台湾では個人情報保護法施行から10年が経過しました。企業組織は法規制に対応するため、法に基づいて個人情報の保護を徹底して、情報セキュリティを統合することでリスクと罰則による影響を軽減する必要があります。非行政機関が法規制に違反した場合、罰金に加えて主管機関は法に基づき職員を派遣して検査や個人情報の破棄を行うことができ、さらには違反企業の違反状況・会社名・責任者名を公表することも可能です。個人情報保護法の適用対象は、金融・サービス・医療業界だけでなく、一般製造業やハイテク製造業も産業の質的変化により、多くの取引先担当者やサービスの最前線で利用するユーザの個人情報を保有しているため、個人情報保護法の影響を軽視することはできません。そのため、情報漏洩防止と個人情報の棚卸・検出の統合が、企業の情報セキュリティにおける外部漏洩対策の2大課題となっています。
TotalSecurityFortはエンドポイントのコンテンツ保護を強化
TotalSecurityFortは、エンドポイントにおいて強固な情報漏洩防止ソリューションを提供します。その範囲は、ユーザアクティビティ監視(UAM:User Activity Monitoring)、エンドポイントデバイス制御(Device Control)、アプリケーション制御(Application Control)、IT資産管理(ITAM)など、包括的なエンドポイントセキュリティを網羅しています。エンドポイントからの漏洩防止を強化し、情報漏洩の内容をより正確に把握するため、TotalSecurityFortはデータのコンテンツフィルタリングとブロック機能を拡張し、DLPによるデータセキュリティ保護ソリューションを強化しました。
データが移動する前に、TotalSecurityFortは事前にドキュメントの内容をフィルタリングして、リスクが組織の規則に適合していることを確認してから移動を許可します。キーワード、正規表現 (regular expression)、特定のファイル形式を用いて、不適切なデータ使用行為をフィルタリングおよびブロックします。さらに、TotalSecurityFortは既存のファイル操作ログと画面録画を組み合わせることで、ユーザのコンプライアンス遵守を強化し、発生源を追跡するための有効な証拠を提供します。
現在、コンテンツのフィルタリングとブロックは、USBメモリ、メッセージアプリ送信、Webメール送信などの書き出し経路に適用され、事前に遮断してフィルタリングし、分類タグに基づいて対応する措置を講じます。さらに、警告やブロックによって従業員に企業のデータ使用規則を遵守するよう促します。エンドポイントで発生した行動イベントも記録されてファイルがバックアップされるため、レポート分析やインシデント調査に役立ちます。記録には、ユーザ・書き出しまたは転送方法・時間・ファイル名・送信先の他に、IT部門やセキュリティ管理部門が機微情報のフローを把握できるように、詳細な情報が含まれます。ファイル形式は、企業が注目しているOfficeやPDF形式が中心になります。
個人情報保護法の施行、法規制の要求、サプライチェーンの上流・下流からの要求などにより、データ内容を識別することはDLPに不可欠な機能です。さらに、パンデミックの流行、テレワーク、非接触型ビジネスの台頭など、個人情報保護に対応するため、TotalSecurityFortとサードパーティ製ツールの個人情報スキャン結果を組み合わせ、TotalSecurityFortのエンドポイントブロック機能を活用することが、法規制の要件と組織の情報漏洩防止対策に最も効果的なソリューションです。
個人情報の書き出しと承認者による承認審査の連携
TotalSecurityFortは、サードパーティ製ツールと連携して使用することで、個人情報スキャンのグローバルな管理レベルを定義し、リスク検出時の処理を決定することができます。
- 5段階のレベル:最も厳格・厳格・一般・緩和・最も緩和
- 4種類の処理:書き出しブロック・管理者による承認必須・警告・記録
TotalSecurityFortクライアントが個人情報スキャンポリシーを有効化した時、USBメモリへのファイル書き出しが必要な場合は、まずサードパーティ製の個人情報スキャンツールによってファイルの内容がリアルタイムで検出されます。個人情報が含まれていることが検出されると、書き出し申請が行われます。管理者に承認申請が通知され、管理者がダウンロードして承認すると、システムはユーザに通知し、ファイルをUSBメモリに書き出すことができるようになります。書き出されたファイルはTotalSecurityFortのメインサーバーにバックアップされ、全プロセスにおいて完全な追跡記録が保持され、監査にも利用できます。
企業のセキュリティポリシーで「個人情報が検出された場合は一律にブロックする」という厳格なポリシーを採用している場合でも、TotalSecurityFortはポリシーでリスクレベルをカスタマイズすることで、リスクなし(許可および記録)やリスクあり(低、中、高にかかわらず一律ブロック)を実現し、会社全体で統一的に管理したり、ポリシーごとに管理を区別したりする仕組みを提供します。
管理者による承認の独自技術
TotalSecurityFortの承認者による承認では、書き出しを申請したファイルの特徴が記録されます。申請後にファイルの内容が変更された場合、ファイルの特徴が異なるため、元の申請の承認は適用されず、書き出しには再度申請が必要となります。TotalSecurityFortは、承認と書き出しのプロセスにおいて高度な制御を実現しており、これは他のDLP製品の承認申請時に見落としが発生しやすい弱点と言えます。
金融業界におけるシナリオと適用例
ある金融機関は、氏名・電話番号・個人番号・メールアドレスなど、多くの顧客データを保有しています。社長は、これらのファイルの利用状況(USBメモリへの書き出し・メッセンジャーアプリ送信・Webメール送信など)を把握して保護することで、上記の情報漏洩による個人情報保護法違反と罰金を回避したいと考えており、情報システム担当者にその対策を依頼しました。情報システム担当者は、まず個人情報保護法における個人情報の定義を参考に、キーワードスキャンによって情報漏洩を防止することにしました。
TotalSecurityFortで正規表現を設定するか、サードパーティ製ツールにて対応するドキュメントフィルタリングを行い、フィルタリング結果を異なるタグで分類して各分類タグに対して記録・ブロック・バックアップの処理を実行します。後日、関連ログの記録を照会する際に、分類タグのフィールドをすばやくフィルタリングすることができます。個人情報ファイルの書き出しに一致する記録を検索し、その利用状況が正常か異常かを分析したり、ダッシュボードを構築して個人情報ファイルの利用状況を迅速に確認したりすることも可能です。
個人情報(氏名・電話番号・住所など)を含むファイルデータをUSBメモリに書き出す際には、まずサードパーティ製ツールによってファイルが検出されます。個人情報が含まれていると判断された場合は、管理者による承認申請が必要となります。管理者は承認申請通知を受け取ると、申請内容をダウンロードして確認できます。管理者が承認すると、システムはユーザに通知し、ファイルはUSBメモリに書き出すことができます。書き出されたファイルはTotalSecurityFortのメインサーバーにバックアップされ、全プロセスにおいて完全な追跡記録が保持され、監査に利用できます。