DLPの効果を最大に引き出すベスト・プラクティス

DLPテクノロジーの導入におけるベスト・プラクティス

筆者が所属するシマンテックのコンサルティングサービス部門では、DLPの導入コンサルティングを多数実施している。以下では、こうした導入事例を通じたわれわれの経験に基づき、DLPの導入を成功させるポイント6つを挙げる。

（1）上位マネジメントの関与

DLPを導入するプロジェクトでは、部門を横断した交渉が頻繁（ひんぱん）に発生する。時には、企業全体の情報セキュリティ・マネジメントの枠組みを根本的に見なおす必要が発生することもある。関連する組織を統括する上位マネジメントの積極的な協力を得られるよう、周到に準備しておくことが重要である。

上位マネジメントの承認を得るためには、プロジェクトの計画の段階で、どれくらいのリスクをいつまでに低減するのかという目標を明確に定めたり、また、プロジェクト開始後も定期的にDLPの導入効果（どれくらいのリスクを低減できたのか）を定量的に計測し、報告を行ったりする必要があるだろう。

（2）適切な経験を有する実装チーム

DLPは、情報漏えいリスクを低減させるためのビジネス・ツールである。DLPの導入を成功させるためには、具体的なDLP製品の知識といった技術的な要素も必要だが、それ以上に、ビジネス上の課題を解決する能力が求められる。

DLPテクノロジーの実装経験がある技術者に加えて、パワフルなコミュニケーション能力を持ち情報セキュリティ・マネジメントの要点を理解した人間をプロジェクト・メンバーに含めるようにする。必要なスキルが自社内になければ、外部コンサルタントの活用を検討するのがよいだろう。

（3）優先順位に基づく実装アプローチ

DLP導入プロジェクトの初期段階では、最も重要なデータやシステムに焦点を当てて、小さなスコープの中で確実にリスクを減らす。これが成功したら、スコープを徐々に広げていく。段階的なアプローチを採用することは、情報漏えいリスクを効率よく低減するという観点だけでなく、ITシステムの導入プロジェクトをスムーズに成功させるという観点からも重要である。

もし重要なデータやシステムを取捨選択できないというときは、事前のリスク・アセスメントを実施して、優先順位を付けることになる。机上での検討が難しい場合には、仮のポリシーで試しにDLPのスキャンを走らせ、現状を「可視化」した結果を眺めながら戦略のヒントを探るのもよい方法である。

プロジェクトの設計がDLP導入の成否を決定する

（4）ビジネス・オーナーの関与

どのような機密情報をDLPで保護すべきか、また、インシデントを検出した際にどのような対応を行うべきか、といったことを最終的に決定するのは、IT部門や情報セキュリティ部門ではなく、機密情報やそれがかかわる業務を主管するビジネス・オーナーである。

DLP導入プロジェクトをスムーズに進め、そして運用開始後のリスク低減を効果的に行うために、導入するDLPのスコープに関連するビジネス・オーナーをあらかじめ巻き込んでおく必要がある。

（5）適切に訓練されたインシデント対応チーム

DLPは情報漏えいのリスクを「可視化」するが、発見したリスクを解決する体制を用意しておかないと実際のリスクは減らせない。専門のインシデント対応チームや、きちんと設計されたインシデント対応プロセス、そしてそれらを支援するワークフロー管理システムなどを、DLP導入プロジェクトの計画に含めておく必要がある。リスクを減らす方法やそのための作業量を考慮しないDLPプロジェクトは、期待される効果を上げられず、失敗に終わる。

（6）従業員の教育

どのようなテクノロジーを活用しようとも、企業の情報セキュリティの基盤が「人」であることは変わらない。企業をとりまくリスクの変化に応じ、適切なセキュリティ教育を適時に実施できる体制は、DLPの効果を引き出すためにも、欠かすことのできない重要な要素である。

ここまで述べたように、DLPの導入を成功させるためのポイントは、製品の選定にあるのではなく、プロジェクトをどのように設計し運営していくのか、ということに尽きる。DLPの導入を検討する際には、どのようなリスク低減戦略が自社にフィットするのか、そのためにはどのようなチームを編成し、どのようにプロジェクトを組み立てるべきなのか、といったことを、ぜひ徹底的に議論していただきたい。

次回は、DLPテクノロジーや企業のセキュリティ・マネジメントの将来の展望について、考えを巡らせる。