DLPとは？情報漏洩を防ぐためのセキュリティ対策方法

DLP(Data Loss Prevention)とは？

DLPとは、Data Loss Preventionの略であり、保有する情報の漏洩や消失を防ぐためのシステム、もしくは製品のことを指します。保有するすべてのデータを監視するのではなく、漏洩や消失を回避したい重要な情報のみを識別して保護するシステムです。

機密情報の漏洩は、企業としての信頼失墜を招き、ときに事業の継続さえ危ぶまれる状況に陥るおそれがあります。そのため、多くの企業では重要なデータへアクセスする際にIDやパスワードを入力させるシステムを実装するなど、セキュリティ強化の対策をしています。

ただ、こうした従来のセキュリティ対策は内部からの情報漏洩に弱いのが欠点です。そこで注目されているのが、重要なデータそのものを監視し送信やコピーを制限することで漏洩を防止するDLPです。

DLPによるデータ判別の仕組み

DLPは、企業が保有する膨大なデータのなかから、特定のデータのみを判別して監視対象とします。情報にアクセスしようとするユーザーではなく、データそのものを監視する点が大きな特徴です。判別には、フィンガープリントと呼ばれる仕組みのほかキーワード、正規表現も用いられます。

キーワードや正規表現による判別

データに含まれている電話番号や住所、クレジットカード情報などのキーワードから判別する仕組みです。以前からデータ判定の手法としてよく用いられてきました。特定のキーワードや正規表現にマッチしたデータを判別します。

ただ、データに含まれるキーワードが膨大なケースでは、この手法だけで判別するのは困難です。該当するキーワードを登録するだけで多くの手間と時間を要するためです。そこで、DLPにはフィンガープリントと呼ばれる仕組みが実装されました。

フィンガープリントによる判別

フィンガープリントとは、デジタル情報が同一のものであるかどうかを確認するための値を指します。個々のデータがもつ特有の指紋、証明書をイメージするとわかりやすいかもしれません。

個々のデータがもつ指紋、フィンガープリントを登録することで、仮にデータの内容に変更が加えられたとしても正確な判別が可能です。また、膨大なキーワードを手作業で登録する手間を省ける点がメリットです。

DLPにおける5つの基本機能

DLPでは、キーワードや正規表現、フィンガープリントなどの仕組みを用いて社内で保有するデータの監視を行います。DLPに実装されている基本機能には、コンテンツ監視やデバイス制御、印刷・コピー制限、Webサイトへの制限、メールセキュリティ機能などがあります。

コンテンツ監視機能

コンテンツ監視機能は、サーバー上で管理している機密情報をリアルタイムでモニタリングする機能です。サーバーにある情報のなかから機密情報を自動的に判別し、情報漏洩につながるようなアクションがないか監視します。

第三者に機密情報を取得されたあとでは対処が困難です。たとえユーザーを特定できたとしても、そのときにはすでに情報が外部へ漏洩しているおそれがあります。

一方、DLPのコンテンツ監視機能はリアルタイムにデータの監視を行うため、上記のようなリスクを回避できます。従業員がデータを違法にアップロードしようとした、機密情報を持ち出そうとした、といったケースでも、速やかに警告を出し行動をブロックできるため安心です。

デバイス制御機能

社内で利用しているデバイスを一元管理できる機能です。数多くのデバイスを導入している企業では、個々で適切な管理を行うのは困難です。そのため、気付かないうちに特定のデバイスがマルウェアに感染し、それがネットワークを経由して感染が広がる、といったことも考えられます。

デバイス制御機能は、このようなリスクを排除します。デバイスの稼働状況をモニタリングし、外部から悪意あるアクセスが寄せられた場合にはシャットアウトが可能です。また、デバイス上で稼働しているアプリも監視し、マルウェア感染のリスクなどを検知した際に警告や行動のブロックを行います。

デバイスの盗難や紛失対策も万全です。デバイスで管理しているデータは暗号化されるため、仮に盗難や紛失に遭った場合でもそこから情報が洩れるリスクを軽減できます。

印刷・コピー制限機能

印刷・コピー制限機能は、ユーザーによる印刷やコピーといったアクションを制限できる機能です。外部からの不正アクセスを徹底的に排除しても、内部から情報が漏洩するリスクが潜んでいます。たとえば、従業員が画面をキャプチャしてデータを自宅に持ち帰り、そこから情報が漏洩してしまうおそれがあります。

DLPの印刷・コピー制限機能は、データのコピーや紙媒体への印刷、キャプチャといった行動の制限が可能です。これによって、組織内部の人間が機密情報をコピー、キャプチャして外部へ持ち出す、といった事態を回避できます。

Webサイトへの制限機能

Webサイトへのアクセスを制限する機能です。セキュリティ保護されていないサイトや、ポリシーに反するコンテンツへのアクセスを制限できます。

Webサイトのなかには、悪意のもと運営されているものも少なくありません。最初から、個人情報の収集やマルウェアへの感染を目的に運営されているサイトもあり、このようなサイトへアクセスしてしまうと情報漏洩につながります。

DLPであれば、危険なサイトへのアクセスを制限できるため、このようなリスクの排除が可能です。すべての従業員に厳しいアクセス制限を実施してしまうと、業務内容によっては業務に支障をきたすおそれがありますが、DLPであれば個々にアクセス権限を付与できるためその心配がありません。

メールセキュリティ機能

メールセキュリティ機能は、情報漏洩につながると判断したメールの送信をブロックする機能です。たとえば、機密情報がメールに添付されているような場合、DLPが危険を検知して送信をストップします。

現代ビジネスにおいて、メールは使用頻度の高いツールです。そのため、情報漏洩を危惧して厳格な運用ルールや利用制限を課してしまうと、業務効率の低下につながりかねません。

一方、DLPであれば問題がないメールは通常通り利用でき、機密情報がメールに含まれていると判断したときだけ制限をかけられます。そのため、DLPの導入によってメールが使いにくくなる、業務効率が低下するといった心配はありません。また、製品によってはマルウェアが添付されたメールをシャットアウトできるため、メールを用いたサイバー攻撃対策にも有効です。

DLPと従来の情報漏洩対策(IT資産管理ツール)との違い

DLPの導入を検討している企業経営者や担当者のなかには、従来の情報漏洩対策と何が違うのかといった疑問を抱いている方もいるのではないでしょうか。混同されやすいIT資産管理ツールと比較すれば、何が異なるのかよく理解できます。

IT資産管理ツールとは

IT資産管理ツールとは、PCやタブレット、プリンターなどのハードウェアをはじめ、OS、アプリケーションなどのソフトウェアを一元管理できるツールです。導入によって、社内で利用しているOSやソフトウェアのライセンス状況を正確に把握できるほか、一斉アップデートも行えます。

IT資産管理ツール導入の主な目的はコンプライアンスの強化です。ソフトウェアのライセンス状況を正確に把握できていないと、意図せずライセンス違反を犯しかねません。ツールを導入すれば、一元的なライセンス管理を実現できコンプライアンスの強化につながります。

また、IT資産管理ツールはセキュリティ対策にも有効です。社内のデバイスで使用しているOSやソフトウェアに対し、最新のバージョンを一斉にダウンロードできるため、脆弱性をついたサイバー攻撃に対処できます。

DLPとの違い

DLPとIT資産管理ツールの大きな違いは、監視する対象です。IT資産管理ツールは、ライセンスの更新漏れなどによる違反を防止するため、OSやソフトウェアのライセンス発行数や期限などを監視します。また、従業員による不正利用を防ぐため、デバイスの稼働状況を監視できるのも特徴です。

一方、DLPは外部に漏れると問題になる機密性の高い情報のみを監視対象としています。ここがIT資産管理ツールとの大きな違いです。

DLPを企業で導入するメリット

DLPの導入によって企業が得られるメリットとして、ヒューマンエラーによる情報漏洩の防止が挙げられます。また、リアルタイムに不正を検知できるほか、従業員の管理負担軽減につながるのもメリットです。

ヒューマンエラーによる情報漏洩をブロックできる

DLPを導入すれば、ヒューマンエラーによる機密情報の漏洩を防げます。登録した機密情報そのものを監視対象として保護できるため、誤操作による漏洩なども回避できます。

従業員のITリテラシーが高く、データに扱いに関する厳格な運用ルールを設けていたとしても、ヒューマンエラーが発生する可能性はゼロではありません。重要なデータを誤って別の相手に送ってしまう、といったミスは誰にでも起こり得ます。

DLPを導入していれば、重要なデータそのものを監視対象とするため、万が一従業員が誤って機密情報を漏洩しそうになっても未然に防げます。機密情報が外部に漏れる心配がないため、従業員は安心して業務に取り組め、業務効率の向上が期待できるのもメリットです。

リアルタイムに不正の検知ができる

情報漏洩が発生したあとで事態に気付いても手遅れです。もちろん、迅速かつ適切な対処によって被害を最小限に留めることは可能ですが、毎回そのような対処ができるとは限りません。流出した情報が誰かの目に留まり、コピーされて拡散されてしまうといった事態も考えられます。

このような事態に陥らないよう、情報が流出する前に防がなくてはなりません。DLPであれば、リアルタイムで機密情報へのアプローチを監視できるため、上記のようなリスクを回避できます。

従業員が機密情報を外部へ持ち出そうとしている、コピーしようとしているといった状況をDLPがリアルタイムで検知することで、迅速な対応へとつなげられます。

ユーザーの管理負荷を削減できる

高度かつ厳格なセキュリティ対策を施した場合、業務効率を著しく低下させてしまうおそれがあります。機密性が低い情報のやり取りまで制限され、取引先とスムーズなやり取りができなくなってしまう、といったことも考えられるでしょう。

DLPであれば、流出を防ぎたい情報のみを監視対象にできるため、通常業務に支障をきたすことがありません。これまでと同等の生産性を確保しつつ、堅牢なセキュリティ環境を構築できます。

また、従業員を管理する側の負担を軽減できるのもメリットです。従業員の行動を徹底的に監視すれば情報漏洩の回避は可能ですが、現実的には困難です。管理者の数は限られており、そのうえ企業が扱うデータは膨大であるため現実的ではありません。DLPなら重要な情報の動きを正確に把握でき、効果的に漏洩を防げるため、管理者の負担も軽減します。

DLP検討時の注意点

DLPの導入を検討しているのであれば、導入や運用にどの程度のコストが発生するのかを事前に把握しておきましょう。また、自社で運用するのに必要なスペックやサポートの有無を確認するのも大切です。

導入・運用時のコストを事前に把握する

DLPの導入と運用には少なからずコストがかかります。導入前に把握しておかないと、想定以上の費用が発生し予算をオーバーするおそれがあるため注意が必要です。

主なコストとしては、製品を使用するためのライセンス費用やシステムの構築費用、サーバー運用費用などが挙げられます。基本的には、高額な製品ほど高機能かつ多機能であるケースが多く見受けられます。費用に見合った機能を有しているのか、自社にマッチしているかどうかを重視して検討を進めましょう。無料トライアルが可能な製品であれば、導入前に機能や操作性を確認できるためおすすめです。

自社に必要なスペックを確認する

製品によってデバイスに求めるスペックが異なるため注意が必要です。特に、必要なメモリー容量は重視してチェックしておきましょう。運用に多くのメモリーを消費する製品の場合、動作スピードに多大な影響を及ぼすおそれがあります。遅くなる、動かなくなるといったリスクがあるため、なるべく求める要求するメモリー容量が少ない製品がおすすめです。

製品が重点を置いている機能も確認しましょう。これも、製品によって大きく異なります。気になる製品が見つかったら、自社が解決したい課題の解決につながる機能が実装されているかどうかをチェックしましょう。

サポートの有無を確認する

DLPを導入したばかりの時期には、運用面でさまざまな疑問が発生する可能性があります。操作が分からない、不具合が発生する、といった事態に直面するおそれがあるため、このようなとき適切なサポートを受けられるかどうかを確認しましょう。

ITやセキュリティ、DLPに精通した従業員が自社に在籍していないのであれば、なおさらサポートの有無を確認するのは重要です。サポートを受けられないとなれば自社で解決する必要があり、対処できる人材がいなければ業務に支障をきたすおそれがあります。

サポートの有無だけでなく、具体的にどういったサポートを受けられるのかも確認しましょう。対応はメールだけなのか、電話でも相談できるのか、トラブルが発生したときどのような対処をしてもらえるのか、といったことをチェックしておくと安心です。

自社に合ったDLP提供方法を確認する

DLPには複数の提供方法があります。EDLPとIDLP、CSPDLPの3つです。EDLPは、DLPに特化したソリューションであり、優れたカスタマイズ性が特徴です。IDLPは、エンドポイントやメールなど、特定のセキュリティ対策に特化したDLPで、特定の課題をピンポイントで解決したいケースに適しています。
CSPDLPは、クラウドタイプのDLPです。オンラインで申し込みできるため導入が容易で、EDLPと同等の機能性を誇ります。さまざまなプランを設けているサービスも多く、自社にマッチしたソリューションを導入できます。

3つの提供方法それぞれに特徴があるため、まずはそれを理解しなくてはなりません。そのうえで、自社の課題解決や目的の達成に近づける製品を検討しましょう。

DLPは情報漏洩やデータの紛失を防ぐシステムです。全てのデータを一律に扱うのではなく、保護が必要なデータのみを指定できるため、より効率的な情報管理が可能になります。特に、従来のセキュリティでは対応が難しい内部からのデータ送信やコピーの持ち出しといった行為にも有効な手段であるため、情報漏洩インシデント対策として有効です。