データ損失防止（DLP）とは何か：初心者のためのDLP 【2022】

デジタル時代のデータ損失防止戦略

2022年9月16日
著者: Ahona Rudra
翻訳: 高峯 涼夏

この記事はPowerDMARCのブログ記事 What is Data Loss Prevention (DLP): DLP for Beginners [2022]の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

DLP（Data Loss Prevention-データ損失防止）とは、機密情報の損失から組織を保護するためのセキュリティ技術です。
DLPソリューションは、オンプレミス、クラウド、モバイルデバイスなど、ネットワーク上のさまざまなポイントで適用することができます。

DLP（データ損失防止）とは何か？

DLP（データ損失防止）とは、組織内のデータの流れを監視し、従業員が誤って、あるいは意図的に機密情報を社外に送信するのを防ぐことを目的とした技術を指す業界用語です。
DLP（データ損失防止）は一般的に、暗号化、ファイアウォールによる保護、セキュリティのベストプラクティスに関する従業員トレーニングなど、より広範なセキュリティ戦略の一環として、組織で導入されています。

DLPの目的は、機密情報への不正アクセスを特定し、それらからデータを保護して損失を防ぐことです。
もしあなたの会社が顧客記録や企業秘密などの機密情報を持っているならば、それが悪意のある従業員や、顧客のクレジットカード番号を盗もうとする人物の手に渡らないようにしたいと思うでしょう。

以下は、保護すべきデータの例です。

1. 従業員の社会保障番号
2. クレジットカード番号
3. 銀行口座番号
4. 顧客の名前と住所
5. 顧客のメールアドレス

メールのためのDLP：便利な資料一覧

メッセージ情報のDLP（データ損失防止）を有効にするには、以下の資料一覧を参照してください。
これらの文書にはメールデータを効率的に保護するための戦略、ポリシー、プロトコル、チェックリストが含まれており、実践すればへこたれることなく、効果的にデータを保護することができます。

• ビジネスにおけるメールセキュリティコンプライアンスモデルの構築【詳細ガイド】
• 企業のメールセキュリティチェックリスト
• メールのゼロトラストセキュリティモデル
• 2022年版メールセキュリティツールTOP5

なぜDLP（データ損失防止）なのか？ メリットと使い方

DLP（データ損失防止）は、あらゆるビジネスのセキュリティ戦略において重要な役割を担っています。
以下のような理由で、データ漏洩やマルウェア感染など、さまざまな脅威から企業を保護するのに役に立ちます。

DLPの6つの主なメリット

• 機密文書がメールを通じて競合他社などに流出するのを防ぐ
• 不正なユーザによるクラウドへの機密情報のアップロードの防止
• 従業員が機密情報を含むファイルを自分のデバイスにダウンロードすることを防止できる
• サイバー犯罪から身を守ることができる
• GDPR、HIPAA、PCI-DSSなどの規制やポリシーへの準拠を保証する
• 従業員や顧客の機密情報の保護につながる

3つの主なDLPの使用事例

• DLPは、機密情報が悪人の手に渡ったり、誤って流出することを防ぎます。
  もし誰かが不正なルートで機密情報にアクセスすれば、個人情報の盗難や脅迫の被害に遭うかもしれません。
  DLP（データ損失防止）戦略を導入していれば、そのようなことは起こりません。
• 私たちは皆、データ漏洩に関する恐ろしい話を聞いたことがあります。
  Target、Facebook、Yahoo!、Equifaxなど、数えればきりがありません。
  これらの企業は、DLPを実装していなかったり、適切に実施できなかったりしたために、情報漏洩に遭ったのです。
  DLPを導入していなければ、大惨事を引き起こす可能性があります。
• データの漏洩には様々な原因があります。
  誤って間違ったチームと共有する、フィッシング詐欺を経由して悪意のある第三者がアクセスする、雇用主の秘密を高値で売り渡そうとする従業員によって盗まれたりするなどです。
  DLPを導入することで、このような事故を未然に防ぐためのポリシーを策定することができます。

データ損失セキュリティのための3つのアプローチ

移動中のデータを保護する

移動中のデータとは、ネットワーク上を移動しているデータのことを指します。

移動中のデータは、インターネットなどのパブリックネットワークやイントラネットなどのプライベートネットワーク上で送信されているデータです。
また、BluetoothやWi-Fiを使用して機器間で送信されているものもあります。
SMTPで送信されているメールも、移動中のデータと呼ぶことができます。

もし移動中のデータが保護されていなければ、ハッカーに傍受され、悪用される可能性があります。
移動中のデータを保護することは重要です。

使用中のデータを保護する

使用中のデータとは、あなたが作成した、またはアクセスできるデータで、あなたが積極的に使用しているものです。
あなたのコンピュータやモバイルデバイスの中に保存されている場合もあれば、どこかのサーバに保存されている場合もあります。

使用中のデータは、不正アクセスや悪意のある改竄から保護する必要があります。
これは、次のような方法を導入することで実現できます。

• 暗号化：データを暗号化し、許可されたユーザしか読み取れないようにする
• アクセス制御：誰がデータにアクセスできるか、何を行えるかを制御する

保存データを保護する

保存データとは、ハードディスクやメモリスティックなどのデバイスに保存されている情報のことです。
写真、ビデオ、文書、その他のファイルなどの形で保存されます。
これはアクティブな処理を必要としていないため、「保存データ」と呼ばれています。

データ漏洩は、今日の企業が直面する最大のリスクのひとつです。
このようなリスクから身を守るには、デバイスに保存されている重要なデータを不正アクセスや盗難から保護する暗号化ソフトウェアを使用する必要があります。

データ損失防止を成功させるための3つのステップ

1. 予防型DLPは、機密情報が組織から外部に流出する前に特定し、それを阻止します。
2. 検出型DLPは、ユーザーが機密情報を組織のネットワーク外に送信しようとした場合など、不正なデータ漏洩の兆候を監視します。
3. 是正型DLPは、漏洩したデータの復元やネットワークインフラへのダメージの修復など、セキュリティ侵害によって引き起こされた被害を修復・抑制し、セキュリティ侵害からの回復を支援します。

DLP（データ損失防止）の種類

1.ホワイトリスト

ホワイトリストとは、従業員が特定のファイルにのみアクセスできるようにし、それ以外のファイルへのアクセスを禁止するDLPの一種です。
この方法は、クラウドストレージサービスと社内のデバイスの両方で使用することができます。

2.ブラックリスト化

ブラックリストは、悪意のある添付ファイルや海賊版ソフトウェアなど、禁止されているサイトやファイルへのアクセスをブロックするDLPの一種です。
このタイプのDLPは、個々のユーザーの行動ログではなくポリシーに依存するため、IT管理者の指示によって従業員にアクセス許可が与えられていたとしても、ホワイトリストよりも効果的に、ネットワーク境界システムに不正なコンテンツが侵入するのをブロックすることができます。

異常検知

異常検知機能は、従業員の行動をリアルタイムで監視し、不正なファイル転送が行われたり、悪意のあるリンクや添付ファイルを含むメールが組織のファイアウォールの外にいる無防備な受信者に送信されるなど、本格的な侵害に発展する前に潜在的脅威を検知します。

企業が保護したい主なデータの種類とは？

DLPのベストプラクティスを理解する最良の方法は、企業が保護したいさまざまなタイプのデータに注目することです。
大きく分けて3つのカテゴリーがあります。

1. クレジットカード番号、社会保障番号、銀行口座情報などの財務情報
2. 個人を特定できる情報(PII) - 氏名、住所、電話番号など
3. 企業秘密、財務記録、その他、貴社と取引のあるパートナーやベンダーの独自データなど

DLP（データ損失防止）のベストプラクティス

DLPのベストプラクティスは数多くありますが、その中でも特に重要なものを紹介します。

1. IDおよびアクセス管理を実装し、機密情報へのアクセスを制御します。
   これにより、許可されたユーザーのみが、効率的に仕事をするために必要なデータにアクセスできるようになります。
2. メールのセキュリティに留意します。
3. 会社のデータを保護し、データに関連した悪意のある行為を認識することの重要性について、全従業員がトレーニングを受けるようにします。
4. ハードディスクやフラッシュメモリなどのストレージデバイスに機密情報を保存する場合は、暗号化やハッシュアルゴリズムなどの技術を使用します。
   また、ファイアウォール、侵入検知システム（IDS）、アンチウイルスソフトウェア、アンチスパムフィルタなどのソフトウェアの使用も検討してください。
   これらのソフトウェアは、ネットワークの内部に侵入すると損害を引き起こすウイルスやワームなどの外部の脅威からネットワークを保護するのに役立ちます。
   しかし、これらの技術の多くは、企業向けというよりも消費者向けに設計されているので、注意して使用する必要があります。
5. 定期的にデータをバックアップすることで、万が一デバイスを紛失したり盗まれたりしても、すべてを失うことがないようにします。
6. 顧客と従業員に対して明確なプライバシーポリシーを設け、どのような情報が収集され、それがどのように使用されるかを誰もが知っているようにします。
7. 各ユーザに固有の強力なパスワードを作成します。

DLP（データ損失防止）ソフトウェアとツール

ファイアウォール

ファイアウォールは、プライベートネットワークへの不正アクセスやプライベートネットワークからの不正アクセスをブロックするネットワークセキュリティシステムです。
ファイアウォールを通過する各パケットの内容を検査し、パケットの内容がファイアウォールのセキュリティポリシーに適合しているかどうかを判断することによって機能します。

アンチウィルス

個人情報の盗難、悪意のあるソフトウェア、その他のコンピュータの脅威を防止するためのソフトウェアプログラムです。

ウイルス、ワーム、トロイの木馬がないかどうかをスキャンします。
ウイルスが見つかった場合、アンチウイルスはそれを除去します。
これにより、情報を失うことなくファイルを復元できるため、データの損失を防ぐことができます。

メール認証プロトコル

メール認証プロトコルは、メールの送信者を特定し、メールが改竄されていないことを確認するために使用されるサーバを対象とした一連の指示です。
一般的な例としては、DMARC、SPF、DKIMなどがあり、メールのDLP（データ損失防止）強化のため、業界の専門家によって広く使用されています。

データ暗号化ツール

データ暗号化ツールは、データの機密性を保護するために、鍵やパスワードを使用しないと読み取れない形式に変換するために使用されます。
このプロセスは暗号化と呼ばれます。

暗号化されたデータは、権限のない第三者に傍受された場合、識別することができません。
このため、文書から貴重な情報を得ることは不可能であり、データの損失を防ぐことができます。

アクセスコントロール

アクセスコントロールとは、特定の情報へのアクセスを許可された人だけが閲覧できるようにするプロセスです。
正しく実施することで、データを紛失や盗難から保護することができます。

アクセス制御ポリシーを導入することで、コンピューターやネットワークシステム上のどのファイルに誰がアクセスできるかのルールを設定することができます。
例えば、次のような場合です。

• あるファイルには全社員がアクセスできるが、別のファイルには管理職だけがアクセスできるようにする
• 全社員にあるファイルへのアクセスを許可し、特定の社員だけに別のファイルへのアクセスを許可する
• 経理部以外の全従業員にあるファイルへのアクセスを許可する

まとめ

DLP（データ損失防止）は、データがほとんどデジタルで保存、交換、再利用される時代において非常に重要です。
システムの些細な抜け道が、広範囲に及ぶ結果をもたらすかもしれません。
今日から、組織で効果的なデータ損失防止戦略を導入し、データを守りましょう!