DLP(Data Loss PreventionまたはData Leakage Prevention):データ漏洩防止とは、価値ある情報の漏洩を防止することを目的とした情報漏洩防止システムです。主な任務は名前の通りではありますが、時代が進むにつれて、この概念には意味が追加されるようになりました。次世代DLPのソリューションは、意図的または偶発的な情報漏洩だけでなく、企業が直面する他のセキュリティ課題にも対応する必要があります。
もともとDLP市場の出現は、ますます厳格になる情報保護法規制に対処するためでした。監督機関は情報漏洩問題に注目し、法規制および業界標準を制定してコンプライアンス問題が強制力を持つようになり、特に個人情報保護が最優先に置かれています。そして第2の主目的は、企業の知的財産や営業秘密などの貴重な資産を保護することです。
成熟したDLPソリューションは、組織が未承認のデータ転送と分析を監視および防止するための完全な機能セットを提供します。一部のDLPソリューションはデータ移動の追跡はできますが、漏洩を防止することはできません。これ以外のものもありますが、ここでは説明を省略します。DLPモジュールと追加する形で統合することもできます。たとえば、PC保護にDLPモジュールを追加するなどの例もあります。一般的に、業界では伝統的なDLPシステムを2種類に分類しています。
Enterprise DLP (EDLP)
EDLPはより包括的な解決策を提供して、クライアントPCとサーバPCに適用しているエンドポイント用のプログラムです。物理/仮想デバイスに対応して、中央集権型でDLPポリシーを管理して、電子メール・ネットワーク行動・アプリケーションまたは周辺機器を直接的に監視・制御します。
Integrated DLP(IDLP)
IDLPは統合型DLPで、セキュアな電子メールゲートウェイ(SEG)・セキュアなWebゲートウェイ(SWG)・データ分類ツール・電子メール暗号化ツールなど、ネットワークアクセス制御に特化した多数のツールを提供します。これらの問題点は、リモートワークにおけるすべての通信ルート対処できないことです。例えば、ビデオ会議やインスタントメッセンジャーなどにはほぼ対応できません。
勤務環境がより複雑になり、コロナ禍の影響でリモートワークの割合も増え、クラウドソフトウェアとデータの使用も増加しています。これにより新種の攻撃による被害も増えていくことが予想されます。マルウェアによる隠密型データ窃取、ランサムウェアによるデータの盗難、暗号化の破壊などもより一層実行しやすくなるでしょう。これらは本来DLPの範囲外であり、エンドポイントセキュリティ、マルウェア対策、NGAV / EDRなどのシステムを強化することで対処してきましたが、上記のシナリオは厳密にはデータ漏洩に該当するため、DLPの新たな課題として浮上しています。
DLP の進化論
次世代DLPが目指す次のマイルストーンは内部のセキュリティ脅威を低減することです。情報漏洩を防止するだけでなくデータを詳しく分析して、さまざまなセキュリティイベントやリスクレベルを識別する必要があります。基盤監視などの部分は、他の情報セキュリティシステム(例えばイベント調査プラットフォームやセキュリティオペレーションセンター(SOC)ソリューション)で補完する必要も出てきます。
動的セキュリティポリシー調整
静的ルールでは変化する環境に適切に対応できないため、異なる環境条件や使用シナリオに基づいて、自動で対応するアクションプランを作成することで、チーム管理の複雑さを簡素化し、ユーザの作業に対する干渉も減らすことができます。
エンドポイント上のアクティビティは簡単にまとめると、システム・ユーザおよびサービスが生成するアクティビティの3種類になります。システムとサービスのアクティビティの内容は、外部リーク事件の追跡調査に使用できます。ユーザアクティビティ監視は、違反を即時に検知して適切なアクションを取ることができます。さらに操作履歴はユーザ行動分析にも利用できます。
完全なファイルアクセス・イベントログ・証拠ファイルおよび監査データの保存
前世代のDLPでは、通常はポリシー違反のイベントしか記録されなかったので、これでは行動分析やファイルトレースをしても組織のセキュリティ状況を完全に把握できませんでした。逆に、外部記憶デバイスへのアクセスや転送ファイルのコピーなど、関連する詳細イベント情報をすべて記録・保存できれば、専門家もこれらの記録やファイルの解析で内部セキュリティインシデントを徹底的に調査できるようになります。
ユーザ行動分析
次世代のDLPシステムは、ユーザの行動履歴を分析して、データ転送のキャッチやブロックの反応に使用できるようになるべきです。すでに多くのベンダーが、このようなツールを使用して標準的な従業員の行動を識別し、偏差行動に対する即時対応と予測に注力しています。
現在の基本的なDLPメカニズムはすでに高度な複雑さを持っていますが。システムの可用性とイベント分析調査効率を向上させることに重点を置きつつ、ビジネス運営の柔軟性を維持することが求められています。次世代DLPの開発においては、統一された分析プラットフォームの構築、包括的なイベント調査そして機敏なデータ保護の強化に注力することが重要です。