Data Leak Prevention(DLP:情報漏洩防止)という言葉は、すでにこの種のシステムの明確な目標を伝えています。すなわち価値ある情報の流出を防ぐという特定の任務を意味します。この伝統的な概念は時間が経つにつれて、どんどん新しいタスクが追加されるようになりました。次世代のDLPソリューションは、意図的および偶発的な流出を防ぐだけでなく、企業における他セキュリティ領域の要望にも対応できるようになります。
新しい変化への適応によって生じる挑戦と、それらの挑戦を助けることができる新技術は何でしょうか?
広義的に、現代のDLPシステムには3つの異なるタイプがあります。
- 成熟したDLPシステム:組織が未承認のデータ転送と行動分析を監視して、阻止するための完全なオプションを提供します
- 一部のDLP機能を備えたシステム:データの移動は追跡できても流出を防止できません
- 他のカテゴリに属しながら組み込みのDLPモジュールを備えたセキュリティソリューション
異なるタイプのツールは異なるタスクを処理できますが、この階層構造をよりよく理解するために、DLPシステムの発展過程での主な進化を振り返りましょう。
DLPの歴史
発展の第一段階は、ますます厳格になる情報保護規制の要求に対応することでした。監査機関は、顧客情報や財務情報を含む業務データが漏洩するのを防ぐため、異なる業種に対して異なる法的規制または基準を定め、さまざまな形式のデータを保護しようとしました。これにより、組織は情報流出を防ぐための動機が十分になり、メーカーはDLPシステムというソリューションを提供しました。
発展の第二段階は、商業機密の保護に焦点を当てました。それまでは特許についてはそれほど重視されていませんでした。その後、企業の経営陣は自社独自の商業情報も保護する必要があると認識しました。また、この10年間で伝送と通信速度および容量が大幅に増加し、DLPプロバイダーはより複雑なデータ形式を処理し、データ転送チャネルをできる限りに制御するようにソリューションを再開発・調整しました。
次の段階では、DLPは内部の脅威に対処することを目指しています。システムは情報流出を防ぐだけでなく、情報を深く分析して、比較的弱いセキュリティイベントを識別することができます。このタイプのDLPが生成するイベントの一部は、他タイプのセキュリティシステムを補強することができます。例えば、SIEM(イベント調査プラットフォーム)やSOC(セキュリティオペレーションセンターソリューション)などです。
セキュリティソリューションとしてのDLPは予防的な性質を持っているため、直接的な利益をすぐには見ることができません。企業や組織がこれらのシステムのコスト効率と実用性を疑問視するかもしれません。流出事件が発生しない場合、システムの有効性でさえ疑問視される可能性もあります。
DLPの限界
従来の情報セキュリティは、主に外部の脅威(例えばハッカーや未承認のユーザーのアクセス)に焦点を当てていましたが、それだけでは不十分です。SIEM・SOARおよびその他のソリューションは受動的であり、情報漏洩を防ぐための予防措置(Preventive Control)を講じません。これらはデータ自体ではなく、攻撃者の行動を分析することに焦点を当てていました。こういった外部の脅威を検出するために再設計されたツールは、内部からのより難しいタイプの脅威を検出するには不十分です。
現在、90%以上の通信トラフィックは暗号化されてから転送されているため、DLPはその通信内容を解析できず、識別と予防が無効になります。能動的なデータセキュリティとオリジナルデータのマーキングレベルに欠けています。これらのツールを使用しても、検出にはより長いタイムスパンが必要になります。一部のAI技術を利用して、データ分析・情報分類・文脈理解・図形認識などの分野で長所を活かせば、従来のDLPの不足を補うことができるかもしれません。
分析には完全な記録が必要
しかし、前世代のDLPはセキュリティポリシーに違反するイベントのみを記録し、それ以上の対応を行いませんでした。対照的に、現代のこのタイプのシステムでは大量のユーザーアクティビティとイベントの記録を保持し、セキュリティチームは組織のセキュリティ状態に関する全体像を把握できます。これにより監査やセキュリティ調査では、任意の従業員とそのファイルイベントの記録を検索して内部セキュリティイベントを徹底的に調査することができます。次世代のDLPは、ユーザーアクティビティ・デバイス接続・ウェブサイト閲覧などの記録をさらに詳細に発展させ、AIを使用してイベントの分析予測をします。
誤報の削減
DLPが直面する最大のデータ処理作業はデータの探索と分類であり、ほとんどのDLP技術は基本的に正規表現RegExを使用しています。この正規表現自体がある程度データセキュリティ「ルール」の先駆者です。例えば、人事部門がRegExを使用して新入社員に電子メールを送信し、内容にキーワード(例えば新入社員のパスポート番号や電話番号)を含む労働契約書を添付する場合があります。この場合はRegExでデータの認識や分類ができます
異なるシナリオに対応するために、メーカーはさまざまな認識技術を開発しました。例えば、IDM ( Indexed Document Matching)、非構造化データの統計分析手法などです。DLPは、電子メール内の単語やフレーズを迅速にスキャンできますが、構文や文法および添付ファイル内の機密ファイルの内容を理解することはできません。独自のコンテキスト理解がなければ、DLPはある種の数字の組み合わせを誤ってパスポート番号として認識することがあります。これを偽陽性データ識別(False positive data identification)と呼びます。しかし、AIによるコンテンツ分析であれば、単純なキーワードマッチングを超えて、コンテキストに基づいて機密情報を識別することができます。自然言語処理(NLP)と機械学習は、明確な説明がない場合や異なるフォーマットで出現した場合でも、機密データを識別することができます。このようにAIを使用したコンテンツの認識・分類・分析の能力により、誤判定率を低下させることができます。
行動パターン分析による内部脅威の検出
AIは、情報漏洩イベントに関するパターンを識別することができます。例えば、データアクセスパターン・ソース・宛先・通信プロトコル・サイズ・時間などを識別することができるので、これらのパターンによって従業員が機密情報を漏洩しようとしていたり、メール通信のパターンが承認していない機密データ共有を示していることを意味する場合があります。ユーザ行動の分析、アクセスパターンの監視および通常の行動からの逸脱をマークすることで、内部脅威を識別するのに役立ちます。これには異常なデータアクセスパターン、予期しないファイル転送およびセキュリティコントロールを回避しようとする試みの検出も含まれます。
リアルタイム監視と自動化されたイベントレスポンス
AI駆動のシステムは、データアクティビティをリアルタイムで監視して、怪しい活動が検出された時にアラートを発することができます。これにより組織は情報漏洩イベントの潜在的な発生に対して即座に反応することが可能になります。情報漏洩イベントが検出された場合、AIは自動でイベントレスポンスのプロセスを実行することができます。これには事件をコントロールするための即時の措置、災害の拡大を防ぐための隔離、アクセス権の撤回、追跡調査の開始が含まれます。
自動適応ポリシー
AIは、絶えず変化する脅威とデータ利用パターンに基づいて、DLPシステムのポリシーを動的に調整することを可能にします。この柔軟性は、新たに出現するリスクへの対応と、DLPシステムが時間の推移に対しても効果的であることを保証するために重要です。このようにAI活用を通じて、DLPシステムはよりスマートで順応性が高くなり、絶えず変化するデータセキュリティの脅威にも対処できるようになります。しかしながら、AIを活用したDLPは他のネットワークセキュリティ対策と相互に補完し合い、盲点の補完や解析不能な判断結果に注意しながら、包括的な情報保護戦略を策定するべきです。