DLPとは? ほかの情報漏洩対策ツールとの違いや機能、メリットを解説
企業の重要な機密情報が漏洩するルートは、サイバー攻撃などの外部要因と、過失または故意による内部要因に大別されます。セキュリティツールなどを駆使して、外部からの攻撃に備えている企業は多いかもしれませんが、内部要因による情報漏洩が発生すると、企業の社会的信用の損失は甚大です。そこで、内部要因に対する有効な対策として注目を集めているのが、DLP(Data Loss Prevention)です。
では、DLPはどのように情報漏洩対策に役立つのでしょうか。本記事では、DLPの基礎知識やほかの情報漏洩対策ツールとの違い、具体的な機能のほか、メリットなどについて解説します。
DLPとは、保護する必要性が高いデータを識別して保護するツール
DLPは、企業の内部に存在する大量のデータのうち保護する必要性が高いデータを識別し、その送信やコピーといった操作を監視することによって、重要なデータを保護するツールです。DLPによって、個人情報を含めた機密情報の漏洩や消失を防ぎます。
保護の必要性が高い情報そのものを監視し、情報漏洩につながる行動を検知するDLPは、外部からの攻撃だけでなく、内部不正への対策としても効果を発揮するツールです。DLPの導入により、企業の情報資産を多角的に保護することができます。
DLPとほかの情報漏洩対策ツールとの違い
従来の情報漏洩対策ツールとDLPでは、主に監視対象や監視する範囲について違いがあります。下記のような違いがあるため、それぞれの特徴を押さえて自社に必要な情報漏洩対策を検討しましょう。
監視対象の違い
ほかの情報漏洩対策では、主に情報にアクセスするユーザーを監視対象とするのに対して、DLPは、情報そのものを監視対象とする点が異なります。
例えば、従来の機密情報の保護対策は、それらの情報へのアクセスを許可すべき人にアクセス権限を与え、ID・パスワードを発行し、アクセス状況を可視化することで対応していました。しかし、この方法では権限のない人間の不正アクセスは検知できても、権限を持つ社員の故意、または過失による漏洩は防ぐことができません。
DLPは、情報そのものを監視して、ユーザーの属性に関係なく、情報漏洩につながる操作をすべて検知します。たとえユーザーに情報へのアクセス権限があったとしても、不正な操作にはアラートを出してキャンセルすることができ、内部不正による情報漏洩も未然に防げます。
監視する範囲の違い
監視する範囲について、ほかの情報漏洩対策では企業が保有するデータ全体を監視していましたが、DLPでは保護する必要性の高いデータのみを保護する点にも違いがあります。
監視対象は、多ければ多いほど管理者の負担が増え、かかるコストも増大します。企業が保有する情報はそれぞれに価値がありますが、情報が漏洩した場合のリスクには差があり、必ずしもすべてを同じレベルで保護する必要はありません。DLPは、万が一漏洩したときのリスクが高い機密情報のみを監視するため、効率的に情報を保護することができます。
DLPとIT資産管理ツールの違い
企業の資産である情報を管理するDLPは、IT資産管理ツールと混同されることがよくありますが、両者では監視対象と目的が異なることを押さえておかなければなりません。
DLPが監視・保護するのは、企業や組織が保有する情報のうち特に重要で保護の必要性が高い情報です。これらの情報が、外部からの攻撃だけでなく、内部の人間の手によっても漏洩しないよう、不正な操作にアラートを発して、被害が起こる前に対処します。
一方、IT資産管理ツールの監視・保護対象は、事業において利用する端末やソフトウェアなどのIT機器全般、ライセンスなどです。これらのアップデートの状況や、「いつ、誰が、どのように利用したか」を一括管理することによって、企業活動がセキュリティリスクにさらされるのを防ぎます。
このように、DLPとIT資産管理ツールでは特性を発揮する領域が異なりますが、どちらも情報資産の管理やセキュリティ対策に有効なツールです。どちらか一方ではなく両方を導入することが推奨されます。
- 併せて読みたい
DLPの機能
DLPは、機密情報の漏洩を適切かつ効率的に防止するための、様々な機能を搭載しています。代表的な機能は、下記の5点です。
機密情報のリアルタイム監視
DLPは、あらかじめ設定したポリシーに基づいて、監視対象となる機密情報を選定し、リアルタイムで継続的に機密情報に対する操作を監視します。これにより、情報漏洩につながる異常な行動をいち早く検知し、漏洩が起きる前に操作をストップさせることが可能です。
デバイス制御
DLPは、機密情報にアクセスできる端末やソフトウェアを管理し、稼働状況を追跡します。組織内のユーザーであっても、アクセスが許可されていない端末からは重要な情報にアクセスできません。
また、社内のパソコンにインストールされているアプリやソフトウェアを監視対象とすることにより、ウイルス感染などの不正アクセスのリスクが発生した場合にも対処できます。
データのコピー・印刷制限
DLPは、監視対象のデータにアクセスした後の、データのコピーや印刷、画面キャプチャといった行動も制限できます。
内部からの情報漏洩においては、コピーや画面キャプチャなどによって持ち出されたデータが、故意や過失で外部に流出するケースも珍しくありません。DLPは、こうした操作自体を制限することで、機密情報の漏洩を防ぎます。
Webサイトへのアクセス制限
DLPでは、フィルタリング機能を用いて、セキュリティポリシーに反するWebサイトや、有害な情報を含むWebサイトの閲覧を制限することも可能です。
不適切なWebサイトへの安易なアクセスによってウイルスに感染し、情報漏洩につながるケースは少なくありません。DLPによって、従業員ごとに閲覧制限を設け、作業上の必要性に応じて権限の範囲を変えることで、リスクを最小化することができます。
メールの送信ブロック
DLPでは、キーワードやデータの重要度から情報漏洩につながる可能性があるメールを判別し、送信を強制的にキャンセルして情報漏洩を防ぐことも可能です。
メールは業務上不可欠なツールですが、ファイルの送受信が容易で、宛先を間違える人的ミスが生じる可能性もあることなどから、情報漏洩の発端になりやすいツールでもあります。DLPによって、メール送信による故意の情報漏洩だけでなく、操作ミスでの情報漏洩も防げます。
DLPが保護対象データを判別する仕組み
DLPの特徴は、企業が持っている膨大なデータから特定のデータをピックアップして監視し、様々なセキュリティ対策機能で情報を保護できることです。では、DLPは、どのように保護対象となるデータを判別しているのでしょうか。判別の方法は、下記の2つに大別されます。
キーワードや正規表現による判別
DLPは、指定したキーワードや正規表現のパターンにマッチしたデータを機密情報として判別します。
正規表現とは、文字列のパターンを照合する方法の1つです。クレジットカード番号や電話番号など、特定のパターンやデータ形式が含まれる文字列を検索します。指定したキーワードや正規表現のパターンにマッチしたデータを機密情報として特定し、監視することが可能です。
フィンガープリントによる判別
DLPでは、フィンガープリントによる判別も可能です。フィンガープリントとは指紋を意味する単語で、保護したいデータの文書の構造やキーワード構成の特徴をフィンガープリントとして登録しておくことで、特徴が一致するデータを識別します。
保有するデータや、保護対象としたいキーワードが膨大になる場合、キーワードや正規表現を用いた判別方法だけでは保護対象の設定が困難です。そこで用いられるのがフィンガープリントです。
フィンガープリントが一致すれば、データが改ざんされた場合にも検知することができます。
DLPを導入するメリット
DLPを導入すると、セキュリティ強化につながる様々なメリットがあります。DLPの主なメリットとしては、下記の3点が挙げられます。
リアルタイムで外部攻撃や内部不正を検知できる
DLPは、対象のデータを24時間リアルタイムで監視して、外部攻撃や内部不正を検知することが可能です。
例えば、データへのアクセスログや操作ログを確認する方法では、情報漏洩の発生を検知できるのはデータが流出した後です。発生を確認してから対処するため、どうしても対応が後手に回ることは避けられません。DLPでは、リアルタイム監視を行い、情報に対する不正な操作があった時点でアラートを出してブロックするため、被害を最小限にとどめることができます。
- 併せて読みたい
ヒューマンエラーによる情報漏洩を防げる
DLPを導入すれば、ヒューマンエラーによる情報漏洩を防げる点もメリットです。
情報処理推進機構(IPA)が公表している「企業における営業秘密管理に関する実態調査2020 調査実施報告書」によれば、情報漏洩の発生ルートとして最も多いのは「中途退職者(役員・正規社員)による漏えい」で、次いで多いのが「現職従業員等の誤操作・誤認等による漏えい」でした。外部からのサイバー攻撃の脅威だけでなく、内部不正による情報漏洩や、不注意による機密情報の誤送信などに対する対策も急務であることがわかります。
「個人情報を印刷した用紙を入れたまま、バッグを紛失した」「メールに添付するファイルを間違えてしまい、機密情報を外部に送信してしまった」といったインシデントを防ぐには、機密情報への不適切な操作の段階でアラートを出して操作を制限するDLPが有効です。
情報を管理するための負担を軽減できる
機密情報を管理するための負担を軽減できるのも、DLPのメリットです。企業内のあらゆるデータに高度なセキュリティ対策を導入すると、データを利用する際の負担が増加し、業務効率が低下する可能性があります。その点、DLPは機密情報に限定してセキュリティ対策を導入するため、業務効率とセキュリティの強化を両立できます。
例えば、保護の必要性が低いデータについてもコピーや印刷を制限すれば、社内外における情報共有が煩雑になりますが、DLPではそのような事態は発生しません。また、保護するデータを起点に不審な行動があった場合だけアラートを発することによって、効率的に情報漏洩を防止できるようになるため、管理者側の負担も軽減できます。
DLPを選定する際のポイント
DLPは、自社に合った製品を選ぶ必要があります。自社に合ったセキュリティ体制を構築するためには、下記の3点を確認しましょう。
自社の環境に合っているか
DLPを導入する際は、自社の環境で正常に動作し、監視したい情報の領域をカバーできることが重要です。導入したいDLPが、自社のサーバーやパソコン上で機能することを確認しなければなりません。
また、DLP製品は、監視する対象によって下記の3種類に分かれます。自社内で監視したい情報に適したタイプを導入しましょう。
全体監視型
全体監視型とは、サーバーやパソコンなど、社内のネットワーク内に保存されているすべての情報を監視するタイプです。社内で扱うすべての情報の重要性が高く優先順位をつけにくい場合や、あらゆる情報を網羅的にチェックしたい場合に有用です。エンドポイントにソフトウェアをインストールした上で、監視サーバーを設置して社内ネットワークでやりとりされるデータを監視します。
エンドポイント型
エンドポイント型は、タブレットやパソコンなどのエンドポイントにインストールしたソフトウェアを通じて、エンドポイント側でデータを監視するタイプです。機密情報のコピーなどが行われると、アラートを発します。
社外に持ち出す端末を監視する際には、エンドポイント型が適しています。エンドポイント型は対応するOSを搭載した端末にしか導入できないため、自社端末のOSを確認した上で導入しましょう。
ファイアウォール型
ファイアウォール型は、DLP機能を搭載したファイアウォールを導入するタイプです。端末ごとにソフトウェアをインストールする必要がなく、比較的導入が容易です。ただし、ファイアウォールを通過しない情報は監視できません。
導入・運用のコストは最適か
DLPを導入する際は、搭載されている機能とコストが見合っているかどうかも確認してください。極端にコストが安い場合、求めるパフォーマンスのレベルを十分に満たしていない可能性があります。逆にコストが高すぎる場合は、不要な機能が搭載されているかもしれません。
自社が必要とする機能と、それに見合った価格を把握するために、複数の製品を比較しましょう。DLPの中には無料トライアルを設けている製品もあります。実際に利用してみて、機能や操作性、費用対効果などを検討してみるのがお勧めです。
サポート体制は十分か
DLPを導入する場合、サポート体制についても確認しておきましょう。
DLPは導入後の運用についても、事前に考慮しておく必要があります。トラブルに対するベンダーのサポート体制を確認しておかなければ、不具合が発生した際に、想定外の時間と労力がかかるかもしれません。できれば、電話などですぐにサポートが受けられる製品を選ぶことをお勧めします。
DLPを導入して、情報漏洩対策を万全にしよう
機密情報をリアルタイムで監視して不適切なアクションを制御するDLPは、外部からの不正アクセスだけでなく、内部の不正や人的ミスを発端とした機密情報の漏洩を阻止するのに有用なツールです。情報漏洩の多くは内部要因によって引き起こされているため、外部要因に向けた対策と併せて、DLPの導入も検討しましょう。
より万全な情報漏洩対策を行うには、データを監視するDLPに加えて、ユーザーの行動を監視する情報漏洩対策ツールやIT資産管理ツールの導入がお勧めです。インターコムが提供する「MaLion」シリーズなら、セキュリティポリシー設定やポリシー違反者への警告通知、Webアクセス監視・制限、Webアップロード監視、ファイルアクセス監視・制限などの機能を備えているため、企業の情報資産を保護することが可能です。情報漏洩対策をお考えの場合は、ぜひご検討ください。
