情報漏えいを防ぐDLPテクノロジーとは

2009年11月13日(金)
山本 秀宣

従来の情報漏えい対策と、DLPテクノロジー

情報漏えいを防止するためのDLP(Data Loss Prevention)製品は、精度の高い機密情報検出テクノロジーをベースとして、ストレージDLP、エンドポイントDLP、そしてネットワークDLPの3つのコンポーネントから構成されている。今回は、それぞれのコンポーネントの機能の概要を紹介し、どのような場面でそれぞれのコンポーネントが役立つかを説明する。

前回、「情報漏えいを防止することは、情報セキュリティの本来の目的そのものであり、何ら新しい問題ではない」と書いた。実際、情報漏えいを防止するためのテクノロジーはさまざまであり、すでに数多くの製品が流通している。特に日本では、個人情報保護法の施行をきっかけに、その種の製品導入が進んだ。現在では、ほとんどの企業が何らかの形で「情報漏えい防止型」のソリューションを利用していると思われる。

情報漏えい防止ソリューションには、例えば、暗号化やDRM(Digital Rights Management)、外部デバイスの利用禁止やシンクライアント化、各種ログの集中保管と定期監視、などがある。果たして、これらのソリューションのユーザーは、情報漏えいのリスクが日増しに身近なものになってきている現在、十分満足しているだろうか。

これら既存のソリューションの多くには、

  • 「運用負荷が高く、ITスキルが高くない組織では使えない」
  • 「業務上の制約が大きく、業務にフィットしない」
  • 「リアルタイム性がなく、漏えい防止に役立たない」

といった課題がある。こうした課題が、情報漏えいリスクが減らない要因になってはいないだろうか。

アプローチを根本的に切り替えるべきである。ユーザーの自覚に任せたり、デバイスやログなどを間接的に管理したりするのではなく、「情報そのもの」を監視し、漏えいさせたくない情報を「直接に」コントロールするのが効果的だろう。

これを実現するのが、DLP(Data Loss Prevention)と呼ばれる、新しいアプローチに基づく情報漏えい防止テクノロジーである。

DLPは、ファイルシステム上のファイルやデータベース上のデータ、あるいはネットワーク上で転送されているデータなどをスキャンし、その内容を詳細に分析して、機密情報の所在を自動的に検出する。このうえで、検出した機密情報に対して、あらかじめ設定したポリシーに基づき、情報漏えいリスクの顕在化を防止するためのさまざまな対応処理を行う。

以下では、DLPの実際の例として、筆者が在籍するシマンテックの「Symantec Data Loss Prevention」(Symantec DLP)を題材に、DLPテクノロジーの概要を説明する。

【参考】本連載では、データの内容分析に基づいて動作するテクノロジーをDLPと呼んでいるが、最近では、従来からある情報漏えい防止ソリューションも製品名などでDLPと名乗ることが増えてきている。そこで、例えば調査会社の米Gartnerは、Symantec DLPを含めた本来のDLP製品を「Content-Aware DLP(データの内容に基づくDLP)」と呼び、従来型のソリューションと明確に区別している。

DLP製品のアーキテクチャー

企業内の機密情報は、新たに作成/入手されてから廃棄されるまでのあいだに、ストレージ上に保管されたり、クライアントPC上で利用されたり、またはネットワークを介して転送されたりする。企業内の情報漏えいリスクをコントロールするためには、これらさまざまな状態にある機密情報を網羅的に監視できる必要がある。

Symantec DLPは、ストレージ、エンドポイント(クライアントPC)、ネットワークを監視することにより、企業内データのライフサイクル全体を管理する(図1)。ほかの一般的なDLP製品も同様にストレージ/エンドポイント/ネットワークに対応するコンポーネントを用意しているが、小規模な組織を対象とした簡易的なDLP製品には、一部のコンポーネントだけを実装しているものもある。

ストレージやエンドポイントを監視するコンポーネントは、社内の安全に管理されたLAN上に配置する。監視対象とするエンドポイント上には、専用のエージェント・ソフトウエアを導入しておく。

ネットワークを監視するコンポーネントは、監視対象とするデータが流れているポイントに接続する。通常は、企業の内部ネットワークと外部ネットワーク(インターネット)との境界部分に設置することになる。

また、DLPは情報漏えいリスクを低減するビジネス・ツールでもあるため、訓練を受けたIT技術者だけでなく、さまざまな組織の情報管理担当者が操作する。このため、誰もが容易に使用できるように設計された管理コンソールを備えている。

この管理コンソールからは、DLPが検出した機密情報の詳細(機密情報の内容や、それが検出された場所など)を確認したり、情報漏えいリスクを低減させるためのさまざまな矯正処理を実行したり、社内/組織内の情報漏えいリスクの傾向を分析してレポートを作成したりすることができる。

次のページからは、DLP製品を構成するそれぞれのコンポーネントについて解説する。

株式会社シマンテック
2006年、株式会社シマンテックに入社。コンサルティングサービス本部にて、情報セキュリティ戦略立案やセキュリティポリシー策定の支援、情報セキュリティ監査の実施など、情報セキュリティマネジメントに関わるコンサルティングを幅広く実施している。CISSP、公認情報システム監査人(CISA)、公認情報セキュリティ監査人(CAIS)。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています