サイト内の現在位置
DLPとは?メリットや機能、製品の選び方を解説!
DLP(Data Loss Prevention)とは、情報漏えい対策のことです。そもそも今までの情報漏えい対策や、IT資産管理とはどう違うのでしょうか?企業では情報漏えいは大きなリスクを伴うことであり、対策を講じる必要があります。そこで、DLPの仕組みや主な機能について見てみましょう。また、DLPを導入するメリットと提供方法、活用事例についても具体的に解説していきます。
DLP(Data Loss Prevention)って?
どんな企業も、その企業にとって大切な情報を保有しています。お客さまや取引先などの個人情報、自社の技術や製品に関する機密情報、経営に関する経営情報などは、インターネットでの不正アクセスや従業員の不正な持ち出しなど、何らかのきっかけで漏えいする可能性があります。
そこで企業から注目されているのが、「DLP(Data Loss Prevention)」です。これは日本語で「情報漏えい対策」と言われるものです。データそのものに着目して、機密情報のデータが送信されたり外部に持ち出されたりするときに、アラートを出すなどして情報漏えいを防ぐシステムです。
IPA(独立行政法人 情報処理推進機構)の調査(2020年)によると、情報漏えいが起きた企業は全体の5.2%。情報漏えいのルートとして最も多いのが、中途退職者による漏えい(36.3%)と現職従業員の誤作動・誤認などによる漏えい(21.2%)です。情報漏えいというと、サイバー攻撃による不正アクセスが主な原因と思われるかもしれませんが、内部要因がかなりの割合を占めています。そこで、データ自体を監視して漏えいを防ぐのがDLPです。
参考:「企業における営業秘密管理に関する実態調査2020」報告書について(IPA)
※外部サイトへ移動します
今までの情報漏えい対策との違い
具体的にこれまでの情報漏えい対策とどのような点が違うのでしょうか?
違い1.機密情報自体を監視する
これまで多く行われてきた情報漏えい対策は、主に使用者を監視する方法でした。よく利用されている方法が、機密情報にアクセスする人にユーザIDとパスワードを発行する方法です。しかしこの方法では、そのIDとパスワードを持つ本人が故意または誤ってデータを使用しようとする際、それを防ぐことができません。そこで、データ自体を監視して情報漏えいを防ぐ施策がDLPです。
違い2.特定の情報だけを対象とする
これまでの情報漏えい対策とDLPでは、漏えいを防ぐための範囲が異なります。これまでの対策は、広範囲のあらゆる情報を対象としていましたが、DLPは機密情報と特定した情報のみを対象とします。情報漏えい対策を行うべき範囲が広くなればなるほど、その運用は煩雑になりコストもかかります。しかしDLPでは本当に漏えいしてしまったらリスクの高い情報のみを対象としているため、効率的に漏えい対策を行うことができます。
違い3.外部への持ち出し・送信でアラートを出す
これまでの情報漏えい対策では、正規のユーザIDとパスワードを持った本人がログインすれば、機密情報の外部への送信や他媒体にコピーすることが可能でした。しかしDLPでは、そのような行為を行おうとするときにアラートを出し、その操作を自動的にキャンセルすることができます。データの持ち出しやコピーをすぐに検知して、自動でそれを阻止することができるのがDLPの特徴です。
IT資産管理との違いは?
DLPとよく似ているセキュリティ対策に、IT資産管理があります。どちらもセキュリティ対策として有効ですが、目的と監視対象が異なります。DLPは機密情報などの重要なデータを外部に漏えいすることを防ぐ目的で、そのデータを監視対象とするものです。一方、IT資産管理はハードウェアやソフトウェアといったIT資産を管理するための目的で利用されます。具体的には、IT資産管理は社内のパソコンにインストールされているソフトウェアやバージョンを確認し、ソフトウェアのライセンスが不正利用されていないか、ソフトウェアの脆弱性が発見されたときにアップデートしていないパソコンがないかなどを確認します。
DLPの仕組みについて
DLPは、データを監視する情報漏えいシステムですが、具体的にどのようにデータを判別して漏えい対策を行うのでしょうか。そのひとつの方法が、「キーワードや正規表現」の指定です。特定のキーワードや正規表現から指定したキーワードを頼りに、そのデータを判別する方法。例えば、住所、電話番号、クレジットカード番号などのデータの管理には、とても有効に利用できます。
ただ、特定のキーワードを指定するには種類が多すぎて手間がかかるデータを取り扱う場合もあるでしょう。そのような場合に用いられるのが「フィンガープリント」を使った識別方法です。フィンガープリントとは指紋のことで、「文書の指紋」とも言うべきものです。ある文書のフィンガープリントを登録しておけば、その文書の中身が改ざんされても、データの類似性などから機密データか判別できるようになります。また、特定のデータから派生した別のファイル・フォルダも判別可能で、効率的に判別して管理できます。
DLPの主な機能と実際の活用方法
DLPには、データの監視以外にもさまざまな機能があります。
機能1.デバイス制御
社内で使用するパソコンなどのデバイスを一元で管理して、さまざまな脅威から保護できるのが「デバイス制御機能」です。社内にあるパソコンにインストールされているアプリやソフトウェアを監視して、万が一不正アクセスがあったりマルウェアなどのウイルス感染があったりした場合は、いち早くそれを検知して、警告を出したりその行動を止めたりします。
セキュリティ対策で、USBメモリなどの外部デバイスの使用を禁止している企業もありますが、DLPではそのようなデバイスの使用を禁止することなく、デバイス自体を保護して利用できるため、業務効率が上がりやすいと言えるでしょう。
DLPの導入でセキュリティ対策をしながらUSBメモリが利用できる
セキュリティ対策で、USBメモリなどの外部デバイスの使用を禁止している企業もありますが、DLPを導入すれば、情報を持ち出す前に機密性を確認できるので、USBメモリの利用を認めながらセキュリティ対策ができるようになります。
USBメモリの使用が禁止される理由
USBメモリなどの外部デバイスを禁止する主な理由として、USBメモリはコンパクトで持ち運びが楽である反面、紛失したり盗難に遭う危険性が高い点が挙げられます。会社のパソコンからデータをUSBメモリにコピーして取引先や自宅に運ぶような場合に、USBメモリを紛失してしまうと情報漏えいの危機に繋がります。また、コンパクトで持ち運びが楽なため、内部不正が行われる際にデータ持ち出しのために使用されやすい点も、使用が禁止されている理由の一つです。
コンパクトで持ち運びが楽なメリットと、簡単に情報が盗まれる恐れがあるデメリット。その両者を比較しデメリットの方が大きいと感じる企業が多い結果、USBメモリを使わない企業が多くなっているのです。
機能2.不適切なWebサイトへのアクセス制御
インターネット上にはウイルスへの感染の恐れがある不適切なWebサイトがあります。そのようなリスクの高いWebサイトへのアクセスを制御するのが、Webセキュリティの機能です。URLのフィルタリング機能を利用して、従業員ごとに閲覧権限を設定することもできるので、業務内容によってその権限を付与することが可能です。
例えば、広報担当者などはインターネット上の掲示板などを確認する必要がある人には、それらのWebサイトを閲覧できるよう権限を設定できるのです。このようにして、不適切なWebサイトへのアクセスを阻止して情報漏えいを防ぎます。
機能3.メールのセキュリティ
メールは仕事に必要不可欠なツールですが、情報漏えいを引き起こし、不正アクセスによってウイルス感染しやすいツールでもあります。例えば、取引先企業を名乗るメールが届いて、その本文にあるURLや添付されているファイルをクリックすることで、情報が漏えいすることもあります。そのようなメールでのセキュリティを高められるのが、DLPの機能のひとつです。
機密情報がメールに含まれている場合には、DLPがキーワードやフィンガープリントからそれを検知。メールの送信を強制的にキャンセルさせるなどして、情報漏えいを防止します。通常業務でのメールは普段通り行いながら、情報漏えいにつながるメールにのみアラートをかけたり阻止したりして、高いセキュリティを保つことができます。
機能4.リアルタイムでのデータの監視
DLPは機密情報を、常に監視しています。その監視はリアルタイムで行われており、仮に従業員がデータのコピーを取ったり、メールで送信したりしようとすると、すぐにそれを検知してアラートを出します。業務時間内でも業務時間外でも、そのような情報漏えいにつながる行為はすぐに検知してブロック。情報漏えいにつながる行為を発見するだけではなく、その行為自体を阻止できるため、漏えいを防げるのです。
機能5.印刷・キャプチャーの制限
機密情報が含まれた文書は、印刷したり画面のキャプチャーを取ったりして、それがきっかけで漏えいすることもあり得ます。例えば、印刷した文書の一部をコピー機に置いたままにしたり、印刷した紙を外出先で紛失したり。そのようなことが起こる可能性があることから、DLPでは印刷やキャプチャーそのものに制限をかけて、印刷もキャプチャーも取らせないように設定できます。
小さなミスが思わぬ大きな情報漏えいにつながることはよくあるもの。そのようなミスを未然に防ぐことができます。
DLPを導入するメリット
ここで改めてDLPを導入すると、具体的にどのようなメリットが得られるか確認してみましょう。
メリット1.情報漏えいを防ぐ
DLPを導入することの最大のメリットは、やはり情報漏えいを防ぐことにあるでしょう。どんな企業でも膨大な情報を扱っているもの。そしてそれらが漏えいすると、企業に対する社会的信用を失うことにつながりかねません。
個人情報の流出などは特にシビアな問題としてとらえている企業が多いでしょう。そのような情報の漏えいを防ぐことは、もはや企業にとって避けては通れないこと。従来の対策に組み合わせて、DLPでの情報漏えい対策を行うことが大切になります。
メリット2.人為的ミスによる情報漏えいを防ぐ
企業で起こる情報漏えいは、人為的なものによるものが多いと上述しました。悪意がなくても、「メールに誤って機密情報が入ったファイルを添付して送ってしまった」「機密情報が含まれた文書を電車の棚に置き忘れてしまった」などといったケースも発生することが考えられます。DLPでは、機密情報をコピーするときに自動的にアラートがなり、それを阻止したり、印刷できないように設定したりすることが可能です。ヒューマンエラーを事前に阻止し、情報漏えいを防ぐことができるのです。
メリット3.24時間リアルタイムで監視できる
DLPは24時間常時監視され、しかもリアルタイムで行われていることも特徴のひとつです。
これまでの情報漏えい対策では、操作ログを記録してそれを監視するという方法でした。しかし、この方法は過去のログを確認することになるため、もし怪しいログが確認できてもそれはすでに発生した後の話になり、対応がどうしても遅くなります。しかしDLPならリアルタイムで監視が行われており、情報をコピーや外部送信しようとすると、その時点でアラートを出して阻止します。
従来のログ記録などの管理方法は続けながら、DLPと併用することでより安全性の高い情報漏えい対策を行えるようになるでしょう。
メリット4.管理の負担・コストを軽減する
企業が日々の業務で取り扱う情報は膨大な量で、そのすべてについて監視してチェックすることは不可能に近いでしょう。企業の規模が大きくなればなるほど、そのような管理面の負担は膨れ上がっていきます。しかも、通常の業務に影響を与えず、効率的にセキュリティ対策を行うことが大切です。
DLPなら、キーワードや正規表現、またはフィンガープリントであらかじめ機密情報を登録しておくだけで、それらの機密情報に的を絞って漏えい対策をできるようになります。管理の負担を抑えながら、コスト面での負担も抑え、それでいて強固なセキュリティ対策を実施できるようになります。
DLPの主な提供方法について
DLPは主に次の3つの方法で提供されています。
全体監視型
全体監視型は言葉の通り、社内ネットワークを通る情報“全て”を監視する型です。PC・サーバ・IaaSなど、社内で取り扱っている情報を網羅的に監視したい場合は全体監視型のサービスを探すと良いでしょう。
エンドポイント型
エンドポイント型は、エンドポイントで情報の監視をする型です。エンドポイント・・・PCなどの端末に監視ができるソフトウェアをインストールし、その端末で機密情報をメール添付・USBへ保存などする場合にアラート通知をあげます。
全体監視するのは大がかりだと感じる場合は、エンドポイント型の導入を検討してみるのも良いかもしれません。
ファイアウォール型
ファイアウォール型は名前の通り、ファイアウォールを通過する情報の監視をする型です。エンドポイント型と異なり、端末ごとに監視ソフトウェアのインストールが不要で比較的手軽に導入できるのが特徴です。一方でファイアウォールを通過しない情報のやり取りは監視できないため、ファイアウォール型の導入を検討している場合は注意してください。
DLP製品の選び方は?比較ポイントを解説
DLPを導入する際は、どのようなDLPが最適かいくつかのポイントをおさえておくといいでしょう。前述の通りDLPは、「全体監視型」「エンドポイント型」「ファイアウォール型」の3種類で構成されます。導入目的や課題に合った種類のツールを選定しましょう。
ポイント1.必要な機能
DLPには、デバイス制御、メールのセキュリティなど、さまざまな機能があることを紹介しました。これらの機能はDLPの製品によっても異なります。業務内容や扱う機密情報の種類によって、どのような機能が必要か異なってくるでしょう。そこで、自分たちが本当に優先的に必要とする機能を選び、それに合わせてDLPを選ぶことも大切です。逆に、業務では不要な機能をつける必要はありませんので、コストとパフォーマンスに見合った機能を選ぶといいでしょう。
ポイント2.対応するOS・メモリ容量
DLPには、対応しているOSが決まっています。OSが合わないと、パソコンの動作が止まってしまったり、動きが遅くなったりと、普段の業務にも影響を及ぼしてしまいます。
またメモリ容量についてもチェックしましょう。DLPで使用するメモリ容量が大きくなると、さまざまな機能を使うときに動作が遅くなったり、通常の業務に支障をきたしたりする可能性も考えられます。必要に応じて、不要なファイルやデータを削除するなど、サーバのメンテナンスも求められるでしょう。
ポイント3.無料トライアル
DLP製品の中には、無料でトライアルできる期間を設けているものもあります。実際に社内で使ってみて、使い勝手や不具合が見つかったりしないか確認してみるといいでしょう。実際に使いながら、DLPの効果と費用面を評価して導入の判断をすることをおすすめします。
ポイント4.サポート体制
最後にチェックポイントとして忘れてはいけないのが、サポート体制についてです。万が一、トラブルや問題が生じたとき、電話などでサポート体制があれば、即座にトラブルに対応して指示をもらえます。問題が発生したときは迅速に対応すること重要なので、サポート体制が整っているか確認するといいでしょう。
DLPの活用事例について
DLPを導入した事例について紹介します。
事例1.税理士事務所で導入
税理士事務所は、顧客の個人情報の管理が欠かせません。しかも年々その量は増えていき、税理士が個人で管理していくには限界がありました。
そこでDLPの導入に踏み切ると、低コストで顧客情報を効率的に管理できるようになり、スムーズに情報漏えい対策が実施できます。
事例2.教育機関で導入
研究結果や過程のデータは機密情報であり、外部に漏らしてはいけないものです。しかし内容によっては、外部の共同研究機関とデータを共有するといった必要もあります。そこで、膨大な量の研究データを効率的に管理するためにDLPが導入されました。
セキュリティ対策の相談ならNECフィールディングへ
企業にとってセキュリティ対策はなくてはならないもの。DLPのような情報漏えい対策はもちろん、サイバー攻撃、ウイルス対策、IT資産管理、プライバシー保護など、多岐にわたります。そのどれにおいても、小さな抜け穴があっては、企業にとって致命傷になりかねません。
そこで企業のセキュリティ対策は専門のプロフェッショナルに相談するのがおすすめです。NECフィールディングなら、企業のセキュリティ対策について幅広いサービスを展開しています。まずは気になることから、気軽に相談してみてはいかがでしょうか。
▼NECフィールディングのセキュリティ対策
https://www.fielding.co.jp/service/security/measures/
まとめ
DLPは機密情報自体を監視して、リアルタイムで情報漏えいを防止できるシステムです。従来の方法だけでは防ぎきれなかった、ヒューマンエラーなどで起こる情報漏えいを未然に防ぎ、自動的に阻止します。しかも通常の業務には影響を与えず、コストや負担を最小限にしながら効率的にセキュリティ対策を講じられる方法のひとつです。機密情報や個人情報を扱う企業は、DLPの導入について検討してみてはいかがですか。
関連サービス
関連記事
悪意のあるソフトウェアを総称する呼び名であるマルウェア。インターネットが普及し始めた1990年代初期に被害が発生し、それから30年経った今でも被害は広がっています。本記事では、マルウェアの種類や被害の内容、感染経路、予防・対策の方法などを解説します。
ランサムウェアは、企業や組織のコンピュータに感染して制限をかけ、復元や情報を暴露しないことの代償として身代金を要求するマルウェアの一種です。年々ランサムウェアの攻撃は高度化し、完全に防ぐことは難しくなっています。企業や組織はランサムウェアの被害を防止するために、攻撃を防ぐことはもちろん、攻撃を受けることを前提とした被害を拡大しないセキュリティ対策が必要です。
今回は、ランサムウェアの攻撃のプロセスや、万が一感染した場合の対策などについて解説します。
PNは、仮想的な専用ネットワークを作り出し、安全に通信を行う技術です。ネットワークがビジネスに欠かせないものになり、セキュリティ対策が重要になっている今、VPNの活用は、企業の競争力を左右するといえます。
今回はVPNの基礎知識、VPNの4つの種類、メリット・デメリット、VPNプロトコルの種類、VPN選びのポイントなどを取り上げます。
発行元:NECフィールディング
お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。