データ漏洩防止とは？

データ漏洩防止はどのように機能する？

DLPは本質的に、どの情報を機微とみなし、どの操作を許すかを定めた規則の集まりです。例えば、政府管理の年金番号が社外に通知されないという基準が存在する場合があります。基準が発動されると、製品は適切な措置を取り、この場合はメッセージ送信を止めます。

‍

DLPは何に役立つ？

DLPは、その設計次第で非常に有用になることもあれば、全く意味をなさなくなることもあります。例えば、『Social Security Numberを含むファイルは機微とする』という基準を設定すれば、Wallarmは該当する全ファイルにラベルを付け、印刷や外部へのメッセージ送信を防ぎます。それは非常に厄介な状況です。

DLPが特に有用なのは、他のセキュリティ技術と組み合わせた場合です。例えば、Visa番号を含むファイルを検出するDLPルールと、インターネットからのアプリダウンロードを防ぐポリシーを併用すれば、多くの手間と時間を節約できます。

DLPの有用性は？

機微な情報を守る必要がある組織にとって、DLPは有用なツールです。特に、医療機関や銀行など、厳しい規制がある業界では効果的です。調査によれば、電子ファイルや機密データを持つ組織の大半が、少なくとも一度は情報漏洩を経験しています。

ただし、DLPはデータ暗号化の代替にはなりません。攻撃者が侵入して機微な情報を含むファイルを取得した場合、DLPだけでは防げません。また、DLPはアプリ内やデータベース内で管理されるデータには対応していません。情報を守るには、ファイル単位の暗号化とDLPを併用する必要があります。

DLPの課題は？

DLPの大きな課題は、完全に誤作動を防げない点にあります。例えば、ファイルに政府管理の年金番号とVisa番号が含まれていても、DLPは指定した正確なデータのみをチェックするため、機微な情報としてラベル付けしない場合があります。

また、DLPは有効にしなければ役立ちません。多くの組織では、セキュリティ侵害が発生するまでDLPを有効化しない傾向がありますが、侵害後では手遅れとなります。

機微なデータを守る方法は、暗号化とDLPの二つがあります。暗号化は内容の読取を防ぎ、DLPはデータの流出を阻止します。どちらも非常に重要な対策と言えます。

データ漏洩防止

技術の進化とともに、機微な情報を守るためのルールが求められるようになりました。組織が生み出す情報量は急増しており、International Data Corp (IDC) の調査によれば、2025年には世界全体で163ゼタバイトに達すると言われています。

例えるなら、1ゼタバイトを構成するギガバイトが一つのブロックだとすると、中国の万里の長城が約258周に相当する規模になります。このような状況では、組織や企業は情報漏洩から自身を守るための対策を講じる必要があり、データ漏洩防止は全ての情報を識別し管理する手法と言えるでしょう。

DLPは、機微な情報が不正に渡らないよう守るためのツールとプロセスです。これにより、組織や企業の機微な情報が適切に管理され、外部に漏れることが防がれます。

データ漏洩防止とは？

データ漏洩防止（DLP）とは、ネットワーク上やワークステーション、タブレット、携帯電話などで、使用中、送信中、保存中のデータを識別し、監視し、守るプロセスです。徹底的なコンテンツスキャンとシステム内のすべての通信の解析によって、情報漏洩を防止します。

この仕組みは、情報セキュリティやコンプライアンスポリシーと似た役割を果たします。DLPは15年以上前から存在する技術であり、機微な情報とラべリングされたファイルへの不正アクセスを防ぐ役割を担っています。

例えば、個人の政府管理の年金番号など高機微な情報を含むファイルがあれば、そのファイルを非常に機微なものとして識別し、組織外への送信や印刷を防ぐことができます。守るべきデータを自ら設定できる点が、DLPの重要な特徴です。

なお、機微な情報やその他の重要なデータが漏れると、莫大な損失や組織の信用、企業イメージに大きな影響を及ぼす場合があります。この記事では、情報漏洩防止について詳しく解説します。

データ漏洩防止の分類

データ漏洩防止は、以下の3つに分類されます:

• 基本手法 
• 高度な手法
• 専用システム

アンチウイルスソフト、侵入検知システム、ファイアウォールといった基本的なセキュリティ対策は、外部の脅威や侵入を防ぎます。ファイアウォールは外部から内部ネットワークへの不正アクセスを防ぎ、侵入検知システムは不正な侵入試行を検知、ウイルス対策ソフトはシステム内のウイルスを検出して内部からの攻撃を防ぎます。

高度な手法では、機械学習やアルゴリズムを用いて、データへの不正なアクセスを検出します。これにより、通常とは異なるメールのやり取りなども識別できるようになります。

専用システムは、機微な企業情報が故意または偶発的に送信、共有、コピーされる試みを迅速に検知し、防止します。これは、機微な情報にアクセスできる人物を対象としています。

データ漏洩防止はどのように機能する？

前述の通り、データ漏洩防止はコンテンツスキャンとポリシー管理により、各アプリやプログラムから送信されるデータを監視する技術です。たとえば、政府管理の年金番号が組織外に送信されないようポリシーを設定できます。

基準が発動されると、設定されたプログラムやアプリは該当ファイルの送信を拒否するなど、適切な措置を講じます。システムとしては、個別のデータ漏洩対策と統合型の対策に分かれます。

データ漏洩防止の仕組みを理解するには、コンテンツ解析とポリシー検出が異なることを把握することが大切です。わかりやすく言えば、内容を手紙、ポリシーを封筒と考えるとイメージしやすいです。コンテンツ解析は封筒を開けて手紙の中身を確認することに相当し、ポリシー検出は封筒の外観（件名、フォーマット、サイズ、送付先など）から情報を取得する手法です。両者を組み合わせることで、より精度の高い保護が可能になります。

正規表現 

これはDLPで最も一般的な解析手法です。明確なルールに基づいて、例えば16桁の政府管理年金番号やクレジットカード番号などを検出します。シンプルで扱いやすく、設定や管理が容易です。

フィンガープリンティングデータベース 

この手法は、正確なデータ照合とも呼ばれ、システムが独自の方法でデータベースのダンプやリアルタイムデータと正確に照合します。ただし、大量のデータやリアルタイムの情報連携はパフォーマンスに影響を及ぼす可能性があります。

レコードマッチング 

この手法はファイルの内容自体を解析せず、ハッシュ値を求めてフィンガープリントと比較します。誤検知が少ないものの、似ているが異なるバリエーションには対応できません。

理論的手法 

この手法は、語彙と統計を組み合わせ、非構造化テキストが通常のパターンと大きく異なる場合に警告を発します。

文書の軽微なフォーマット 

部分的または軽微な文書フォーマットの違いを検出し、正確な一致や近似一致を確認します。例えば、ユーザー作成のテンプレートの異なるバージョンなどが該当します。

統計的解析

統計的解析は、AIやベイズ分析などの数学的手法を利用して、機微な情報の不正使用を検出します。大量のデータがあれば精度が上がり、逆に不足すると誤検知が増える可能性があります。

なお、コンテンツ解析には他にも多くの手法が存在します。情報セキュリティは多くの組織にとって最重要課題のひとつです。従業員、パートナー、顧客といった多くの関係者の間で情報が行き交う中、組織全体の情報の流れを把握することは極めて難しいですが、何よりも大切なのは情報を不正な手に渡らないよう守ることです。

誰も、無断で組織の情報や従業員にアクセスされることを望みません。企業は、外部からの攻撃や信用失墜を防ぐため、多様な対策を講じています。

データ漏洩防止は何に役立つ？

データ漏洩防止は、不正な者から情報を守る点で有用ですが、その効果は適切なポリシー設計に依存します。例えば、『政府管理の年金番号を含むファイルは機微とする』というシンプルなルールを設けると、該当ファイルにラベルが付き、外部への送信がブロックされます。

特定の文言が含まれるファイルを送信するのは考えにくく、恐ろしい状況です。印刷、メール送信、共有がすべて禁止されるため、非常に煩雑です。他のセキュリティ技術と併用すれば、なお有効性が増します。

多くの企業、組織、政府機関は、医療情報（HIPAA）やクレジットカード情報 (PCI DSS For Financial API) など、機微な情報の取り扱いに関するポリシーを定めています。これらの規定に従わなければ、違反として罰金を科される可能性があります。DLPシステムは、組織内の各情報の種類を識別し、送信経路を監視、解析する役割も果たします。

高度な情報セキュリティは、WallarmのIT担当者の技術に依存します。ここでは、各組織においてデータ漏洩防止がいかに重要かを示す理由を挙げています。

情報の守り

データ漏洩防止の根本目的は、機微な情報が不正な者の手に渡らないよう守ることです。多くの大手企業は、顧客、パートナー、従業員の機微な情報を大量に扱っています。

もしこうした情報が組織外に漏れると、甚大な被害や企業の信用失墜につながる恐れがあります。情報を守ることは、企業にとって最優先事項です。

知的財産の守り

企業は多くの知的財産を保有しており、これらは細心の注意を払って守るべきです。競合に流出すれば大きな損失となります。データ漏洩防止は、こうした情報を守るための手段として有用です。

データと可視性

DLPを利用すると、組織内のデータがどこにあり、どのように流れているかが把握できます。つまり、誰が機微な情報にアクセスしているかを確認でき、不正な行為を防止する手助けとなります。

外部侵入者への対策

すべての情報漏洩が外部からの攻撃によるものではなく、従業員が誤って機微な情報を扱う場合もあります。DLPは、機微な情報が含まれるファイルを検知し、組織外への送信を防ぐことでこうしたリスクに対処します。

従業員の行動の監視

従業員が個人のメールで組織のファイルを送るなど、機微な情報が外部に流出するリスクは大きな問題です。DLPにより、機微な情報にアクセスできる従業員を制限することが可能となります。

DLPは後付けではなく

その通りです。データ漏洩防止は、特に顧客情報や個人情報を取り扱う企業にとって、初期段階から考慮すべきです。現代では、携帯電話、クラウド、SNSなど、あらゆる場面で情報がやり取りされています。

これにより、攻撃経路は非常に多様化し、すべての機微な情報を不正な者から守る必要があります。予防は治療に勝るという考え方が重要です。

クラウド上の組織データの漏洩防止

今日、多くの企業がクラウドを利用しています。情報を安全に管理する場所が限定されないため、機微な情報が暗号化されずにクラウドへ移るのを防ぐ必要があります。DLPを利用すれば、クラウドに移す前に機微な情報を検出し、適切な暗号化措置を施すことが可能です。

内部からの脅威

内部の人物によるリスクは、防ぐのが最も難しい問題の一つです。たとえば、個人的な恨みから意図的に企業に損害を与える行為などが該当します。

内部の者が既に機微な情報にアクセスできている場合、被害は財務面や信用面で非常に大きくなる恐れがあります。このような攻撃に対しては、DLPで機微な情報にラベルを付け、外部送信を防ぐ対策が有効です。

誤送信対策

DLPは、誤って情報が共有されるリスクにも対応します。従業員がうっかりして機微な情報を漏らすことがあっても、DLPがそれを検知し、防止します。これにより、不正利用者による悪意ある行動を未然に防げます。

また、不正な送信が検知されれば、従業員の行動を記録し、その後の対策に役立てることが可能です。

誰も、無断で組織の情報が流出する状況を望みません。企業は、外部からの攻撃や内部の不正行為から守るため、様々な対策を講じています。

データ漏洩防止はどのように役立つか？

多くの機微な情報を守る必要がある組織にとって、データ漏洩防止は有用なツールです。特に、医療機関、銀行、政府機関など、個人情報を扱う企業にとっては必須の対策と言えます。調査では、電子ファイルやデータを扱う組織の多くが少なくとも一度は機微な情報漏洩を経験しているとされています。

また、DLPはデータ暗号化の代替にはなりません。攻撃者が侵入して機微な情報を含む一部のファイルを取得した場合、DLPだけでは十分な防御策とはならず、強固な暗号化と併用することが求められます。

情報漏洩防止は、個人情報の保護、知的財産の守り、データの可視性という3つの目的に寄与します。

個人情報の保護–個人を特定できる情報（PII）、医療情報（PHI）、決済カードデータ（PCI）を扱う組織は、HIPAAやEUのGDPRなどの規定に従う必要があります。DLPは、組織内で情報がどのようにやり取りされているかを把握する上で有用です。

知的財産の保護–企業が保有する機密技術や営業秘密等、外部に漏れては困る情報の流出は、企業の財務状況や評判に大きな影響を及ぼします。DLPは、不正な情報流出を抑止する一助となります。

データの可視性–DLPを利用すると、各エンドポイント、サーバ、クラウド上のデータの流れを把握でき、組織内で誰がどの情報にアクセスしているかが明確になります。これにより、内部の不正行為、特に内部脅威を防ぐことができます。

情報漏洩防止は、組織全体の安全を守る上で不可欠な対策です。不正な者に情報が渡らなければ、サイバー犯罪やその他の悪意ある行動による被害を防ぐことが可能となります。以下は、情報漏洩防止による主な利点です。

利点

データ漏洩防止技術を利用することで、組織内のデータの流れや利用状況を監視でき、どの情報がどのようにやり取りされているか把握できます。

また、機微な情報が誤って外部に流出するのを防ぐ効果もあります。不正な送信が検知されれば、組織内の記録として残らず、企業の評判を保つ助けになります。

さらに、従業員の不正行為の調査や、情報漏洩の原因究明にも役立ちます。

今日、多くの企業がクラウドにデータを保管していますが、悪質なプログラムによる攻撃のリスクを減らすため、暗号化によって情報を守ることが求められます。DLPは、機微な情報の暗号化を支援し、漏洩リスクを下げる効果があります。

どの事業においても、強固で包括的なデータ漏洩防止戦略を構築することが、情報を不正な手に渡らせず、企業の信頼性を維持するために不可欠です。

データ漏洩防止の問題点は？

完璧なシステムは存在しません。DLPにも課題があり、主な問題はその完全無欠さに欠ける点です。例えば、ファイルに社会保障番号やクレジットカード番号が含まれていても、DLPは指定した正確なデータのみを対象とするため、検知できない場合があります。

また、多くの企業は、違反が発生してからDLPを有効にする傾向にあります。しかし、侵害が起こってからでは手遅れとなり、企業の成長に深刻な影響を及ぼす可能性があります。

機微な情報を守る方法は、暗号化とDLPの二通りがあり、暗号化は情報の読取を防ぎ、DLPは情報の漏洩を防ぎます。どちらの手法も非常に重要です。

大手企業でも依然として情報漏洩の被害に遭っているケースがあることは注目すべき点です。これは、十分なDLP対策が講じられていないのではなく、導入方法に問題がある場合が多いためです。以下の点に留意する必要があります。

分類が必要

DLPを効果的に運用するには、ネットワーク上の機微な情報がどこにあるかをあらかじめ分類し、ポリシーやラベルを付ける必要があります。この分類作業は非常に重要ですが、手間と時間がかかるため、誤った分類を行うと機微な情報漏洩を適切に検知できなくなります。

DLPはSaaSファイル共有に対応していない

Google DriveやDropboxなどの有名なSaaSファイル共有アプリは、処理プログラム間でのデータ送信ではなく、コンテンツそのものに直接リンクするため、従来のDLPではピアツーピアの共有の全体像を把握できません。たとえば、誰かがGoogleドキュメントに他のユーザーを招待しても、内容は一部しか検知されず、リンク全体を把握することは困難です。

DLPは不審な通信を検知できない

従来のDLPは、メールなどのメッセージプラットフォームでの不審なやり取りを検知することができません。そのため、二人の従業員が共同で機微な情報を不正利用した場合でも、メール送信が従来のDLPでは検出されないリスクがあります。

データ利用・取扱ポリシーの強制が不十分

ポリシーを策定するだけでは不十分であり、同時にその実施を徹底する必要があります。DLPは従業員がどのようにデータを取り扱っているかを把握する手段ですが、策定したポリシーを確実に実施することが求められます。

インターネット利用者の数は増加の一途をたどっており、数千人から数億人規模に達しています。これは、情報を守るための対策がますます重要になることを示しています。DLPは、どの企業にとっても重要な対策となります。組織を構築する際、最も考慮すべきは「データ漏洩防止」であると言えます。