データ損失防止 (DLP) とは何ですか?

サイバーセキュリティのストック画像。 — 画像: Adobe Stock/alvaher

データ損失防止（DLP）は、組織が機密データを保護するのに役立ちます。データ損失から企業を守るためのベストプラクティスとツールについて詳しくご覧ください。

サイバー脅威から完全に逃れられる組織は存在しませんが、リスクを軽減するのに役立つツールはいくつかあります。そのようなツールの一つがDLPであり、これはデータプライバシーとセキュリティ戦略全体においてますます一般的な構成要素になりつつあります。

参照:組織に適した DLP ソフトウェアを選択する方法について説明します。

DLPはサイバー脅威からデータを保護する上で重要であるだけでなく、組織がコンプライアンス要件を満たす上でも重要です。適切に設計・実装されたDLPは、組織が監査要件を満たす上でも役立ちます。この記事では、DLPの仕組み、DLPの種類、そして実践すべきベストプラクティスについて解説します。

ジャンプ先:

DLP はどのように機能しますか?
データ損失防止の種類
データ損失防止ソフトウェア
データ損失防止のベストプラクティス

DLP はどのように機能しますか?

データ損失防止（DLP）は、機密データや重要データへの不正アクセス、悪用、または紛失を防ぐのに役立つソフトウェアツール、プロセス、およびデータセキュリティ対策のセットです。侵入防止または情報損失防止とも呼ばれます。

企業は、データセキュリティ戦略全体にDLPを組み込むことがよくあります。DLPは、悪意のある攻撃者によるシステムへの不正アクセスの試みを特定するのに役立ちます。典型的なデータ侵害のコストは425万ドルに上り、サイバー攻撃のリスクの増大を考慮すると、デジタルデータを保護する方法を探している企業の間でDLPの人気が高まっています。

データ損失防止の種類

DLPは、ネットワークDLP、エンドポイントDLP、クラウドDLPの3つのカテゴリーに分類されます。これら3つのタイプはいずれもデータ損失の防止という共通の目標を持っていますが、その目標を達成するために用いられる手法にはいくつかの重要な違いがあります。

ネットワークDLP

ネットワークDLPは、企業のサーバー上のデータを監視・保護するために使用されます。これには、保存中のデータと移動中のデータが含まれます。ネットワークDLPは、クラウドと従来のネットワークシステム上のデータトラフィックを分析し、企業のセキュリティポリシー違反を特定します。このタイプのDLPは、企業ネットワーク上のファイルのアップロードと転送、メール、メッセージングを監視します。ユーザーが企業サーバー上の機密情報への許可されたアクセスを試みた場合、ネットワークDLPは事前に定義された手順を実行し、そのユーザーがデータにアクセスできないようにします。

ネットワークDLPを使用すると、管理者は機密データに誰がアクセスしたか、いつアクセスされたか、データが別の場所に移動されたかどうかも確認できます。これにより可視性が向上し、ネットワーク上でのデータ損失リスクを軽減できます。

エンドポイントDLP

エンドポイントDLPは、転送中または移動中のデータを保護するように設計されています。クラウドリポジトリ、コンピューター、携帯電話、その他のネットワークに接続されたデバイスなど、ネットワークのエンドポイントを監視するように特別に設計されています。エンドポイントDLPを使用すると、管理者は社内ネットワーク内外のエンドポイントに保存されているデータを追跡できます。

エンドポイントDLPはネットワークDLPに比べてより包括的なセキュリティを提供しますが、より多くの管理が必要になります。例えば、保護が必要なすべてのデバイスにDLPツールをインストールする必要があります。また、管理者は定期的なアップデートを通じてDLPツールのメンテナンスを行う必要があります。

クラウドDLP

その名の通り、クラウドDLPはクラウド内のデータを保護します。データをスキャン・監査し、注意が必要な異常を自動的にフラグ付けします。さらに、クラウドDLPは、データへのアクセス権限が付与されたクラウドデバイス、アプリケーション、ユーザーのリストを管理します。

クラウドDLPは、データへのアクセス日時とアクセス者を記録するログも保持します。ネットワークの周囲に境界を構築するのではなく、クラウドDLPはクラウドアプリケーションと連携してデータを暗号化します。

データ損失防止ソフトウェア

データ損失防止（DLP）ソリューションは、オンプレミスまたはクラウド上のデータの種類を、機密情報やビジネスクリティカルな情報など、様々なカテゴリに分類し、ソフトウェアに設定された事前定義されたルールやポリシーへの違反を特定することで機能します。DLPソフトウェアを使用することで、組織はGDPRやHIPAAなどのコンプライアンスおよび規制要件を満たすことができます。

データ損失防止のベストプラクティス

データの識別と分類

組織にとって、機密データを識別・分類することは極めて重要です。そうすることで、保有するデータの種類と、それを保護するために何が必要かを正確に把握することができます。データの識別と分類に最適なツールとして、データリポジトリをスキャンし、データの種類に関するレポートを生成するデータ検出テクノロジーが挙げられます。

DLPプロセスを自動化

自動化により、ユーザーは反復的かつ繰り返し発生するタスクの負荷を軽減できます。また、組織全体にわたるより広範なDLP導入にも役立ちます。初期設定では、組織固有のニーズに合わせてシステムを構成するために、手動によるDLPプロセスが重要ですが、プロセスを自動化することで、DLP導入の規模と範囲を最大限に拡大できます。

データ暗号化を使用する

すべてのビジネスクリティカルなデータと機密情報は、保存中および転送中のデータを含め、暗号化する必要があります。データ暗号化により、組織はサイバー攻撃に対する防御層を強化できます。つまり、たとえ侵入者がアクセスしたとしても、暗号化によってデータの安全性を確保できます。暗号化ファイルシステム（EFS）やMicrosoft BitLockerなど、様々なデータ暗号化技術が利用可能です。