PR

DLPの効果を最大に引き出すベスト・プラクティス

2009年11月20日(金)
山本 秀宣

機密情報検出ポリシーの初期設定とチューニング

前回は、DLPソフト「Symantec Data Loss Prevention」(Symantec DLP)を例として、DLPテクノロジーの概要を紹介した。

DLPテクノロジーを活用して情報漏えいリスクを低減するためには、DLP製品上の各種設定を適切に行うだけでなく、訓練されたインシデント対応チームを準備するなど、運用体制作りも重要である。今回は、実際にDLPを利用して情報漏えいリスクを低減させた事例を踏まえながら、DLP導入プロジェクトを成功させるための勘所について考察する。

DLPを正しく動作させるためには、まず、機密情報を検出するためのポリシーを正しく設定する必要がある。対象とする機密情報は、顧客情報(氏名/住所/電話番号、クレジットカード番号、など)、企業内部の秘密(経理/財務の情報、企業合併や買収の情報、社員情報、など)、そして知的資産(設計図面、ソースコード、製品の価格情報、など)のいずれかのカテゴリーに含まれることが多いだろう。

DLPの導入目的を考慮しながら、漏えいした場合のインパクトが大きい情報を中心に、ポリシーを決めていく。Symantec DLPを含め、多くのDLP製品では、すぐに使えるポリシーのテンプレートが組み込まれているので、これらをベースにカスタマイズを行えば、初期ポリシーの作成はそれほど複雑な作業ではない。

導入初期の段階では、あまりポリシーの検出精度にこだわらなくてよい。机上で初期ポリシーの設計に時間をかけるよりも、早めに運用を開始して全体の状況をざっと把握し、その後スキャン結果を細かく確認しながらポリシーのチューニングを繰り返すほうが、ずっと効率的である。

DLPのポリシーは、一度決めたら変更しないというものではなく、チューニングしながら「育てていく」ものだと考えておいたほうがよい。そしてもちろん、プロジェクト設計の時点で、チューニングのための期間や作業量を見積もっておくことを忘れてはならない。

ポリシーを設定したDLPは、監視対象となるストレージ/エンドポイント/ネットワーク上で機密情報を検出すると、管理サーバー上に「インシデント」を記録していく(図1)。このインシデントをどのように取り扱うかが、企業の情報漏えい対策にとって極めて重要な意味を持つ。

インシデント対応チームによる情報漏えいリスク解決

効率よいリスク低減のためには、よく訓練されたインシデント対応チームと、その活動を支援するワークフロー管理システムが必要である。

DLPは、設定したポリシーに基づいて情報漏えいのリスクを検出し、不適切な操作やデータの送信等を自動的にブロックするが、リスクの根本的な原因を自動的に取り除いてくれるわけではない。情報漏えいリスクの原因を取り除き、企業の情報セキュリティ管理体制の「体質改善」を進めていくためには、専門のインシデント対応チームが欠かせない。

インシデント対応チームは、DLPが検出したインシデントの内容を分析し、再発を防止するための対策を実施する。例えば、ユーザーの不注意が原因で発生したインシデントに対しては、ユーザーへの再トレーニングを行ったり、ミスが発生しにくくなるように業務プロセスを改善するといった対策があるだろう。

インシデント対応チームのメンバーは、通常、情報セキュリティ部門や、監視対象の機密情報を所管する部門などから割り当てる。インシデント対応プロセスの効率や品質を高めるためには、典型的なインシデントに対する既定の対応手順やインシデント対応メンバーが判断できる範囲を超えた場合のエスカレーション方法などを、あらかじめ決めておくことも重要である。

加えて、DLPを本格的に運用するフェーズに入れば、インシデント対応プロセスやチームを管理するためのワークフロー管理システムが必要になるだろう。Symantec DLPには、このためのワークフロー管理機能があらかじめ備わっている。この機能を使えば、Symantec DLPが検出したインシデントへの対応メンバーの割り当てや、対応作業の進ちょく状況などを、一元的に管理できる。

次ページからは、実際にDLPを使って情報漏えいリスクを低減させたユーザー事例を紹介する。

株式会社シマンテック
2006年、株式会社シマンテックに入社。コンサルティングサービス本部にて、情報セキュリティ戦略立案やセキュリティポリシー策定の支援、情報セキュリティ監査の実施など、情報セキュリティマネジメントに関わるコンサルティングを幅広く実施している。CISSP、公認情報システム監査人(CISA)、公認情報セキュリティ監査人(CAIS)。

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています