お役立ち情報

ブログ

  • 2023.01.06. DLPとは?従来のシステムとの違いや仕組み・メリットなどを解説



    DLP(Data Loss Prevention)とは、重要なデータを検知・監視・保護し紛失や流出を防ぐためのセキュリティ対策製品のことです。あらかじめ登録した重要データのみをリアルタイムで効率よく保護できることから、近年注目されています。


    この記事では、DLPの基本情報を、従来システムやIT資産管理ツールなどと比較しながら解説します。DLPの仕組みや機能、導入するメリットにも触れるため、自社のセキュリティシステムにお悩みの方は、ぜひ参考にしてください。

     

      

     

    1. DLPとは?

    DLP(Data Loss Prevention)とは、重要データの紛失・流出を防ぐセキュリティ対策製品のことです。機密情報の検知や監視、保護などを行い、セキュリティを強化します。


    DLPに重要データの特徴を登録すると、通信情報の中から自動的に対象となるデータを識別します。識別されたデータを常に監視し、データの送信やコピーの制限などをして安全な状態を保つのがDLPの役割です。

     

     

    1-1. 従来のシステムとの違い

    DLPと従来のシステムの違いは、監視や保護の対象範囲です。従来のシステムはすべての情報が対象となり、ユーザーを監視することで漏洩対策を行います。ユーザーが増えて情報量が多くなると、運用の負担が増加するデメリットがありました。一方で、DLPは対象となるデータのみ監視するため、効率よく情報漏洩を防げます。


    また、DLPは正規ユーザーによる不正アクセスなども防げます。従来のシステムは不正ユーザーの情報漏洩は防げるものの、アクセス権限を持つ正規ユーザーの情報漏洩は防げませんでした。DLPはユーザーではなくデータ自体を監視しているため、USBによる持ち出しなどを検知すると自動で操作を中止します。

     

     

    1-2. IT資産管理ツールとの違い

    セキュリティツールには、DLPの他にIT資産管理ツールがあります。IT資産管理ツールは、コンプライアンス(法令遵守)と情報セキュリティ対策を目的に、ユーザーの操作を監視するツールです。ハードウェアやソフトウェアなどを管理し、不正利用やライセンスの期限切れを防ぎます。また、バージョンチェックを行い、アップデート対象のパソコンの検出なども行います。一方で、DLPはデータそのものを監視し、外部への情報流出を防ぐのが役割です。


    DLPとIT資産管理ツールは利用目的や機能が異なるため、どちらか1つ導入するだけでは対策として不十分になります。企業は、情報漏洩を防ぐDLPとセキュリティ対策をするIT資産管理ツールを両方とも取り入れ、対策を万全にすることが大切です。>

     

     

     

    2. DLPの仕組み・機能

    DLPは、「キーワードや正規表現」の指定と、「フィンガープリント」の登録によって機密情報を判別する仕組みです。判別したデータは、DLPのさまざまな機能によって監視・保護され、情報漏洩を防ぎます。


    ここでは、DLPがデータを判別する仕組みの詳細と、主な機能について紹介します。

     

     

    2-1. キーワード・正規表現によるデータの判別

    重要データを判別する方法として、キーワードや正規表現を指定しておき、条件に該当するデータを見分ける方法があります。氏名や住所、クレジットカードなど、特定のキーワードで判別したい場合に効果的です。


    ただし、指定したいキーワードや正規表現が多い場合、すべてを登録するには膨大な時間がかかります。キーワードの登録の手間を省くために、フィンガープリントと併用するのがよいでしょう。

     

     

    2-2. セキュリティソフトによる対策

    フィンガープリントは「指紋」という意味で、文書が改ざんされていないかチェックするためのデータを指します。DLPでフィンガープリントを登録しておけば、重要データや関連するデータの判別が可能です。


    たとえば、特定の文書データを登録した場合、文書の一部を書き換えても、キーワードや文書構造の特徴で機密情報かどうか判別します。データの類似性をチェックしているため、判別したいデータのフィンガープリントを登録することで類似する機密情報を検知できます。


    フィンガープリントを利用すれば、キーワードなどの登録の手間を省きつつ、データ判別の精度を上げることが可能です。

     

     

    2-3. 機密情報の監視・保護

    重要データを判別したら監視・保護し、外部流出の危険があったときはアラートなどで通知します。DLPが情報漏洩を防ぐために備えている機能として代表的なものは、以下の6つです。


    ・デバイス制御機能

    パソコンやスマートフォンからの情報漏洩防止のために、ネットワークやUSBなどを通じて侵入する脅威からデバイス機器を保護します。


    ・印刷制限機能

    重要データの流出を防ぐため、コピーや印刷、画面キャプチャなどの操作を制限・禁止します。


    ・Webセキュリティ機能

    フィルタリング機能により、有害な情報を含むサイトの閲覧を禁止します。また、リアルタイムでインターネットに送信されるファイルをチェックします。


    ・コンテンツ監視機能

    サーバーにある機密情報を自動的に判別し、リアルタイムで監視します。


    ・メールセキュリティ機能

    電子メール本文や添付ファイルに機密情報が含まれていた場合、転送を禁止します。ウイルスやマルウェアなどのサイバー攻撃にも対応し、データ損失を防ぎます。


    ・システム運用・管理機能

    どのように運用するか、個人・部門ごとに詳細な設定ができます。

     

     

     

    3. DLPのメリット

    DLPを導入すれば、情報漏洩を未然に防いだり、人的ミスによるデータ流出を防止したり、運用管理コストを削減したりできます。情報セキュリティリスクを大幅に減らせるため、より安全な運用ができるようになるでしょう。


    ここでは、DLPの主なメリットを3つ紹介します。

     

     

    3-1. リアルタイムの検知が可能

    従来のやり方では、操作ログを解析することで情報漏洩が発生しているかを検知していました。しかし、操作ログで分かるのは過去に実行された操作のみであるため、情報漏洩を未然に防ぐことができません。


    DLPならば機密情報を監視して解析を自動で行い、リアルタイムで不正や誤作動の検知が可能です。すぐに情報漏洩を検知できれば迅速な対応も取れるため、被害の拡大を食い止められます。

     

     

    3-2. 人的なミス・事故による情報漏洩を防止

    人的ミスや事故によって情報が漏洩することもあります。たとえば、メールに添付するファイルを誤り、機密情報を外部に流出させるケースです。ユーザーを監視する従来の方法では、人的ミスを防ぐことができませんでした。しかし、DLPは機密情報を判別できるため、誤ってメールを送信してもアラートで警告したり、送信をブロックしたりできます。


    また、DLPを導入することで、企業で設けているルールを緩和することも可能です。機密情報が入ったUSBの紛失事故を防ぐため、USBの使用を全面的に禁止している企業は数多くあります。DLPを導入すれば、データに機密情報が含まれているかどうか判別できるため、状況に応じてUSBの使用を認めることができるようになります。

     

     

    3-3. 管理・運用コストの削減

    人の目でも、機密情報かどうかを一つひとつチェックしていけば、情報漏洩を防ぐことは可能です。しかし、取り扱うデータの量は膨大であるため、人の手で行おうとすると管理・運用コストがふくれ上がります。時間もかかり、実際にすべてをチェックするのは現実的ではありません。


    DLPを利用すれば、キーワード・正規表現やフィンガープリントによるデータの判別で、機密情報を自動的に判別できます。人の手でチェックする必要がなくなるため、業務の生産性がアップし、管理・運用コストを削減することが可能です。高度なセキュリティ技術によって、より安全に管理することもできます。

     

     

     

    まとめ

    DLPは、従来型のセキュリティシステムと異なり、特定の重要データのみを保護します。重要データの識別にはキーワード・正規表現の他、フィンガープリントなどが活用されています。DLPのメリットは、リアルタイム検知や人的なミスの防止、管理・運用コストの削減などです。


    なお、セキュリティ対策を万全に行うためには、DLPだけでなく他のツールも組み合わせることが望ましいでしょう。DLP・IT資産管理・ウイルス対策など企業に必要なセキュリティ対策をトータルでサポートできるサービスをお探しの場合は、ぜひ「EXOセキュリティ」をご検討ください。