簡単なシステムログ解析からSIEM、情報漏洩保護システム(DLP)、エンドポイント保護(Endpoint Protection)、ユーザと実在機器の動作解析(UEBA)などソリューションが進化し続けている中、企業は各種専門システムを使って、社内の機密データを保持し、内部漏洩の脅威を抑えてきました。
この「専門」という言葉が曲者で、各システムにはメリットとデメリットがありますが、特定領域での運用には効果的です。例えばエンドポイント保護システムは情報の漏洩を防止する合理的機能を有しますが、そのコンセプトはウイルスや悪意のあるプログラムからの保護にあり、ユーザの行為や操作による脅威を対応する物ではありません。管理者権限を持つ悪意ユーザなどには無力です。一方、UEBAや社員監視 (UAM)ソリューションは機器、ネットワーク活動異常と脅威の対策が得意ですが、複雑な手段による情報窃取には向きません。
旧来のDLPはデータに向けているが、内部脅威はユーザこそが肝要になる
ここで言う旧来のDLPはコンテンツフィルタ型の DLPを指します。定義から言うと、DLPソフトウェアシステムの目的はデータの保護にあります。ネットワークの出口側に旧来ソフトウェアやネットワーク型のDLPでフィルタリングして、ネットワークトラフィックを解析すると同時に、データにも既存のセキュリティポリシーを参照して判断します。しかしこの場合はデータ操作の意図が区分されず、データ内容前後のコンテクストにも頓着しません。このようなソリューションでは大多数の内部脅威に対応できず、疑わしい行動とセキュリティインシデントも区別できません。さらなる解析を実施しないと、各端末動作の細かい差異を認識できません。
旧来DLPのコストが高い
ComputerWeeklyのアンケートで、DLPの導入と実施における一番高いハードルはコスト(32%)です。それだけでなく、システム構造の複雑度に応じて、ベンダーの専門サービス対応とユーザのトレーニングも必要になります。その上、既存構造の調整まで加えると、導入コストは予算レベルを大きく超えることにもなります。
DLPにおける設定と管理の難しさ
DLPは導入して即効果を発揮するようなものではなく、組織内の運用状況に応じて適宜設定する必要があります。ほとんどの制御ルール(キーワード検索、ブラックリスト、ホワイトリストなど)は手動で定義する必要があります。複雑なルール設定は時間がかかり、繰り返し調整と最適化をしなければいけません。大手企業なら対応できても、DLPへの調整メンテを諦めて時代遅れな状態で運用し続けることもしばしばあります。これにより、保護が無効になったり誤情報が生じたりなど、むしろ導入前より危険な状態になりえます。また、出口制御の先天的デメリットとして、一度設備を移動すると各種機能は前と同じように動作しない場合もあります。
DLPによるパフォーマンス低下
旧来DLPの欠点の1つは、プロセスの複雑さにあります。つまり、不適切な設定で作業パフォーマンスやチーム全体の安全性が犠牲になる可能性があります。考えられる要因は2つあります。まずはDLPの導入により、端末 (ほとんどのテキスト、本文の記録、制御には特徴比較演算が必要) やネットワーク(比較用の特徴を転送するため)の負荷が上昇した結果、性能が低下してアプリケーションが反応しない、果てはフリーズする場合です。次に、これらソフトウェアの実装方法は識別した情報を横取りして比較基準にするので、組織内のファイルや情報流通を阻害してしまい、生産性への悪影響になります。
UEBAでは負荷に耐えられない
UEBAソリューションは各ユーザのデータを大量に取得します。取得内容はウェブ操作、メール、キーログ、画面録画など多種多様で、解析担当者にはこれらのデータを解析して、警告やシステムレポートを生成するので、規模を見て二の足を踏む管理者も多いです。特に大手企業になると、UEBA ソフトウェアのフィルタリングや検索ルールを設定したところで、確認すべきレポートや会話ログが数千件に及ぶのは日常茶飯事でしょう。簡単に導入・運用できるものではありません。
解決方法:ユーザを中心にしたエンドポイントDLPと行動解析
不完全な製品ソリューションが市場に現れてからだいぶ時間が経ち、段々と技術が発展して、ベンダーの方針も統合ソリューションに転換しました。新世代のDLP ソリューション(エンドポイントDLP や eDLP[注])が頭角を現し、前述したソリューションの欠点を解消し、統合する可能性を見せています。ユーザの行動脅威検知、成熟したデータ中心のDLP漏洩予防技術が融合された製品になっています。ユーザの活動監視、メンバーの統合的な行動ログ(単純なイベントログではない)、端末の制御ルール項目などの機能が備わっています。この種のエンドポイントDLPソリューションには以下のメリットがあります。
- エンドポイントDLP のログ内容がより完璧
理想のエンドポイントDLP はユーザのアプリケーション操作、ネットサーフィン、メール、画面操作をすべて監視できます。人為的行動リスクの検知に活用し、悪意のある社員、共謀、破壊、窃取などの内部脅威を早い段階で発見できます。このユーザ活動の監視と行為解析を脅威検知ディープラーニングと合わせれば、旧来のネットワーク DLP より広く脅威を監視できます。
- エンドポイントDLPは誤報がすくない
統合ログ解析により、エンドポイントDLPは前後のコンテクストも把握できるので、情報漏洩の検知と阻止だけでなく脅威のソースにも辿ることができます。脅威となる可能性がある原因と影響を受ける端末、リソースさえ把握できれば、自ずと未来の脅威にも対策できるようになります。固定しきい値ルールや特定対象(ステーションやアドレスリスト)のみのソリューションに比べて、クライアントの意図するコンテクストを把握した仕組みで誤報を大きく減少します。
結論
ソリューションにはそれぞれ用途があります。需要を満たしている製品をすでに導入しているのあれば、変更する必要はないでしょう。しかし、現在導入しているソリューションに不満を感じている、新しいユーザ活動監視、内部脅威検知、情報漏洩保護、法対応管理ソリューションを探しているのであれば、エンドポイントDLPを推奨します。重要なのはユーザの操作を禁止するのではなく、権限を持つユーザの行動把握です。
[注]旧来DLPにもエンドポイントプログラムがありますが、主な機能はネットワーク転送、テキストスキャンなので、ネットワークエージェントに属していて制御機能はほとんど備わっていません。