現代においてデータは組織の生命線であり、データ漏洩防止はITチームと管理者の最優先要件です。データ漏洩の原因は多種多様で、内部メンバーの不注意や操作ミスから外部ハッキングによる窃取と悪意のある公開まであり、異なる結果を及ぼします。これにより、中心的な業務自体が中断されるだけでなく、重要データが外部の手に渡るという致命的な結果にもなり得ます。この場合、顧客の信用を失うと同時に、政府の情報保護法による罰則も受ける可能性もあります。
上層部の許可とサポートを得る
まずは上層部や管理者から許可を得て、十分な権限を確保するのが重要です。この場合、影響を受ける部署と担当者とも認識をすり合わせる必要があります。彼らの支持なしではプロジェクトを軌道に乗せることは困難になるでしょう。セキュリティインシデントが後押しになり、上層部から能動的に指示する場合であれば、より一層成功への道を拓きやすくなります。
実施範囲を確認して防御マップを作成
組織内のセキュリティシステムを整理して、防衛戦略マップを作成します。一般的に新規ベンチャー企業でなければ、組織は既に各種セキュリティシステムを持っているはずです。例えば端末セキュリティソフトウェア(アンチスパイソフトウェア、侵入防止システム、アンチウイルスソフトなど)、ゲート側の代理サーバ、ファイアウォール等があります。データ漏洩防止のソリューションは旧来のセキュリティシステムと異なる概念になり、専門ツールが必要になる場合が多いです。
キーデータの判別
データ漏えい防止のシステムの構築において、キーデータの判別は最重要手順になります。情報保護法などの法規により、特定種類のデータを判別する必要も出てきます。
おおまかに以下のような分類になります。
- 知的財産:研究成果、開発した特許、生産プロセス等
- 業務機密関連:販売データ、顧客情報、個人識別情報(PII)、マーケティングデータ、市場予測、会計記録、人事データ等
- 他法的規定を受ける正規取得情報
コストと予算を見積もる
セキュリティ計画実行し、予算も成否を決める重要な要素です。社員に対してセキュリティルールを徹底させたり、パスワードの定期変更やシステム標準のファイル暗号化機能などはコストがかかりませんが、プロジェクトの有用性はITメンバーをサポートするシステムに十分な投資をしているかどうかによって大きく変わります。システム構築の草案では有効なツールを考慮する他、前述の保護データの種類、組織内の使用範囲、業務内容によって優先順位を決める必要があります。例えばアンチウイルスソフトやファイアウォールは組織内の端末にとっては非常に重要ですが、セキュリティ情報管理システム (SIM)などは小売業者とあまり関連がありません。コストと合わせて実務に合う補助ツールを慎重に選ぶ必要があります。10円のものを守るために100円の錠前をわざわざ使わないように、影響の大きいモノに対して適切なソリューションを選ぶべきです。
有効なデータ漏えい防止計画を立てる
保護するデータの属性に応じて、正しく有効な漏洩防止ツールを選び、セキュリティ目標を達成させます。各種セキュリティシステムにはそれぞれコンセプトと目的があり、どの業種で適用するかによって、メリットとデメリットもあります。通常は情報漏洩防止システムを1つ構築するだけで全ての業務に対応できるわけではありません。よく見かける情報漏えい防止ツールにはそれぞれ長所と特徴があります。
- DRM/EDM
DRM(Digital Rights Management:デジタル著作権管理)は企業内ドキュメントのセキュリティ管理に応用され、エンタープライズDRMとも呼ばれます。、通常はファイル(File Based)を保護対象としているソリューションです。企業内でのファイル暗号化保護、編集制御、ファイル変更履歴追跡、権限配布等の機能があります。さらなる機能としてフロー管理もあります。前述の保護制御の仕組みで組織の内部と外部でもセキュアに機密ファイルを共有することができ、安全な業務環境を提供できます。導入すれば外部デバイスやネットワークなどからファイルの漏洩を気にせず運用できます。 - Anti-Malware/Anti-Virus/EDR
EDR (Endpoint Detection and Response)エンドポイント検知反応システムは端末(ネットワーク上の端末)の疑わしい活動を監視するソリューションです。EDR ソリューションはGartner 解析エンジニアAnton Chuvakin 2013 が提案し、ユーザ端末のノートパソコン・デスクトップパソコン・モバイルデバイスをターゲットにしている保護システムです。EDRソリューションは疑わしい活動(悪意のあるソフトウェアやネットワーク攻撃など)の可視化と監視機能を有し、旧来の端末アンチウイルスソフトやアンチハックソフトウェアに比べてAPTなど脅威検知が追加されており、さらに脅威情報の収集と比較、脅威モデル評価などで未知の脅威にも一定の効果を発揮できます。 - SIEM / UEBA
SIEM (Security information and event management)は各ネットワークデバイス、ITサービスシステム、ユーザ端末のシステムレポートとイベントログを収集し、これらのデータを解析して、脅威を識別するシステムです。UEBA(User and entity behavior analytics)は主にユーザ行動解析からユーザとデバイス(サーバやアプリケーションなど)実活動を監視するシステムです。UEBA システムはユーザ活動の基準レベルを作成して、それを各実活動の交差比較から基準とのズレを解析し、デバイスが攻撃を受けているかの識別と攻撃源を追跡できます。 - DLP およびEnterprise Device Control
DLP( Data Loss Prevention ) は端末とネットワーク活動の内容 (content)と前後の文脈 (context)を解析して漏洩する可能性のあるファイルを見つけ出し、その転送ルートを制御することで情報漏洩を防止します。ファイルによらず、接続デバイス、アプリケーション等の転送ルートを専門的に制御するシステムもあります。端末型のシステムは一般的にIT資産管理、リモート操作、録画、ヘルプデスクと対応する記録機能も提供しています。一部はUAM関連機能を備えています。 - UAM
UAM(User Activities Monitoring)はユーザの操作を監視・記録する機能です。UAMで記録するユーザ操作にはアプリケーションの使用、開いたウィンドウ、実行したシステムコマンド、ファイル操作、閲覧サイのURL、デバイス接続、画面キャプチャなどが含まれています。これにより端末使用が常に規定した業務範囲内であることを確認し、漏洩リスクがないかを常に監視してデータを保護します。ユーザ活動監視ソフトウェアも類似の録画と再生機能があり、さらに録画をログに入れ込むことで検索・解析しやすくさせているので、業務範囲外活動の調査に活用できます。
適度な組み合わせと運用で互いを補う
組織の需要を解析して、適切に各種保護システムの得意な箇所を運用して、一番効果的な組み合わせを見つけます。例えば一部DLP システムはDLPルールに一致するときだけ活動ログを記録するので、監査と事後鑑識時は事件の前後が追えなくなります。ネットワーク側のDLPも対応するプロトコルが限定されるので、社内環境から離れるとユーザデバイスの制御が疎かになるか制限が掛かります。システムはセキュリティだけでなく、承認申請管やシステム管理の複雑さも考慮しなければなりません。一定規模の組織になると、各部署の業務内容が大きく異なるので、情報漏洩防止システムの管理も自ずと難しくなります。ルールの複雑さ、事件発生時の対応フローなど、全て業務の進行に影響します。導入ハードルを下げるには安全性を妥協せず、対応状況が広くて管理が簡単で、ユーザへの影響が少ないシステムを選択するのが肝要です。