企業にとって、自社の機密情報や顧客・取引先・従業員の個人情報などの流出は、信用失墜にもつながってしまうため確実に防がなくてはなりません。
情報漏えいと言うと、外部からのサイバー攻撃によるものといったイメージが強いかもしれませんが、実は内部不正やヒューマンエラーによる「内部」からの情報流出もここ最近多発しています。
こうした「内部からの情報漏えい」を防ぐ有効な手段として注目を集めているのが、特定の重要データのみを監視・保護できる「DLP(Data Loss Prevention)」です。
今回は、企業の重要な情報を守るためのセキュリティ対策の1つ「DLP」について、その概要や必要とされる背景、従来の情報漏えい対策との違い、導入するメリット、自社に合った製品の選び方ポイントなどについて解説していきます。
目次
1.DLPとは?
DLP(Data Loss Prevention│データ漏えい防止)とは、企業の機密情報や重要データを監視し、外部への流出・紛失を防ぐためのセキュリティソリューションです。
「個人情報」「営業秘密」「経営情報」など、漏えい・消失を回避したい重要な情報のみを識別し、外部への送信やコピーを制限することにより、データを保護する仕組みです。
例えば、従業員が企業の機密情報を含むファイルを外部のメールアドレスに送信しようとした場合、DLPはこの行動を検知し、アラートを発して操作をブロックすることで、データの不正な流出を防ぎます。
こうした機能により、DLPは企業の情報セキュリティを強化し、ビジネスにおける機密性の高いデータを守る重要な”防衛線”として大きな注目を集めています。
DLPが注目される背景
DLPの必要性が高まっている背景としては、主に次の2つがあります。
国際的に高まる「情報資産」管理の重要性
万が一機密情報の漏えい事故が起きてしまえば、企業への信頼やブランド価値は失墜し、さらにはサービス停止や莫大な損害賠償によって、事業そのものを継続できなくなる可能性があります。
そのため、紙・電子媒体を問わず、企業にとって重要な価値を持つデータ(=情報資産)を適切に管理・保護することは、世界的に見ても重要な課題の1つとなっています。
日本においても、企業が保有する「情報資産」の適切な管理が行われていることを証明するために、「ISO/IEC 27001:情報セキュリティマネジメントシステム(ISMS)」といった第三者認証の取得が求められており、DLPはその要件を満たす強力なツールとして注目されています。
「内部」からの情報漏えいリスクの増大
企業における情報漏えい事故のケースとしては、
- マルウェア感染や不正アクセスなど、「外部攻撃」を要因とするもの
- 設定ミスやメール誤送信など、「ヒューマンエラー」を要因とするもの
- 従業員の故意による情報の持ち出しなど、「内部不正」を要因とするもの
の3種類があり、中でも「内部不正による情報漏えい」の件数が年々増加しています。
2024年1月、東京商工リサーチが発表した調査結果によると、2023年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は175件と過去最多を更新し、そのうち従業員による情報の「不正持ち出し・盗難」は24件(13.7%)にものぼり、前年の5件から約5倍に増加しました。
「内部不正による情報漏えい」に関しては、従業員への定期的なセキュリティ教育・研修など、”人”の良心を信じる性善説に基づく対策だけで防ぐには限界があり、代わりにDLPという”システム”を用いて、データそのものに対して機械的に監視・保護を行う方法が効果的とされています。
2.従来の情報漏えい対策との違い
DLPと従来の情報漏えい対策の間には、具体的にどのような違いがあるのか見ていきましょう。
「データそのもの」を監視する
従来の情報漏えい対策で監視する対象は、主にそのデータの「利用者(ユーザー)」でした。
しかしこの方法だと、ユーザーIDとパスワードを用いた認証によってアクセス権を与えられた正規のユーザーが、データの持ち出しなどの不正な行動を起こした際に、企業側が気づきにくいという問題がありました。
一方、DLPはユーザーではなく「重要なデータそのもの」を監視対象としています。
たとえアクセスが許可されている正規ユーザーであっても、不正にデータを外部へ送信しようとしたり、USBメモリにデータをコピーして持ち出そうとすれば、即座に検知して操作をブロックするため、情報漏えいを未然に防ぐことができます。
「特定の情報」だけを保護する
従来の情報漏えい対策では、「企業内にあるすべてのデータ」を保護対象としていたため、データ量が多ければ多いほど、運用・管理にかかるコストや負担が大きくなる点がデメリットでした。
一方、DLPは万が一漏えいした場合のリスクが高い「特定の機密データ」のみを保護対象に指定できるため、すべての情報を監視・管理する手間が省け、コストやリソースの無駄なく効率的に対策を行うことができます。
不正操作を自動キャンセルする
これまでの情報漏えい対策では、正規のユーザーIDとパスワードを持った本人がログインさえしてしまえば、機密情報をコピーしてクラウドにアップロードしようが、USBなど他のデバイスに移動させようが、メールやFAXで送信しようが、紙に印刷して外へ持ち出そうが、止める手立ては一切ありませんでした。
しかしDLPでは、特定の機密情報に対して上記のような不正なアクションが行われると、すぐさまアラート通知を出したり、操作そのものを自動的に強制キャンセルするなどして、外部への情報流出を阻止することができます。
3.IT資産管理ツールとの違い
DLPとよく似たセキュリティ対策の1つとして、「IT資産管理」があります。
どちらも情報漏えい対策として有効ですが、目的や監視対象が明確に異なります。
IT資産管理とは、企業が保有するPC・モバイル端末・サーバーなどのハードウェアや、OS・アプリケーションなどのソフトウェア、すなわち「IT資産」の利用状況に関する情報を一元的に把握し、適切に管理することを指します。
IT資産管理ツールは、それを実現するためのツールです。
主に「社内コンプライアンスやセキュリティの強化」を目的として、
- 誰が、いつから、どの機器を利用しているのか?
- OSやソフトウェアのバージョンは最新のものになっているか?
- ソフトウェアライセンスの更新漏れや不正利用はないか?
- ソフトウェアの脆弱性が発見された際に、どのPCがアップデートの対象となるのか?
など、「IT資産」という広範囲に及ぶ情報の監視・管理に重点を置いています。
また、IT資産管理ツールは「IT資産」に加えて「ユーザーの行動」も監視対象としており、ログを通じて「誰が(どの端末が)」「いつ」「どんな操作」を行ったのか確認することで、運用ルールの違反がないかどうかをチェックすることができます。
それに対しDLPは、「重要なデータそのもの」を監視対象として、数ある情報資産のうち、外部に漏れると問題になる「特定の機密データ」の流出を防ぐことに特化しているのが特徴です。
機密情報に不審なアクセスはないか、不正に持ち出されていないか、DLPを通じて「データの動き」を監視することで、外部要因(=サイバー攻撃)による情報漏えいにも、内部要因(=うっかりミス・悪意を持った犯行)による情報漏えいにも対応が可能となります。
目的に応じて2つのツールを使い分ける
網羅的な情報漏えい対策を実現するには、「IT資産やユーザーの行動・操作を監視する」IT資産管理と、「重要なデータ自体を保護する」DLPによるセキュリティ対策のどちらも必要です。
とは言え、両方の対策を行うには金銭面・運用面においてそれなりのコストがかかるため、企業によっては現実的ではないでしょう。
リスクの優先順位としては「機密情報の保護」が最も重要であることから、まずはDLPによる機密情報の漏えい対策に取りかかり、補完的にIT資産管理ツールでユーザーの監視やログ取得などを行うのが最適といえます。
いずれにせよ、IT資産管理ツールとDLPはそれぞれ目的と監視対象が異なるため、「どちらか一方を導入すれば良い」というよりも、両者の重要性を理解したうえで、自社に適したやり方でセキュリティ対策を行うことが大切です。
4.DLPによるデータ判別の仕組み
DLPでは、データに含まれる「キーワード」や「正規表現」、「フィンガープリント」を使って、対象のデータが重要な機密情報であるかどうかを判別します。
キーワードや正規表現で判別
氏名・住所・顧客名・商品名など、特定のキーワードやフレーズをあらかじめ登録しておき、キーワードマッチングで条件に合致したデータを「重要データ」と判別する方法です。
例えば、「Confidential」という単語がファイル内のテキストに含まれているかどうか照合を行い、もし含まれていた場合はそのファイルを機密情報が入った「重要データ」と判定します。
なお、キーワードのほかにも、日付・電話番号・メールアドレス・URL・クレジットカード番号など、あらかじめ指定した「正規表現」に一致する文字列があるかどうかでデータの重要性を判別する方法もあります。
ただし、マッチング用のキーワードは1つ1つ登録しなければならないため、指定したいキーワードや正規表現が多い場合、登録に時間や手間がかかってしまう点がデメリットといえます。
フィンガープリントで判別
フィンガープリントとは元々「指紋」という意味で、文書が改ざんされていないかどうか、デジタル情報の同一性を確認するために使用される値のことを指します。
個々のデータが持つ特有の「指紋・証明書」のようなものです。
DLPにフィンガープリントを登録しておけば、特定キーワードや正規表現のように「完全一致」とまでいかなくても、キーワード構造や文書構造などの特徴が一致していれば、データの類似性からそのファイルが機密情報であるかどうかを判別できます。
仮にデータ内容に変更が加えられたとしても、変わらず正確な判別が可能です。
また、データの「類似性」をチェックしているため、登録されたデータから派生した別のファイルや関連データについても、機密情報として識別できます。
膨大なキーワードを手作業で1つずつ登録する必要がないため、登録漏れのリスクや管理者の負担軽減にもつながり、キーワード登録の手間を省きつつ、効率的に判別の精度を高められる点がメリットです。
5.DLPの6つの基本機能
DLPが持つ6つの代表的な機能についてご紹介します。
- デバイス制御機能
- 印刷・コピー・キャプチャ制限機能
- Webセキュリティ機能
- コンテンツ監視機能
- メールセキュリティ機能
- アクセス制限機能
デバイス制御機能
従業員が利用しているPC、タブレット、スマートフォンなどのデバイスを一元管理し、不正アクセスやマルウェア感染などのさまざまな脅威から各デバイスを保護する機能です。
インストールされているアプリやソフトウェアを監視し、万が一不正アクセスやマルウェアの感染が疑われる場合はいち早く異常を検知し、警告アラームを出したり操作をブロックできます。
また、デバイス内のデータは暗号化されるため、仮に盗難や紛失に遭った場合でも、情報が漏えいするリスクを最小限に抑えられます。
なお、USBメモリなどの外部デバイスについても、DLPなら全面禁止にしなくてもデバイス自体を保護しながら利用可能なため、業務に支障がない形でセキュリティを両立できます。
印刷・コピー・キャプチャ制限機能
機密情報が含まれるデータのコピーや紙媒体への印刷、画面キャプチャなどの行動を制限する機能です。
組織内部の人間が機密情報を簡単に外部へ持ち出せないよう、コピー・印刷・キャプチャ行動そのものに制限をかけて、情報漏えいのリスクを抑えることができます。
意図的な不正行為はもちろん、プリントアウトした資料を置き忘れるなど、従業員の不注意・ヒューマンエラーによる情報漏えいを防止できる点も特徴です。
Webセキュリティ機能
URLのフィルタリング機能を利用して、セキュリティ保護がされていないサイトや、マルウェア感染の恐れがあるサイト、公序良俗に反するサイト、業務には関係のないサイトなど、不適切なWebサイトへのアクセスを制限する機能です。
フィッシングサイトや不正なファイルのダウンロードサイトなど、機密情報を盗まれる可能性が高い危険なサイトへのアクセスを制限し、情報漏えいリスクを低減します。
さらに、部署や役割に応じて従業員ごとにアクセス権限を細かく設定できるため、業務に支障が出る心配もありません。
例えば広報担当者など、業務上SNSやインターネット上の掲示板を確認する必要がある人にはアクセスを許可する一方で、その他の従業員にはアクセスを制限する、といった個別設定が行えます。
コンテンツ監視機能
サーバー上で管理している機密情報や重要データをリアルタイムで監視する機能です。
USBメモリへのコピーや外部サイトへの不正アップロードなど、情報漏えいにつながりかねない不審なアクションを検知した場合は、瞬時にアラートを出して操作をブロックします。
24時間365日体制でデータは常時監視されているため、たとえ業務時間外であったとしても不正行為を即座に検知・ブロックし、データの外部流出を未然に防ぐことができます。
メールセキュリティ機能
機密情報を含んだメールの送信をブロックする機能です。
事前に登録したキーワードやフィンガープリントをもとに、メールの本文や添付ファイルに機密情報が含まれているかどうかを自動で検知し、該当したメールの送信を強制的にキャンセルします。
通常業務でのメールのやり取りを妨げることなく、情報漏えいにつながる危険性が高いメールのみを選別して制限をかけられるため、業務効率を低下させることなく高いセキュリティを保つことができます。
なお、製品によってはマルウェア感染のリスクがあるURL・ファイルが添付されたメールを自動でシャットアウトできる機能が付いているものもあり、メールを用いた外部からのサイバー攻撃対策にも有効です。
アクセス制限機能
従業員の役職や部署に応じて、アクセス権限を細かく設定できる機能です。
例えば、店舗ごとの売上データについては、その店舗の管理者と本社の特定部署のみアクセス可能にする、といったように、社内の重要情報に対して閲覧・編集できるユーザーや部署を限定することで、情報漏えいリスクを低減できます。
適切な権限を持つ人が必要な情報だけにアクセスできるよう体制を整えることで、情報の安全性を高めると同時に業務効率の向上にもつながります。
6.DLPのメリット
DLPを導入するメリットとしては、次の4つが挙げられます。
- 情報の外部流出を事前に阻止
- リアルタイムで異常を検知
- 運用・管理コストの削減
- ヒューマンエラーによる情報漏えいの防止
情報の外部流出を事前に阻止
DLPを導入する最大のメリットは、何といっても企業にとって重要な機密情報を強力に保護し、外部への情報漏えいを未然に防げる点にあるでしょう。
一度漏えい事故を起こしてしまえば、社会的信用の損失や取引停止など、その影響は計り知れず、適切な情報漏えい対策を講じることは、単に重要データの流出・紛失を防ぐためだけではなく、その企業の評判やブランド価値を守ることにもつながります。
また、DLPによりセキュリティを強化することで、関係法令や業界特有の規制・ガイドライン等を遵守することにもつながり、コンプライアンス違反の防止に役立ちます。
リアルタイムで異常を検知
不正行為や誤操作など、何らかの異常があった際にすぐさまリアルタイムで検知・対応を行える点もDLPのメリットです。
従来の情報漏えい対策では、実際に不正行為が行われた”後”に、過去の操作ログの記録を遡って原因究明を行っていたため、「その後の対応が遅くなって被害が拡大しかねない」「情報漏えいそのものを未然に防ぐことはできない」という欠点がありました。
一方、DLPは機密情報を常にリアルタイムで監視し、不正行為を検知すれば即座に管理者へと通知が届くため、被害が拡大する前に迅速な対応を取ることができます。
また、行われた不正操作も自動で無効化されるため、情報漏えいの未然防止にも高い効果を発揮します。
運用・管理コストの削減
企業が日々の業務で取り扱うデータは膨大な量にのぼり、そのすべてを人の手で監視してチェックすることは、費用や作業負担を考えても不可能に近いでしょう。
その点、DLPを利用すれば、特定のキーワードや正規表現、フィンガープリントを登録しておくだけで機密情報を自動的に判別し、外部への流出を防御してくれるため、人力よりもはるかに正確かつ効率的にデータを保護できます。
通常業務の生産性を下げることなく、それでいて運用・管理面の負担も抑えながら、強固なセキュリティ環境を実現できます。
ヒューマンエラーによる情報漏えいの防止
DLPでは、悪意を持って行われる内部不正のほかに、操作ミスなどのヒューマンエラーを原因とした情報漏えいも防ぐことができます。
実は、「意図的な不正」に起因するものより、誤操作や不注意などの「うっかりミス」に起因する情報漏えいの発生件数の方が多いというのが実情で、たとえ従業員のITリテラシーが高く、データの取り扱いに関する厳格な運用ルールを設けていたとしても、人間が作業する以上ヒューマンエラーが発生する可能性をゼロにはできません。
DLPであれば、監視対象が「重要なデータそのもの」なので、ユーザーの誤操作が発生したかどうかは関係なしに、機密情報にあたるデータが外部に流出しそうになった場合は一律で操作をブロックし、漏えいを未然に防ぐことができます。
いわば、「ヒューマンエラーの発生を前提とした」情報漏えい対策がDLPといえます。
7.DLP製品の比較ポイント
DLP製品を導入する際の選定ポイントは、主に以下の7点です。
- 製品の種類
- 対応しているOS
- メモリ容量
- 自社に必要な機能
- 導入・運用コスト
- サポート体制
- 同業他社での導入実績
①製品の種類
DLP製品は、主に以下3つのタイプに分けられます。
それぞれの特徴から、自社の課題解決や目標達成を実現するために最適な製品を検討しましょう。
全体監視型
「全体監視型」は、監視用のサーバーを設置したうえで、社内ネットワークを通るすべてのデータを監視するタイプの製品です。
PC・サーバー・IaaSなどを含め、社内で取り扱っている情報をすべて網羅的に監視したい場合におすすめです。
エンドポイント型
「エンドポイント型」は、ネットワークに接続されたPCなどの端末機器(=エンドポイント)に、「エージェント」と呼ばれる監視用のソフトウェアをインストールし、その端末側でデータの流れを監視するタイプの製品です。
「全体監視型」は大がかりだと感じる場合や、社内ネットワークの中よりも社外に持ち出す各種デバイスの方を重点的に監視したい場合に向いています。
ファイアウォール型
「ファイアウォール型」は、インターネットと社内ネットワークの境界線に設置され、外部-内部間の通信を監視する「ファイアウォール」にDLP機能が搭載されているタイプの製品です。
エンドポイント型と異なり、端末ごとに監視ソフトウェアをインストールする必要がないため、手軽に導入しやすいのが特徴です。
ただし、ファイアウォールを通過しない情報は監視できないため、導入を検討する際は注意しましょう。
②対応しているOS
DLP製品を選ぶ際、対応しているOSは必ず確認するようにしましょう。
自社で利用しているOSとの相性が合わないと、PCの動作が止まったり、動きが遅くなったりと不安定な状態になってしまい、普段の業務にも支障が出る可能性があります。
幅広いOSや動作環境にも対応できる DLP 製品を選ぶことは、導入の失敗を防ぐためにも非常に重要です。
③メモリ容量
DLPを安定して動作させるために必要なメモリ容量についても確認しておきましょう。
運用に多くのメモリ容量を消費する場合、動作スピードが遅くなるなどの影響が出る恐れがあります。そのため、必要とされるメモリ容量が少ない DLP 製品を選ぶのがおすすめです。
なお、DLP 製品を長く継続利用するためには、不要なファイルやデータを削除するといった定期的なメンテナンスも求められます。
④自社に必要な機能
DLP製品に含まれる機能についても、重要な選定ポイントの1つです。
製品によって搭載されている機能はさまざまなので、自社の業務内容や取り扱う機密情報の種類に合わせて、必要な機能が揃った製品を選びましょう。
ただし、機能が豊富であればあるほど良いというわけではなく、使いこなせない機能が多すぎると、かえって運用負荷が高まってしまう可能性もあります。
自分たちにとって本当に必要な機能かどうかを十分検討したうえで、導入目的に合ったDLP製品を選ぶとよいでしょう。
⑤導入・運用コスト
DLP導入・運用にあたっては、システムの構築費用や製品を利用するためのライセンス費用、サーバーの運用費用など、さまざまなコストが必要になります。
高性能な製品ほどコストも高くつくため、導入目的にそぐわない機能や利用頻度の少ない機能を有している製品を選んでも、余分な運用コストを増やすだけになりかねません。
一方、価格が安すぎる場合にも、機能が不足している、十分な効果を得られない、必要なサポートを受けられないなど、デメリットの方が大きい可能性があります。
かけた費用に見合う効果を得られるのか、価格が極端に安すぎる、または高すぎることはないか、複数の製品を比較して検討を進めるようにしましょう。
なお、DLPの中には、無料トライアルを実施している製品も数多くあるので、導入前に社内で実際に使ってみて、操作感や業務との親和性を確認しつつ、導入に向けた最終的な判断を行うのがおすすめです。
⑥サポート体制
DLP製品を選ぶ際は、ツール導入後のサポート体制が充実しているかどうかにも着目しましょう。
特に、DLPを導入したばかりの時期には、「操作方法が分からない」「動作が急に止まってしまう」といったさまざまなトラブルや不具合が発生する可能性があり、早急に対処しなければ業務に支障をきたす恐れがあります。
問題が発生した際は具体的にどのようなサポートを受けられるのか、電話でも相談できるのか、サポート体制の内容をしっかりと確認しておきましょう。
⑦同業他社での導入実績
導入を検討しているDLP製品について、自社と同じような業種・企業規模での導入実績がどれだけあるかも確認しておきましょう。
自社と同業種・同規模の会社での導入実績が豊富なDLP製品を選ぶことで、具体的な活用イメージを持ちやすくなります。
具体的な導入実績は、HP上だけでなく製品資料やホワイトペーパーなどに記載されていることも多いため、入念にチェックするようにしましょう。
8.まとめ
いかがでしたでしょうか?
DLPは、「人」ではなく「データ」の動きをリアルタイムに監視するため、従来のセキュリティ対策では防ぎきれなかった「悪意を持った行為(=内部不正)」や「意図しない人為的なミス(=ヒューマンエラー)」による漏えいをも未然に防げるメリットがあります。
「内部からの情報漏えい対策」に力を入れるなら、ぜひこの機会にDLPの導入について検討してみてはいかがでしょうか。
なお、当社コンピュータマネジメントでは、「情報システム部門の業務効率化に向けて、専門家の視点から具体的なアドバイスが欲しい」と感じている企業様向けに、情シス支援サービス「ION」を行っております。
以下リンクより情シス支援サービス「ION」に関する資料を無料でダウンロードすることができますので、興味のある方はぜひチェックしてみてください。
お電話・FAXでのお問い合わせはこちら
03-5828-7501
03-5830-2910
【受付時間】平日 9:00~18:00
フォームでのお問い合わせはこちら
この記事を書いた人
Y.M(マーケティング室)
2020年に株式会社コンピュータマネジメントに新卒入社。
CPサイトのリニューアルに携わりつつ、会社としては初のブログを創設した。
現在は「情シス支援」をテーマに、月3本ペースでブログ更新を継続中。
