DLPの効果を最大に引き出すベスト・プラクティス

成功事例：12か月で90％以上の情報漏えいリスクを低減

DLPテクノロジーを活用し、効率よく情報漏えいリスクを低減させることができた実例を紹介する。

米国のある大手金融業者では、ネットワークを介した顧客情報の漏えいが重大な懸念事項となっていた。そこで、Symantec DLPのネットワークDLPを利用して、情報漏えいリスクの低減を図ることにした。

顧客情報を高い精度で識別したかったので、顧客情報が格納されたデータベースから、前回紹介したEDMを使ってインデックスを作成し、これを用いてネットワーク上の通信データをスキャンする、という構成を採用した。

この結果、Symantec DLPの利用開始から12カ月以内に、90％以上の情報漏えいリスクを低減させることができた。また、それ以外の効果として、情報漏えいリスクを低減させるために重要な、ユーザーのセキュリティ意識が大幅に向上した。

成功の要因は、段階的にプロジェクトを進行させたことにある。リスクが減っていく様子を示したグラフ（図2）に沿って、そのステップを説明する。

（1）最初の1カ月間は、ネットワーク上に流れるデータのありのままの状況を把握する。この結果に基づき、企業のセキュリティ・ポリシー上にある修正すべき点や、ポリシーが十分に浸透していない現場などを洗い出す。

（2）続いて、企業のセキュリティ・ポリシーの見直しを行い、修正したポリシーを社内に伝える。セキュリティ管理の意識が高いユーザーは、これだけでポリシーに違反している行為を改善してくれる。ただ残念なことに、多くのユーザーはそうではない。

（3）ここで、特に機密性の高い情報を検出するポリシーを設定し、ポリシーに違反したユーザーに対して警告メールの自動送信を開始する。ポリシー違反が悪いことと分かっていながら、自身がポリシーに違反していると気づいていないユーザーに、それを自覚させるためである。

段階的アプローチで情報セキュリティの「体質改善」に成功

ポリシーに違反することが悪いと認識しているユーザーは、（3）で送信開始した警告メールを受信すれば、自発的に行動を改善する。

（4）次の段階として、部門ごとのポリシー順守率を算出し、比較データを各マネージャーに提示するという手段をとった。違反者が多い部門のマネージャーは、改善を進めるようプレッシャーを受けることになる。

（5）（6）その後、DLPで検出する機密情報の範囲を段階的に広げていく。さまざまな機密情報を検出するポリシーを一度にまとめて設定してしまうと、検出されるインシデントの数が非常に多くなり、対応プロセスが回らなくなる恐れがある。このため、導入初期はポリシーを少なくし、特に重要な情報だけを検出するところから始め、徐々に広げていくのがよい。

（7）この事例で特に注目してほしいのは、DLP導入から6カ月程度を経過した時点ではじめて、自動的にポリシー違反をブロックする機能を稼働させているという点である。

自動ブロック機能を稼働開始させた時点で、DLPが検出するインシデントの総量は、DLP導入当初の20％にまで低減している。言い換えれば、DLPの自動通知機能を活用し、企業のポリシーを従業員に周知徹底するだけで、80％の情報漏えいリスクを低減できたということになる。

DLPを検討する企業は、情報漏えいにつながりかねない情報の送信などを自動的にブロックする機能に、特に強い関心を持つことが多い。しかし、現実のセキュリティ・マネジメントを成功させるためには、自動ブロック機能の利用は急がず、プロジェクトの後半で行うことが望ましい。それよりも、ポリシー違反を自動通知する機能を積極的に活用すべきである。

これは、DLP導入にあたってのユーザー負担を小さくできるという理由だけではない。DLPを活用し、企業の情報セキュリティ・ポリシーをユーザーに浸透させ、セキュリティ教育の本来の効果を存分に発揮させれば、全社員のセキュリティ意識の高さという、堅牢な情報セキュリティ管理の基盤を手に入れることができるからである。

次ページでは、複数のユーザー事例から見えてきたDLP導入のベスト・プラクティスを紹介する。