過去1年間は、記録された中で企業の情報漏洩が最も深刻な年となりました。将来的にハイブリッドワークとクラウド利用の成長が期待される中、攻撃および漏洩の件数は増加すると予想されます。これらのトレンドを考慮して、情報漏洩防止(DLP)セキュリティシステムの採用はこれまで以上に重要となっています。これまでのDLPは主に境界セキュリティのソリューションとして使われており、ハイブリッドワーク環境の変化には適切に対応できませんでした。これらの課題に対処するため、各メーカーもDLPを現代に対応させるソリューションの研究に力を入れています。
継続的な変化はDLPの自然な状態
ネットワークセキュリティの管理がますます複雑になる一方で、データコンテンツの生成量も過去比べて、数十倍に増加しています。過去数年間で、DLPの手法は大きな変革を経てきました。これらの手法はデータチェック・データ発見・漏洩通知・データ管理の実装などの側面で改善されていました。
内部研究と各種情報漏洩対策の技術的な進化により、DLPの3つのフロントトレンドが明確に示されており、これらのトレンドが今後3~5年間でこの分野に最も影響をもたらす可能性があります。これらのトレンドについて詳しく説明し、以下はそれらが解決した課題や、組織がどのように最大限に活用して機密データの漏洩リスクをさらに低減できるかについて議論します。
重点的な進化領域:行動推定とコンテキスト分析
一部の先進的な組織は、コンテキスト分析と機械学習を用いて、アクセスされたデータの活動(ログイン時間・ユーザの行動・プロセスのアクティビティなど)から潜在的な悪意ある活動を識別し、マーキングできるようになっています。この手法では多数のエンドポイントからログデータを収集して、行動分析ツールを介して異常な活動を識別し、活動のコンテキスト情報(行動意図・間接関与者・根本原因の推論)を推定します。行動の進化的なコンテキストに基づいて、潜在的な脅威を予測することができます。このようなコンテキスト情報から、内部およびサプライヤのDLPソリューションに統合することができ、さらにアイデンティティとアクセス管理ツールを組み合わせて、アクセス権限を決定する際に活用できます。
業界用語では、行動(Behavior)は主にネットワークパケットやシステムプロセスのアクティビティを指し、UEBA/UBA、IoB(行動指標)などが該当します。これはユーザや人間の操作行動を指すものではありません。ユーザの活動は通常、UAM(ユーザアクティビティモニタリング)と称しますが、これには全ての主観的な行動が含まれているわけではありません。DLPの専門領域はデータアクセスの活動にあり、これを人間の行動推定と組み合わせることで、内部脅威(Insider Threats)の検出に活用できます。多くのシステムもこれを実装していますが、現状では上記の「Behavior」の域を出ていません。
NATO Cooperative Cyber Defense Centre of Excellence (CCDCOE)による内部脅威の研究(Insider Threat Detection Study)によれば、内部のデータ窃盗・データ破壊・スパイ活動のいずれもデータの外部への転送や持ち出しの活動を備えています。行動の表れ方は物理的および心理的な領域に加えて、ネットワーク活動指標およびエンドポイント活動指標も含まれます。将来のDLPでは、エンドポイントでの人間の行動推論を行い、さらに過去の活動コンテキストをもとに推論を行い、関連するイベントを検出する際に疑わしい参加者および可能な間接的な関与者のアクセス権を自動的に取り消すことができるようになるでしょう。これはゼロトラストが強調する持続的な監視と動的評価に呼応するものです。
個人情報保護と法令順守
一般的なデータ管理機能(分類・動的警告・ルールベースの実装など)は、法的規制に対応するソリューションと統合される傾向があり、法令違反を能動的に防止するために活用されています。たとえば、EU市民の個人情報(PII)を含むデータ転送を自動的にマーク付けてブロックする例もあります。EUとアメリカ間のデータ転送セキュリティ要件も定められており、違反するたびに最大で年間売上高の4%に相当する罰金が科せられます。現状では、組織は特定地域の関連法規に基づいて自動および手動でデータをマーキングし、既存のDLPを基盤としてこれらのルールを適用して自動でブロックしたり警告を出したりすると同時にユーザにも教育を施しています。
DLPソリューションは監査報告技術と統合することで、自動生成されたコンプライアンスダッシュボードレポートを提供して透明性を高めて、コンプライアンス管理の負担を軽減します。このプロジェクトの実現には、自動化されたグローバルコンプライアンスソリューションが必要です。法規が変化し続ける地域では、この要求は特に困難です。また、個人情報やその他カテゴリデータの識別自体が困難であり、中小規模の組織にとって障害となる可能性があります。
AI技術の導入
漏洩経路は電子ファイルやメール、インスタントメッセンジャー(SNS)だけでなく、音声ファイル・映像ファイル・画像ファイルも漏洩の原因となる可能性があります。これらのコンテンツについて、過去では正確な内容検出が難しかったですが、AIに基づくテキストから音声への変換技術と、自然言語処理による音声認識の進歩により、DLPは音声および映像データの保護を実装することが可能となりました。
光学文字認識(OCR)や正規表現マッチングを使用して、非構造化ドキュメント内のキーワードやパターンを検出するだけでなく、送信される音声およびビデオファイルを分析することで、機密性の高い情報漏洩の検出範囲を拡大することができます。高機密データを扱う一部業界では、これらの技術を拡張することで、リアルタイムの対話内容(オンライン会議室など)を検出できます。ただし、このような機能を追加することに対しては、従業員や顧客からプライバシー侵害とみなされる可能性があるため、慎重に検討する必要があります。AIはまた、行動分析・意思決定分析・前述のIoB・UEBA/UBAなどにも応用できる可能性があります。
多くの組織はすでに基本的なDLP機能を備えていますが、厳格化する法規制・変化するネットワーク脅威・複雑化するデータ管理により、重要データの保存場所と移動の透明性がますます求められています。現在はDLP機能の向上も弛まなく模索されており、今後は高度な分析・機械学習・コンテキスト推論型の応用・法的規制順守・プライバシー回避ソリューションの統合に焦点が当てられています。これらの機能を効果的に進化させることができれば、ますます増加するネットワークリスクに対処することも可能となるでしょう。