Written by Aimee
大手日系企業でのマーケティング職を経て、2022年にフリーランスに転身。
要件定義〜保守まで行うウェブデザイナー、ライターとして活動しています。タイ、チェンマイを拠点に旅暮らし中。
目 次
DLPとは?
DLPと従来の情報漏洩対策はどこが違うのか?
DLPとIT資産管理ツールの「役割」の違い
DLPにて、機密データを自動で識別する「仕組み」
DLPが備える5つの機能
DLPを導入するメリット
DLPとあわせて知ってほしい、IT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」
まとめ
DLP(Data Loss Prevention)とは、データ損失防止の略称であり、企業・組織の機密情報漏洩・窃取を防ぐためのセキュリティシステムです。
DLPでは、事前に設定したポリシーに基づき、機密性の高いデータを自動的に識別・分類することで、重要情報の転送やコピーを制御し、データの不正流出を防ぎます。
デジタル化の進む現代、組織の機密情報・個人情報漏洩リスクは高まっており、外部犯によるサイバー攻撃だけでなく、内部不正を原因とした情報漏洩事件も多発しています。2023年度も、営業担当者による「前社の顧客リストの持ち出し」や、派遣社員による「不正な情報窃取」といった、大企業の内部不正による情報窃取が、大きな話題となりました。
DLPでは、重要データそのものの監視と保護がおこなえるため、外部攻撃・内部不正を問わず、情報漏洩対策を効果的に行うことが可能です。
この記事ではDLPの概要に加え、主な機能や導入メリット等をご紹介します。
▼この記事を要約すると
- DLP(Data Loss Prevention)は機密情報を監視し、そのデータのコピーや誤送・不正利用等を制限し、機密情報を守るセキュリティシステム
- 通常「ユーザー操作」に焦点を当てるのに対し、DLPは「データ自体の動向」に焦点を当てる
- 内部犯による機密情報の漏洩を防ぐツールとして「IT資産管理ツール」もある
- IT資産管理ツールは、IT資産の管理およびセキュリティにおける様々な機能を持ち、情報漏洩のみに機能を特化したDLPと異なる
- 機密情報を識別する手法に「キーワードマッチング」「正誤表現」「フィンガープリント」等がある
またエムオーテックス(MOTEX)のノウハウを元に、PCやスマホなどのエンドポイントにおける「これだけは押させておきたい情報セキュリティ43項目」のチェックシートを作成しました。
チェック項目ごとの対策も紹介しておりますので、ぜひ自社のセキュリティ課題の洗い出し・対策検討にお役立てください。
DLPとは?
DLP(Data Loss Prevention│データ漏洩防止)とは、組織の機密情報や重要データを監視し、それらのコピーや転送を制限するセキュリティソリューションです。DLPを導入することで、機密情報を外部に持ち出されたり、紛失したりするリスクを効果的に防ぐことが可能となります。
DLPの最大の特徴は、通常のアクセス制御がユーザーに焦点を当てるのに対し、重要なデータそのものを監視する点にあります。データ本体を守ることで、特に組織にとって重要な情報(顧客情報や財務データ、企業戦略など)を保護し、致命的な情報漏洩の発生を防ぐことができます。
またDLPではリアルタイムで機密情報の監視を行うため、従業員のメール誤送信・誤操作による情報漏洩なども、未然に防ぐ役割が期待できます。外部脅威による不正アクセスなども、早期に把握し調査や対応を行うことが可能です。
従業員のミス・内部不正による情報漏洩も増加しており、DLP等の対策が不可欠
企業における情報漏洩事件には
・マルウェア攻撃・不正アクセスなど、「外部攻撃」を要因とするもの
・従業員のシステム設定ミスやメール誤送信など、「人的ミス」を要因とするもの
・従業員の情報持ち出しなど、「内部不正」を要因とするもの
の3種類があります。2024年現在も情報漏洩被害は増えており、中でも「内部不正による情報漏洩」の件数が増加しています。
2024年1月、東京商工リサーチが発表した調査結果によれば、2023年に上場企業とその子会社が公表した「個人情報の漏えい・紛失事故」は175件でした。これは2012年以降、3年連続で最多となる数値となっています。
出典:東京商工リサーチ│2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分
175件の原因としては、「ウイルス感染・不正アクセス」93件(構成比53.1%)が最多、次いで「誤表示・誤送信」が43件(同24.5%)となります。また従業員による情報の「不正持ち出し・盗難」は24件(同13.7%)となり、前年の5件から約5倍へ増加しました。
出典:東京商工リサーチ│2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分
この結果からもわかる通り、企業・組織は外部脅威はもちろん、従業員による情報漏洩リスクにも対策をする必要があり、DLPをはじめとする情報セキュリティツールの導入が注目されています。
DLPと従来の情報漏洩対策はどこが違うのか?
DLPと従来の情報漏洩対策の違いとして
1.ユーザーではなく「データそのもの」を監視する
2.監視対象を機密情報に限定する
ことがあげられます。
1.ユーザーではなく「データそのもの」を監視する
従来の情報漏洩対策は、主に重要な情報にアクセスするユーザーを監視していました。
一方で、DLPは「ユーザー」ではなく、「重要なデータそのもの」を監視し、不正操作やアラート違反を管理することで、より着実に機密情報の漏洩を防ぎます。
2.対象範囲を機密情報に限定する
企業が保有するあらゆる情報ではなく、価値ある限定的な情報に絞って、監視・保護している点もDLPの特徴です。
すべての情報を監視・管理する手間が省かれ、効率的に機密情報を守ることができます。
DLPとIT資産管理ツールの「役割」の違い
DLPとよく比較される「情報漏洩対策」のセキュリティソリューションとして「IT資産管理ツール」があります。
IT資産管理ツールとは、事前に登録した従業員のPC・モバイル端末など「IT資産」を、一元管理するためのシステムです。
社内ユーザーの「アクション」を操作ログにて確認でき、不正な操作があればアラートにて管理者へ通知します。ログを通じて「誰が(どの端末が)」「いつ」「どんな行動」をしたかを確認できます。またパッチ配布や禁止ソフトウェアの制御など、情報漏洩に繋がる因子を、早期に解消することが可能です。
IT資産管理ツールとDLPの違いは、以下の通りです。
▼IT資産管理ツール/DLP
| IT資産管理ツール | DLP | |
|---|---|---|
| 目的 | ・企業のIT資産の効率的な管理 ・従業員による情報漏洩の防止・対策 |
・重要データの漏洩防止 (外部要因・内部要因を問わず) |
| 監視対象 | ・組織のPCやスマホ端末 ・ユーザーのアクティビティ(ログ) |
・重要データに対する不正操作 (アクセス・コピー・送信など) |
| 特徴 | ・ユーザーの行動監視、セキュリティ対策 ・アラートで不正な操作を検知し通知 ・ログから利用履歴を閲覧可能 ・セキュリティパッチの管理、禁止ソフトウェアの制御、デバイス制御機能 ・内部のセキュリティ被害を多角的に防止 |
・重要データの監視とリアルタイムな防御 ・特定のデータから、従業員の動向を監視 ・データの移動やコピーなどに関するポリシーの適用 |
IT資産管理ツールがIT資産とユーザー行動を重視するのに対し、DLPは特定データそのものを監視し、流出を防ぎます。
ともに企業のセキュリティ戦略に大きな貢献を果たしますが、前者ではIT資産の管理、およびセキュリティにおける様々な機能(ログ操作・アプリケーションの制御・端末の紛失や盗難対策・パッチ管理など)を備える一方、DLPは機密情報を守ることに特化しているのが特徴です。
IT資産管理ツールとDLPは「どちらか一方を導入すれば良い」というより、両者を併用することで、異なるアプローチから組織の情報漏洩対策を強化できます。
MOTEXでは、使いやすい管理コンソールでPC・スマホを一元管理できる、IT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」を提供しています。
DLPにて、機密データを自動で識別する「仕組み」
DLPでは、組織が保護すべき重要な機密データを自動的に識別し、分類することで、本当に保護すべき情報だけを精査することが可能です。
DLPでデータの識別をおこなう主な方法に
1.キーワードマッチングによる判別
2.正規表現による判別
3.フィンガープリントによる判別
があります。
1.キーワードマッチングによる判別
「キーワードマッチング」は、テキストやファイル内の実際のデータを分析し、特定のキーワードやフレーズが文章内に存在するかによって、機密情報が含まれているか判断する方法です。
例えば「機密」という単語や「特定の顧客名」などをフィルタに設定し、重要データを選定することが可能です。
2.正規表現による判別
「正誤表現」に基づくデータ識別は、特定のパターンやデータ形式から、機密情報を判別する方法です。例として、社会保障番号、クレジットカード番号、電話番号などが該当します。
3.フィンガープリントで判別する
キーワードマッチングや正誤表現による識別機能の弱点を補完し、効率的なデータ選定に有効なのが「フィンガープリント」という手法です。
フィンガープリントとは、特定のキーワード構成や文書構造などの特徴から、ファイルが機密情報であるかを判定する仕組みです。DLPでは、特定の文書やデータベースのフィンガープリントを作成し、ネットワーク上で一致するデータがあるか監視することで、機密情報の不正な流出を防ぎます。
大まかな構成や構造から機密情報であるかを推測できるため、仮にデータの中身が更新されたとしても、変わらず重要データであることを判別できます。
また機密情報のファイルから派生した、類似データやそのファイルを含むフォルダまで、機密情報として識別することが可能です。
DLPが備える5つの機能
DLPは機密情報の漏洩を防止するため、いくつかの便利な機能が搭載されています。
ここではDLPに主に搭載されている、機密情報の管理に役立つ5つの機能についてご紹介します。
1.自動かつリアルタイムで、データを監視
2.デバイスを一元管理し、利用を制限
3.印刷、コピー、キャプチャといった操作を制限
4.重要な情報を含んだメールの送信をブロック
5.重要な情報を閲覧するユーザーや部署を限定
1.自動かつリアルタイムでデータを監視する機能
DLPの特徴的な機能として、組織の機密情報を常に監視し、リアルタイムでリスクを検出・管理者に知らせる点があります。
監視機能により、機密情報の動向や変更を敏感に察して、異常なアクセスやコピーを早期検知することが可能です。
2.デバイスを一元管理し、利用を制限する機能
PCやスマートフォン等の、デバイスのデータアクセスを制限する機能を備えています。
これにより組織内のユーザーであっても、アクセスが許可されたデバイス以外、機密情報の閲覧やアクセスを制御することが可能です。
3.印刷、コピー、キャプチャといった操作を制限する機能
特定のデータに対する印刷、コピー、キャプチャといった操作を制限できます。これにより、機密性の高い情報を外部に持ち出す手段を制御し、不正利用を防ぎます。
4.重要な情報を含んだメールの送信をブロックする機能
メール内容が企業ポリシーに違反する場合、特に重要なデータを含む際は、送信を自動的にブロックすることも可能です。誤送信などの情報漏洩を未然に防ぎます。
5.重要な情報を閲覧するユーザーや部署を限定する機能
ユーザーや部署ごとにアクセス権を制御し、重要情報の閲覧を厳格に制限することも可能です。
必要な権限を持つ者だけが特定のデータにアクセスでき、内部不正に対するセキュリティを向上させます。
DLPを導入するメリット
DLPを導入することで、期待できるメリットについて解説します。
・外部脅威・内部不正、両方における情報漏洩を防げる
・異常をリアルタイムで検知できる
・管理コストおよび運用負荷を軽減できる
外部脅威・内部不正、両方における情報漏洩を防げる
DLPの導入により外部脅威だけでなく、人的ミス・内部不正による情報漏洩も防ぐことが可能です。
具体的には、従業員が誤って機密情報を外部に送信したり、不適切な場所に保存したりといった「人的ミス」、あるいは不正な情報持ち出しやデータの書き換え・窃取といった「内部不正」によるリスクを防止します。
異常をリアルタイムで検知できる
DLPは異常なデータアクセスや操作をリアルタイムで検知するため、セキュリティインシデントへ即座に対応できるメリットもあります。
管理コストおよび運用負荷を軽減できる
DLPの導入により、データセキュリティの達成における管理コストおよび運用負荷を軽減できます。
例えば、組織の所持する情報の中から「守るべき機密情報を選別する」ことは、通常かなり骨の折れる作業でしょう。DLPを導入することで、それらの識別をすべて情報処理に任せることが可能です。
DLPとあわせて知ってほしい、IT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」
DLPとあわせて検討したい、社内不正の効率的な防止・総合的なセキュリティ対策を実現できるソリューションとして「IT資産管理ツール」があります。
MOTEXの提供する、IT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」であれば、情報漏洩に繋がる従業員操作を管理コンソールにて把握し、設定ルールに違反した端末を一目で把握することが可能です。
アプリの利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続など、「どのPCで」「誰が」「いつ」「どんな操作をしたか」などの利用状況を把握できます。例えば「ファイル操作」であれば、ファイルやフォルダのコピー/移動/作成/上書き/削除など、細かな操作履歴も把握可能です。
▼IT資産管理ツール「LANSCOPE エンドポイントマネージャー クラウド版」の管理コンソール
また「OSが最新の状態になっていない」「許可外の外部端末の抜き差し」等、設定したルールに違反したデバイスをひと目で把握できます。アラート内容は管理者にメールで定期通知されるため、少ない業務工数で、IT資産の安全な管理をおこなえます。
▼不正な操作による、アラート設定/デバイス通知
さらにMDMの機能も備えており、PCだけでなくIPhoneやAndroidといったモバイル端末も、一括で管理できます。情報漏洩対策に有効な「LANSCOPE エンドポイントマネージャー クラウド版」については、以下よりご覧ください。
まとめ
本記事では「DLP」をテーマに、その概要や対策について解説しました。
本記事のまとめ
- DLP(Data Loss Prevention)は機密情報を監視し、そのデータのコピーや誤送・不正利用等を制限し、機密情報を守るセキュリティシステム
- 通常「ユーザー操作」に焦点を当てるのに対し、DLPは「データ自体の動向」に焦点を当てる
- 内部犯による機密情報の漏洩を防ぐツールとして「IT資産管理ツール」もある
- IT資産管理ツールは、IT資産の管理およびセキュリティにおける様々な機能を持ち、情報漏洩のみに機能を特化したDLPと異なる
- 機密情報を識別する手法に「キーワードマッチング」「正誤表現」「フィンガープリント」等がある
近年の進化するテクノロジー環境において、情報漏洩のリスクは高まり、いずれの企業もセキュリティ対策の強化に励む必要があります。このときセキュリティ対策をより着実に、効率的に行う手段として、DLPやIT資産管理ツールを検討してみてはいかがでしょうか。
またエムオーテックス(MOTEX)のノウハウを元に、PCやスマホなどのエンドポイントにおける「これだけは押させておきたい情報セキュリティ43項目」のチェックシートを作成しました。
チェック項目ごとの対策も紹介しておりますので、ぜひ自社のセキュリティ課題の洗い出し・対策検討にお役立てください。
関連する記事
