セキュリティ
技術解説
連載 :
  DLPツールを用いた情報漏えい対策

企業の情報セキュリティ・マネジメントとDLPテクノロジー

2009年11月27日(金)
山本 秀宣
このエントリーをはてなブックマークに追加

具体的な「情報漏えい防止コントロール」設計の指針

DLPの導入事例が多い米国では、企業の情報セキュリティを設計する際、情報漏えいを防止するセキュリティ・コントロール(管理策)の一部として、商用DLPツールの採用を検討することが一般的になっている。

企業において情報漏えい対策やDLPの導入を検討する際にヒントとなる1つの例を挙げてみよう。

米SANS Instituteの「20 Critical Controls」(参考文献[2])は、米国政府セキュリティ管理基準「SP800-53」を実装するうえで重要となる20個のセキュリティ・コントロールをまとめた文書である。この中に、「情報漏えい防止を目的としたコントロール」(「Critical Control 15: Data Loss Prevention」)が定義されていて、「商用のDLPツールを使用すべき」と述べられている。

コントロールの内容は以下の通りである(なお字数の制約のため、筆者が要点のみを抜き出して意訳した。正確な記述は原典を参照してほしい)。

--------------------------------------------------------------------------------

  1. 機密情報を保管するノートPCには、ハードディスク暗号化ツールを導入する。
  2. ネットワーク監視ツールで社内から社外に向けたトラフィックを監視し、異常な挙動を検出する。
  3. ネットワーク境界をDLPツールで監視し、特定の個人情報や文書データの持ち出し行為があれば、それをブロックしてセキュリティ担当者に通知する。
  4. サーバー機をDLPツールで定期的にスキャンし、個人情報が暗号化されずに保管されていないかどうか確認する。
  5. ネットワーク上で送受信するデータは、認証や暗号化により保護する。
  6. 持ち運び可能な記憶媒体に保管するデータは、自動暗号化ツールで暗号化する。
  7. (高レベルの保護が必要な場合)業務上の必要がなければ、システム的にUSBメモリや外付けUSBドライブへの書き込みを禁止する。それらのデバイスを使用する必要があれば、デバイス制御ツールを使ってシリアル番号等により特定のUSBデバイスのみを許可し、かつ、それらのデバイスに書きこむデータは自動的に暗号化する。

--------------------------------------------------------------------------------

これはあくまでも管理基準の例であり、必ず従わなくてはならないといった種類のものではないが、情報漏えい対策やDLPの設計に頭を悩ませている管理者には、非常に参考になる内容だろう。このような基準を参考に、自社の状況を反映させ、実際に「回せる」セキュリティ・ポリシーや運用管理手順を作成してほしい。

DLPテクノロジーの今後

連載の最後に、DLPテクノロジーがこれからどのように進化していくのか、今後の展望について触れておく。

米Forrester Researchは、レポート(参考文献[3])の中で、「DLPは、現時点では独立した製品だが、今後ほかのテクノロジーとの統合が進み、3つの段階を経て、約5年以内に企業の情報およびコンテンツ管理フレームワークそのものと統合されるだろう」と予想している。

第1の段階では、移動中の情報/利用中の情報/保管中の情報それぞれに対する保護機能が統合される、とある。本連載の第2回で説明した通り、Symantec DLPを含む代表的なDLP製品群は、すでにこの段階を完了している。

第2の段階では、DLPを補完するほかのセキュリティ・テクノロジーと統合されていく、とある。DLP導入の現場では実際に、暗号化/DRMやログ管理ツールと統合したソリューションを構築している事例が多くあるが、これらをDLP製品の標準機能として組み込む作業は、多くのDLPベンダー製品で現在進行中である。

最後の第3段階では、前述のとおり、企業の情報やコンテンツの管理フレームワーク(情報の分類システムや情報管理ポリシーの管理などを含む)と統合される、と述べられている。

現在、DLPの導入を検討する現場では、情報の機密区分の分類や、情報の保管や廃棄に関する企業ポリシーを見直す必要に迫られている。これらがすっきりと作成されていればDLPの導入や機密情報検出ポリシーの設定などもスムーズに進むのだが、現実のビジネス環境は複雑で、統一的な情報管理ポリシーを作ることはなかなか容易でない。

一方で、「第3段階のDLP」は、企業のポリシーとDLPテクノロジーを一体化させ、その間のギャップを埋めるための作業を不要にする。米Forrester Researchのレポートが予想する通りにDLPテクノロジーの進化が進めば、企業の情報管理の方法論を書き換えてしまう可能性もある。

これから当分のあいだ、あらゆる企業の情報セキュリティ関係者は、DLPテクノロジーの動向に注目しておく必要がある。

【参考文献】

[1] ISO/IEC 27005:2008『Information technology - Security techniques - Information security risk management(情報技術 - セキュリティ技術 - 情報セキュリティリスクマネジメント)』(2008年6月発行)

[2] SANS Institute『20 Critical Security Controls - Version 2.3』(2009年11月掲載)

[3] Forrester Research『Inquiry Spotlight: Data Leak Prevention, Q1 2009』(2009年2月発行)

このエントリーをはてなブックマークに追加
情報 / 情報漏えい / DLP / ISO/IEC 27005 / セキュリティ / マネジメント / 情報セキュリティ
著者
山本 秀宣
株式会社シマンテック
2006年、株式会社シマンテックに入社。コンサルティングサービス本部にて、情報セキュリティ戦略立案やセキュリティポリシー策定の支援、情報セキュリティ監査の実施など、情報セキュリティマネジメントに関わるコンサルティングを幅広く実施している。CISSP、公認情報システム監査人(CISA)、公認情報セキュリティ監査人(CAIS)。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています

全文検索エンジンによるおすすめ記事

Topへ戻る
Copyright © 2004-2024 Impress Corporation. An Impress Group Company. All rights reserved.