します。その一部を紹介します。
- ルールベースの分析:最も一般的な手法で、16桁のカード番号や9桁の社会保障番号など、既知のパターンに基づいてデータ内容を分析します。ルールベースの分析は、誤検出率が高くなる傾向があります。そのため通常は、さらなる精査に向けてデータにフラグを付けるための1次審査のフィルターとして使用されます。
- データベースフィンガープリンティング:完全データ一致と呼ばれる手法で、特定の顧客データベースレコードのデータが、メッセージ内の構造化データ(姓、名、社会保障番号など)と完全に一致するものを探します。
- 完全ファイル一致:この手法は、ファイルの内容を分析するのではなく、ファイルのハッシュを当該ファイルの既知のフィンガープリントと照合します。他の手法に比べて誤検出率は低いものの、類似していても同一ではないバージョンのファイルではうまくいかない可能性があります。
- 部分的な文書一致:この手法は、すべての患者が記入する病院の入院フォームなど、既知のパターンやテンプレートに対して部分的に一致するファイルを探すことで、機密情報を特定します。
- 統計分析:この手法では、ベイズ分析や機械学習などの統計的手法を使用して、機密データにフラグを立てます。誤検出や検出漏れを最小限に抑えるためには、大量かつ広範なデータのスキャンが必要です。データ量が少ないと、この手法の効率が低下してセキュリティが損なわれます。
- 事前構築されたカテゴリ:一部のDLPソリューションでは、PCIやHIPAAといった規制への準拠に関連する、クレジットカード番号などの一般的な種類の機密データに対して、辞書やルールで事前構築されたカテゴリを使用します。
- カスタムルール:ほとんどの組織には、特定と保護を必要とする独自の種類のデータがあるため、DLPソリューションの中には、ソフトウェアが提供するルールに加えて、ユーザーが独自のルールを構築して実行できるものがあります。
機密データが特定されてデータの分類が実施されたら、組織はデータをどのように保護するかを決定し、それに合わせてDLPポリシーを適応させる必要があります。
DLPとSIEMの関係
2つのテクノロジーが提供するセキュリティ機能は異なるものですが、両者は同期的に連携しながらデータを解釈して優先順位を付けます。DLPは前述のとおり、独立した検索機能ではなく、組織内の部門全体でデータに優先順位を付けることでデータの損失を防ぐためのシステムです。
一方、セキュリティ情報/イベント管理(SIEM)は、環境全体にわたる多数のデバイスから情報を収集してデータログに保存し、集約して相関付けできるため、組織のITセキュリティ態勢全体を包括的に把握することができます。SIEMは高度な分析を用いて、セキュリティチームがネットワークの中断、侵害、高度なマルウェア、その他の脅威を簡単に発見できるパターンを特定し、適切かつタイムリーに対応できるようにします。具体的には、SIEMはセキュリティデバイスやサーバーのログからの情報を解釈し、組織がDLPなどのテクノロジーを使用してデータを保護する方法について、理解を深めて優先順位を付けることを可能にします。
DLPのメリット
DLPシステムには、次のような多くのメリットがあります。
- より完全なデータ検出を実現:組織は、ネットワーク、クラウド、エンドポイント全体にわたって膨大なデータを生成し、保存しています。DLPツールを使用すると、重要なデータをより簡単に特定し、適切な管理を行ってそのデータを保護し、組織がデータ規制を遵守していることを確認できます。
- データ侵害のリスクを低減:組織がDLPソリューションを導入すると、保有する機密データとその使用方法を従来よりも詳細に把握できます。これにより、データ侵害につながる可能性のある疑わしいアクティビティやリスクの高いアクティビティに対して、先手を打つ姿勢をとることができます。
- 内部脅威に対する保護:DLPソリューションは、ファイルに含まれる機密情報が他の場所に送信される前にフラグを立てます。こうすることで、権限のないユーザーがデータを表示したり盗み出したりするのを防ぐことができます。
- ランサムウェア攻撃に対する保護:ランサムウェアは、ファイルを暗号化し、組織が身代金を支払うまでファイルを人質にするものです。その原因は多くの場合、フィッシング攻撃によって流出したデータです。DLPソリューションは、こうした意図しないデータの露出に対する安全保護対策を提供します。
- データの盗難の防止:DLPソリューションは、機密データが他のデバイスにコピーされたときにアラートを発します。これにより、データ転送を許可またはブロックするためのアクションを即時に実行できるため、最も価値ある資産を管理下においておくことができます。
- 不正な文書共有の防止:DLPソリューションは、機密情報が含まれる共有文書にフラグを立て、権限のないユーザーがその文書を開くのを防ぎます。
- フィッシング攻撃に対する保護:フィッシング詐欺は、信頼できるソースから送信されたように見えるメールやテキストを使い、ユーザーを騙して機密データを公開させようとします。DLPによる保護は、こうしたデータ盗難に対するセーフティネットを提供します。
DLPで解決できる問題
DLPは、組織全体のサイバーセキュリティ戦略の一環として使用され、データの可視化と保護を提供します。組織は、保護対象保健情報(PHI)、顧客や従業員に関する個人情報(PII)、クレジットカードのデータ、知的財産など、膨大な機密データを生成して保存しています。そのため、データ侵害のリスクにさらされるうえ、規制コンプライアンス違反により多額の罰金が科される可能性もあります。DLPは、組織の機密データを詳細に可視化し、組織のセキュリティ境界外にデータが移動するのを阻止するメカニズムを提供することで、データ損失を防ぎます。
DLPソリューションは通常、次のようなサイバーセキュリティ対策の1つまたは複数をサポートします。
- 予防:リアルタイムで継続的に評価されるデータストリームを確立し、不正なユーザーや疑わしいアクティビティを制限します。
- 検出:データの可視性を強化し、高度なデータ監視を容易にして、有害な可能性のあるアクティビティを特定します。
- 対応:組織のネットワークにおけるデータアクセスやデータ移動を簡単に追跡できるとともに、インシデント対応の合理化に役立つレポート作成機能を備えています。
- 分析:リスクの高いアクティビティをコンテキスト化して、セキュリティチームがデータの分類を行い、予防策と修復策についてより適切な情報に基づいた意思決定が行えるよう支援します。
ネットワークDLP、エンドポイントDLP、クラウドDLPを連携させることで、データの流出、内部脅威、不正なデータ露出から組織を保護することができます。
DLPを使い始めるには?
DLPを使い始めるには、まずビジネスにとって重要なデータシステムを判断し、スタンドアロン(ネットワーク、クラウド、エンドポイント)ソリューションが必要なのか、統合ソリューションが必要なのかを決定します。次に、必要なDLPソリューションを具体的に想定した予算を確立し、自社で実装できるか、それとも外部プロバイダーが必要となるのかを決定します。最後に、検討するDLPソリューションの価格と機能に関するいくつかの基準を定め、組織のニーズに最も適合するオプションを絞り込みます。
DLPのベストプラクティス
DLPの開始にあたり、以下のベストプラクティスを実践すると取り組みを正しい方向に導いてくれます。
- DLPの目標を定義する:組織には、HIPAA、PCI、GDPRなどの複雑で継続的に進化するコンプライアンス基準が適用されるので、多くの組織はこれらの義務を果たすためにDLPソリューションを採用しています。DLPを導入すると、データの可視性と保護の強化、インシデントの予防、インシデント対応能機能の合理化など、他にも多くのメリットを得られます。組織のビジネスでの優先順位を見極めることで、自社のニーズに最適となるようにDLPソリューションをカスタマイズできます。
- 小さな規模から開始する:すべてのDLPユースケースを一度に片付けるのではなく、より焦点を絞って取り組みます。特定のデータタイプに優先順位を付け、迅速に測定可能な目標を設定します。こうすることで、DLPを組織の他の部門に展開する際に、短期間で成果を出し、自信を得ることができます。
- 成功のメトリクスを定義する:DLPの取り組みにおける成功と改善点を判断するために、測定するKPIを決定し、それを追跡します。これらのメトリクスをビジネスリーダーと共有し、DLPのビジネス価値を実証します。
- 従業員を教育する:他のセキュリティポリシーや手順と同様に、DLPを成功させるためには、従業員の認識と受容が不可欠です。講習、オンライントレーニング、メール、その他の手段を通じて従業員を教育し、データセキュリティとDLPのベストプラクティスに対する理解を深めます。
- DLPは製品ではなく、プロセスであることを理解する:DLPとは、機密データとその使用方法を理解し、より効果的に保護するための継続的な取り組みです。DLPソリューションは、その目標を達成する手助けをしてくれるツールにすぎません。
DLPのトレンド
ここ数年、企業に影響を与えた大きなトレンドに対応するかたちで、DLPにもさまざまなトレンドが出現しています。主なものとして、クラウド導入の増加、リモートワーカーへの依存の高まり、より巧妙なサイバー攻撃の開発が挙げられます。これらに対処するため、DLPソリューションも単体ツールから進化を遂げつつあり、エンドポイントやクラウドなど、ユーザーがデータを操作するあらゆる場所に実装される統合ソリューションになってきています。
また、DLPは、データリスクの捉え方を広げています。かつてはアウトバウンドのリスクと考えられていたデータ損失は、現在では、複数のフェーズで実行される巧妙な攻撃に起因していることが多くなっています。その最初のフェーズはインバウンド戦術で、機密データを見つけるための内部偵察などがあります。これに対抗するため、DLPアプローチはインバウンドとアウトバウンドの両方のデータ損失リスクから保護するように進化しています。
クラウドとモバイルワーカーの拡大に伴い、組織が対処しなければならないデータ保護のギャップは大幅に増加しています。同時に、データ規制は拡大するとともに、複雑さも高まっています。DLPを使えば、両方の課題に効果的な対処を行い、ITコストや複雑さを増加させることなく、セキュリティギャップを解消し、より簡単にコンプライアンスを達成できるのです。
