Data Loss Prevention

 View Only

新しい DLP システムに求められる条件とは 

May 29, 2017 08:28 PM

クラウドサービスとモバイルデバイスの普及によって、企業データの保護という課題の重大度が増している――もう何度となく目にし、耳にしたフレーズでしょう。重要な情報が、比較的安全な社内ネットワークをはるかに超えて、コンシューマ向けのクラウドストレージサービスへと広がり、従業員は安全性の保障されていないモバイルデバイスでそれにアクセスするようになっている。それが今の状況だからです。

ところが、こういったリスクが十分に理解されているにもかかわらず、情報漏えいの件数は増加の一途をたどっています。セキュリティがいっそう複雑になる一方、サイバー犯罪者がいよいよ勢いづいてきたため、企業データの管理と保護は難しくなるばかりです。

データの漏えいと盗難に対して最大限に備える方法のひとつが、高度なデータ漏えい防止(DLP)ソリューションを配備することです。組織を効果的に保護できよるように、DLP システムを評価する際に検討したい主な機能を 7 つまとめました。

  1. コンテンツ対応の検出機能
  2. 全環境にわたってポリシーを定義し、実施する機能
  3. クラウドベースのストレージとメールに関する強力な保護と監視の機能
  4. 従来型エンドポイントでのデータ保護
  5. モバイルデバイスの完全な保護
  6. 非構造化データをめぐる問題への回答
  7. 移動中のデータの保護

コンテンツ対応の検出機能

万全なセキュリティの土台となるもののひとつが、保存データでも、使用中または移動中のデータでも、組織のあらゆる機密情報を、高い精度で検出する機能です。具体的に言うと、構造化データソースをフィンガープリントで識別する機能、あるいは逆にフィンガープリント識別の手法を用いて、非構造化データ(Microsoft Office 文書、PDF、JPEG など)のなかから機密情報を見つけ出す機能が、高度な DLP システムには必要です。キーワード、式、パターン、ファイルプロパティなどの相互一致を調べてコンテンツを検出する機能も欠かせません。

また、特に高度な DLP ともなると、特性がとらえにくいために記述が難しくなりがちな知的財産(ソースコードや財務レポートを考えればおわかりでしょう)を保護するために、ベクトル機械学習も導入されています。その手の貴重な、もしくは記述しにくいコンテンツも、非構造化データの統計的解析を利用し、類似のコンテンツや文書と比較することによって検出されます。

こうしたコンテンツ対応の検出機能を導入すれば、事実上どこに保存されているどんな形式の機密データも発見できるようになり、誤認識の率も大幅に下がります。

全環境にわたってポリシーを定義し、実施する機能

最近では、データがさまざまなデバイスやストレージ環境に分散しているため、一貫したポリシーを定義して実施する機能が不可欠になっています。統一的な管理コンソールと、ビジネスインテリジェンスのレポートツールとを組み合わせることで、情報リスクを軽減しつつ、ポリシーを作成し、あらゆるところで実施できるのが、最高の DLP ソリューションです。

そうした環境があれば、データ漏えいに関するポリシーを定義したうえで、インシデントが発生した場合には見直しと修復で対応し、エンドポイント、モバイルデバイス、クラウドサービス、オンプレミスのあらゆるシステム上で基本的なシステム管理を実行できます。また、最高のソリューションであれば、アドホック解析や詳細レポーティングに対応する堅牢な解析ツールもそろっています。ユーザーはシステムデータを抽出・要約して、レポートやスコアカードを作成し、組織の各関係者に提供することができます。

このような機能によって一貫したポリシーの適用が保障されるため、必要が生じた場合に重要なデータを守るための対策も万全です。

クラウドベースのストレージとメールに関する強力な保護と監視の機能

クラウドに移行すればコストの削減と柔軟性の向上につながるというのは、誘惑的なメリットです。しかし、そうしたメリットを得ようとして、重要なビジネスデータの可視性と管理性が損なわれることがあっては、元も子もありません。最新の DLP ソリューションが、クラウドベースのストレージとメールに関してエンタープライズクラスの保護機能と監視機能を提供しているのも、まさにそのためです。

DLP の機能は、従業員間の安全なコラボレーションを支援するだけでなく、たとえば Box の場合には、ユーザーが Box で保存・共有するファイルの可視性も強化します。強力なコンテンツ検出ツールを利用して、Box Business と Box Enterprise のアカウントをスキャンすれば、共有・保存・利用される内容を把握することができ、ポリシー違反が見つかった場合には修正することができます。

高度な DLP ソリューションは、メール経由で転送される重要な情報の監視・保護機能を備えたうえで、重要データを迅速に検出し、ポリシーに違反したユーザーに通知できる機能も求められます。不審なメールは、安全な暗号化ゲートウェイにリダイレクトするかリアルタイムで遮断して、特に重要性の高い情報の漏えいを防がねばなりません。

従来型エンドポイントでのデータ保護

モバイルとクラウドが出現しても、従来型のエンドポイントを保護する必要性は少しも減りませんでした。機密性の高いビジネスデータの保管場所という必須の役割を、エンドポイントは依然として担っているからです。最高の DLP ソリューションは、デスクトップの情報を監視、検出、保護する機能を備えています。従来型のデスクトップと仮想デスクトップ、また企業ネットワークの内部、外部ともその対象になります。

適切な DLP ソリューションに必要なのは、ローカルでスキャンと検出を実行する機能と、各種オペレーティングシステム上で起こるさまざまなイベントをリアルタイムで監視する機能です。アプリケーションやメール、クラウドストレージ、リムーバブルストレージを使うとき、ラップトップとデスクトップの間でコピー、ダウンロード、転送される機密データも監視できなければなりません。

さらには、複数のスキャンオプション(アイドル時スキャンや差分スキャンなど)を活用してパフォーマンスを引き上げる、ポリシー違反があった場合にポップアップで通知するなども、エンドポイントユーザーの万全な保護を確保するうえで、望ましい機能です。

モバイルデバイスの完全な保護

業務と私生活の間の境界線が、今ではきわめて曖昧になっています。その大きい原因がモバイルデバイスです。ユーザーは、必要なときに必要な方法で重要なビジネスデータにアクセスできることを望んでいます(期待すらしています)。つまり、個人所有のデバイスからデータにアクセスすることも珍しくないということです。

強力な DLP ソリューションであれば、企業はセキュリティを犠牲にすることなく、変化の絶えない今日のビジネス基準との妥協点を見いだすことができます。所有者にかかわらず、iOS と Android のあらゆるデバイスに対する監視と保護の機能を実現できるからです。ユーザーがいつ iOS または Android デバイスに機密データをダウンロードするかを監視して検出しておき、必要に応じてそのデータ転送を禁止する機能が、十全なモバイルセキュリティには欠かせません。

非構造化データをめぐる問題への回答

真に問題となるのは、非構造化データです。全データの大半を占めており、しかも毎年 70% という驚異的な比率で増え続けています。それほどの成長率を踏まえれば、非構造化データを効率的に管理・保護することが企業にとってどれほど困難かは、想像に難くないでしょう。

そうした困難に対処できるのも、高度な DLP ソリューションの特長です。非構造化データを企業が掌握できるようにして、サイバー犯罪者の手に落ちないように、また勤勉とは言いがたい従業員の手で漏えいしないように対処できます。その第一歩となるのが、データベース、ネットワークファイル共有、その他のリポジトリに対する厳重なスキャンです。そこには、ファイルのバイナリシグネチャに基づいて、何百種類ものファイル形式を認識できる最新のテクノロジが用いられます。

最高の DLP ソリューションに次に求められるのが、検出された公開ファイルを自動的に保護し、ファイルを確実に検疫または移動できる機能、あるいはポリシーベースで特定のファイルに暗号化やデジタル著作権を適用できる機能です。ファイル修復オプションをカスタマイズできることや、サードパーティ製セキュリティソリューションとの統合が容易である点なども、重要な機能と言えます。

そして、非構造化データの環境を想定して設計されたデータガバナンスツールがあれば、きわめて実用的なインテリジェンスを通じて、データ所有権とデータ利用を把握できるようになります。機密ファイルを検出し、データ所有者を明らかにして、アクセス履歴とファイル権限を把握すれば、現在の環境に存在するデータに光を当てることによって、「ダークデータ」を浮き彫りにすることができます。そこから、誰がデータを所有しているか、誰がアクセス可能か、データがどのように使われるかを見通せるようになります。

移動中のデータの保護

全従業員のうち半数が、個人のアカウントを使って業務メールを取り扱っているという調査結果があります。それを考えれば、データ漏えいのほとんどがメールと Web で起きているのは、意外でもなんでもありません。高度な DLP ソリューションに投資すれば、幅広くネットワークプロトコルを監視し、(正規のユーザーかどうかを問わず)ユーザーによるデータ誤操作を防ぐことによって、データ漏えいの確率を大きく引き下げることができます。

適切な DLP ソリューションを導入することで、幅広いプロトコル(HTTP、FTP、SMTP、ポート指定のカスタムプロトコルなど)上で機密情報を検出できるとともに、パケット損失を生じることなく、あらゆる通信について万全なコンテンツ検査を実施できます(ピーク負荷時にパケットをサンプル抽出するソリューションもありますが、これには見逃しの危険性が伴います)。

また、業務メールとアウトバウンド Web トラフィックに機密データが含まれていないかどうかを検査し、該当する場合にポリシー違反を通知する機能も、移動中のデータの保護に欠かせない基本的な機能です。

まとめ

クラウドとモバイルは、今日の組織に膨大なメリットをもたらしました。しかしそれは、セキュリティ面で負担が増えることも意味したのです。データの漏えいと盗難に最大限に備えるためには、以上で説明した 7 つの主要機能を備えた次世代の DLP ソリューションをご検討ください。

dlp-ad-F-360x180.jpg

【参考訳】

Statistics
0 Favorited
0 Views
0 Files
0 Shares
0 Downloads

Tags and Keywords

Related Entries and Links

No Related Resource entered.