DLPとは?仕組みや機能、導入のメリットや選び方を解説
企業活動で得られる「個人情報」や「知的財産」といった機密情報の扱いには、万全の注意を払わなければなりません。ひとたび機密情報の漏洩が起こると、企業の信頼は失われ、事業存続にまで影響が及びかねないためです。しかし従来のセキュリティ対策では、従業員による意図的な情報の持ち出しなど、内部からの情報漏洩が防ぎきれないという課題がありました。 そこで注目されているのがDLPです。機密情報を自動で特定し、データそのものを常に監視することで、情報漏洩を未然に防ぎます。この記事では、DLPの仕組みや機能のほか、導入のメリットや導入時の注意点についてもまとめています。
DLP(Data Loss Prevention)とは何?
DLP(Data Loss Prevention)とは、機密情報や重要データを自動で特定して監視し、漏洩や消失を防ぐ機能・システムのことです。機密情報の持ち出しの可能性が検知された場合、アラートで警告したりPCの操作自体をブロックします。「人」ではなく「データ」そのものの動きに着目している点が特徴です。DLPによって、お客様から預かった「個人情報」や、技術的なノウハウをはじめとする「知的財産」などの重要なデータを守ることが可能になります。
DLPが注目されている背景
機密情報の漏洩が起こると、企業としての信頼が失墜するだけでなく、事業の存続さえ難しくなる可能性があります。そのため、これまで企業・組織ではウイルスや不正アクセスを防止するなど、「外部要因」によって引き起こされる情報漏洩に対してさまざまな対策がとられてきました。
一方で、こうした従来のセキュリティ対策では、従業員の過失や意図的な持ち出しといった「内部要因」での情報漏洩が防ぎきれないという課題がありました。そこで注目されているのがDLPです。重要なデータそのものを常に監視し、デバイスの制御などによって情報漏洩を組織の内側から防ぎます。
DLPがデータを判別する仕組み
DLPは、企業が保有する膨大な情報の中から重要なデータのみを判別して監視します。判別には、特定のキーワードや正規表現、フィンガープリントが用いられます。
特定のキーワードや正規表現
あらかじめ定めたポリシーに基づいて各種データをスキャンし、その中から特定のキーワードや正規表現にマッチするデータを判別する手法です。例えば、クレジットカード情報、メールアドレスや住所などのキーワードが含まれる場合に有効だといえます。
ただし、データに含まれるキーワード数が膨大な場合には、キーワードの登録だけで多くの手間や時間がかかる点がデメリットです。そのような場合には、次に紹介するフィンガープリントによる判別が役立ちます。
フィンガープリント
フィンガープリントとは、個々のデータにおける特有の「指紋」のようなイメージで、情報が同一のものであるかを確認するための値を意味します。DLPにフィンガープリントを登録しておくことで、効率よく重要データの判別ができます。
例えば、文書データの中身が改変された場合でも、文書全体のキーワード構成や文書構造などの特徴から、重要データかどうかを判別します。判別にはデータの類似性を用いるため、関連データの検知も自動で行えますそのため、膨大な量のデータに対して管理面の負担を減らしながら、重要データを判別する精度が高められます。
DLPの主な5つの機能
デバイス制御
社内で利用しているPCやタブレット端末などのデバイスを一元管理し、マルウェアや不正アクセスなどの脅威から守る機能です。デバイスの稼働状況を常時モニタリングし、マルウェア感染などの危険性を検知した場合には警告を出したり、PCの操作自体を制限します。
また、管理下にあるデバイス内のデータは暗号化されるため、盗難や紛失が起きた際にも情報漏洩のリスクを抑えることが可能です。
コンテンツの監視
機密情報をリアルタイムに監視する機能です。サーバー上で管理している情報の中から機密情報を自動的に判別し、情報漏洩につながるような取り扱いがないかを監視します。従業員による機密情報の不正持ち出しや違法なWebアップロードが行われそうになった場合には、迅速に検知し、警告を出してそのような行為を未然に防ぎます。
機密情報が第三者の手に渡ってしまった瞬間から、外部への漏洩リスクは格段に高まり、企業は危険にさらされます。コンテンツ監視機能は業務時間外でも有効であり、DLPの基本機能の中でも特に重要な機能です。
印刷・コピー等の制御
データのコピーや印刷、画面キャプチャーといった操作を制限する機能です。例えば従業員が社内で重要データをコピーし、そのデータが入ったPCを自宅に持ち帰った場合、本人が意図していなくても社外ネットワークを通じて情報漏洩が起きてしまう恐れがあります。
どれだけ外部からの不正アクセスを防いだとしても、内部からの情報漏洩・紛失のリスクはなくなりません。従業員による印刷・コピー等を制御することで、こうしたリスクを抑えることが可能です。
Webサイト経由の感染を防ぐセキュリティ
URLのフィルタリングによって、セキュリティ保護がされていないWebサイトや、ポリシーに反する不適切なコンテンツへのアクセスを制御する機能です。Webサイトの中には、最初から個人情報の窃取やマルウェアへの感染を狙って運営されているものも存在します。本機能では、これら危険性の高いWebサイトへのアクセスそのものを制限することで、情報漏洩を防ぎます。
なお、DLPでは業務内容に合わせて個別に閲覧権限を設定できるため、業務に支障を来すことなくセキュリティを高めることが可能です。
メール経由の感染を防ぐセキュリティ
情報漏洩につながると判断されたメールの送信をブロックする機能です。何らかのデータを添付したメールを送信しようとするとき、キーワードやフィンガープリントによって重要データかどうかを検知し、セキュリティ上の問題があると判断された場合には自動的に操作をキャンセルします。
また、マルウェアが含まれるメールや、危険性のあるURLが添付されたメールの受信をブロックする機能が利用できるDLPもあり、内部だけでなく外部からの脅威への対策も可能です。
DLPと従来のIT資産管理ツールの違い
DLPと混同されやすいものに「IT資産管理ツール」があります。両者は企業活動のリスクを抑えるための仕組みである点では共通していますが、監視対象と目的に関しては明確な違いがあります。
DLP | IT資産管理ツール | |
---|---|---|
監視対象 | 機密性の高い情報資産(個人情報、知的財産、経営情報など) | IT資産(ハードウェア、ソフトウェア、ライセンスなど) |
目的 | 機密性の高い重要データの漏洩や消失を未然に阻止すること | IT資産を適切かつ効率的に管理・保護すること |
IT資産管理ツールは、PCやプリンター、アプリケーションなどのIT資産を一元管理するためのツールです。ライセンス状況の正確な把握や一斉アップデートの実施、操作ログの管理など、「人」の動きを含めてIT資産を管理し、コンプライアンスやセキュリティを強化します。一方のDLPは「データ」のみに着目し、機密性の高い重要データを守ることに特化しているのが特徴です。
企業がDLPを導入するメリット
データ分類の自動化
DLPの導入により、監視対象となるデータを自動で分類することが可能です。業務効率が向上するだけでなく、データの「作成時期」「保存場所」「共有方法」といった詳細情報を得ることができるため、データ分類の質も高まります。より正確なデータ分類が可能になることで、アクセス権を持たない従業員の目に機密情報が触れるのを防ぐなど、さらに適切なデータ管理につなげられます。
データへのアクセスや使用状況の監視
機密データを脅威から守るためには、誰がどのデータへのアクセス権を持ち、その権限を利用してどのような行動をとっているのかを監視することが必要です。DLPによって、社内のあらゆるネットワークやデバイスにおいて、従業員や請負業者をはじめとする関係者がどのようなデータの取り扱いを行っているのかを管理できます。企業内での役割や属性に応じてアクセス権を付与するなど、アクセスに一定の制限を加えれば、不正なデータ利用の防止につながります。
組織内のデータ活用の動きを可視化
DLPの導入で、組織内の機密データの動きを可視化することが可能です。アクセス権を持たないユーザーが機密データを活用した痕跡がある場合には、誰がその不正なデータ利用に加担したのかを突き止めるのに役立ちます。特にDLPではリアルタイムでの検知が可能なため、被害の拡大を最小限に抑えられます。また、今後問題が起こりそうな領域を特定し、事前に対策を講じる上でも有用です。
機密データの特定と分類
機密データを保護するためには、そもそも組織全体でどのようなデータを保有しているのか、そのデータが組織の中でどのように扱われているのかを知ることが不可欠です。明確に規定された組織のDLPポリシーに基づいて機密データを特定することで、データを不正利用から守りやすくなります。
加えて、特定した機密データへのアクセス権限を個別に定めるなど、情報の重要度に応じて適切に分類することで、組織のコンプライアンスやセキュリティ戦略の基準を満たすデータ保護が可能となります。
コンプライアンス順守
コンプライアンスを順守した企業活動をするためには、データ保護の法律や規制に従わなければなりません。例えば「内部統制報告制度(J-SOX)」や、クレジットカード業界のセキュリティ基準「PCI DSS」などが、これに当たります。DLPを活用してコンプライアンス監査に必要なログなどを取得することで、よりスムーズかつ適切なコンプライアンス順守が可能です。
組織内のデータの流れから怪しい動きを検出
DLPに独自のルールを設定することで、組織内のネットワークを流れるすべてのデータをスキャンしたり、USBメモリへのコピーによるデータの持ち出しを検出でき、より効果的にデータ漏洩を防ぐことができます。例えば、機密情報を含むメールを誤送信してしまった場合などに警告を発して操作をキャンセルするなど、ヒューマンエラーの防止につながります。
DLP導入時の注意点
導入・運用のコスト
DLPの導入と運用にかかる主なコストには、システムの構築費用、ライセンス費用、サーバー運用費用などが挙げられます。基本的には高額なシステムになるにつれて機能の充実度も増しますが、本当に費用に見合った機能を備えているのか、目的から外れた機能を含むことで余分なコストが増えてしまわないかは注意が必要です。
無料トライアルが可能なDLP製品であれば、導入前に機能や操作性を確認することができますので、試してみるのもよいでしょう。
スペックの確認
DLP製品によって、デバイスに必要なスペックが異なる点には注意が必要です。例えばネットワーク環境やメモリ容量は、運用時の動作スピードに大きな影響を与えます。スペックの確認が不十分だと、DLPが適切に機能しないばかりでなく、PCの動作全般が重くなり、業務に支障が出かねません。
こういった事態を防ぐためにも、社内のDLP運用環境が、導入するDLP製品の推奨スペックを満たしているかを入念に確認しておくことが大切です。
サポートの有無を確認
DLPを含めて、ITシステムを活用する際はトラブルがつきものです。原因不明の不具合への対応や操作方法に関する相談など、あらゆる面で適切なサポートが受けられるかどうかを事前に確認しておくことは必要不可欠だといえます。自社でDLPを導入した経験がない場合や、セキュリティに精通した社員がいない場合には、特に注意が必要です。
また、提供されるサポートの具体的な内容に関しても確認が必要です。やりとりの仕方や対応可能な時間帯などを細かく把握しておけば、急なトラブルにもスムーズに対応できます。
自社の課題を解決できるDLPの活用法を考える
DLPには複数の提供方法があり、その特徴によって対応可能な範囲が異なります。代表的な提供方法は「EDLP」「IDLP」「CSPDLP」の3種類です。
例えば、EDLPは優れたカスタマイズ性を持ち、ネットワークやクラウドなど、幅広い範囲での包括的なDLP導入が可能です。IDLPは電子メールに特化したものなどがあり、機能する範囲が限定的でコストを低く抑えられます。CSPDLPはクラウド上で保護している情報を対象とするDLPで、機能性が高く導入も容易です。
こういった特徴を理解した上で、自社の課題が解決できるDLPを選択・活用していくことをお勧めします。
Sky株式会社のシステム開発
Sky株式会社は、家電製品の組込み開発を手掛けたのをきっかけに、デジタル複合機やカーエレクトロニクス、医療機器など、幅広い分野でシステム開発を展開。また、AI・画像認識を活用したシステム開発にも携わっています。お客様先へのエンジニア派遣や受託開発などをはじめ、要件定義から設計、開発、検証、運用・保守まであらゆるフェーズで技術を提供しています。さらに、教育分野における学習活動ソフトウェアや、公共・民間向けのクライアント運用管理ソフトウェア、企業の営業活動を支援する名刺管理サービスなど自社商品の開発・販売も積極的に行っています。
まとめ
ここまで、DLPの仕組みや機能、導入のメリットや選び方などについて紹介しました。個人情報や経営情報など、企業が保持するさまざまな機密情報が漏洩してしまえば、企業は信頼を失うだけでなく、場合によっては事業の存続にまで影響が及びます。
DLPの導入によってデータそのものを自動的に監視できる体制を整えることで、従来のセキュリティ対策では対応できなかった、ヒューマンエラーなどの「内部要因」による情報漏洩を防ぎ、より一層強固に重要データを保護することが可能です。