データ損失防止 (DLP) データ損失防止 (DLP) とは
データ損失防止 (DLP) とは、機密データの消失、誤用、権限のない個人によるアクセスを防ぐように設計されている包括的な戦略、テクノロジー、およびプロセスのセットのことです。DLPソリューションは、個人データ、財務記録、自社の業務情報などの極めて重要な情報を組織が保護し、ますますデジタル化が進む状況で安全に業務を遂行するために不可欠です。
- DLPの重要性
- データ損失防止とデータ漏洩防止の違い
- データ損失防止とクラウドアクセスセキュリティブローカーの違い
- DLPの主要構成要素
- DLPの動作
- HPE Aruba Networking SSEによるユニバーサルDLP
DLPの重要性
データ侵害がますます頻繁に発生し巧妙化している状況では、DLPの重要性はどれだけ強調してもし過ぎることはありません。DLPが組織にとって極めて重要である主な理由は次のとおりです。
- コンプライアンス: 多くの業界では、機密データの保護を義務付ける厳格な規制が適用されています。たとえば、欧州の一般データ保護規則 (GDPR) および米国の医療保険の相互運用性と説明責任に関する法律 (HIPAA) では、個人情報および保健関連情報を保護するための対策を実施することを組織に義務付けています。不履行の場合は、高額の罰金や法的措置などの厳しい処罰を受ける可能性があります。
- リスク管理: DLPは、組織がデータ損失に関連するリスクを特定および軽減するのに役立ちます。データ侵害は、重大な経済的損失、評判の失墜、顧客の信頼喪失につながる可能性があります。データセキュリティを積極的に管理することで、組織はこれらのリスクを最小限に抑え、資産を保護することができます。
- 顧客の信頼: 消費者がプライバシーについてますます懸念する時代において、データ保護への取り組みを示すことは、顧客の信頼を構築し維持するために不可欠です。データセキュリティを優先する組織は、顧客ロイヤルティおよび顧客との長期的な関係を育む可能性が高くなります。
データ損失防止とデータ漏洩防止の違い
データ損失防止 (DLP) とデータ漏洩防止という用語はしばしば同じ意味で使用されますが、データセキュリティのコンテキストでは異なる意味を持つ場合があります。
- データ損失防止 (DLP): この用語は、機密データの損失を防ぐことを目的とするすべての戦略やテクノロジーを広く網羅します。これには、さまざまな環境 (ネットワーク、エンドポイント、クラウド) にわたってデータを識別、監視、保護することが含まれます。DLPは、誤削除、ハードウェア障害、不正アクセスによるデータの消失を防ぐことに重点を置いています。
- データ漏洩防止: この用語は特に、機密データが漏洩することや権限のない第三者に開示されることを防ぐために講じられる対策を指します。データ漏洩は、メール、ファイル共有、クラウドストレージなど、さまざまなチャネルを通じて発生する可能性があります。データ漏洩防止は、転送中のデータの保護、および不正な共有やアクセスを防止するポリシーの適用に重点を置いています。
どちらの概念も機密データを保護することを目的としていますが、DLPはデータ保護のあらゆる側面を含む、より広い用語であるのに対して、データ漏洩防止は不正なデータ漏洩の防止に特に重点を置いています。
データ損失防止とクラウドアクセスセキュリティブローカーの違い
もう一つの誤解は、データ損失防止 (DLP) とクラウドアクセスセキュリティブローカー (CASB) は同じであるというものですが、サイバーセキュリティ戦略においては両方のテクノロジーが異なる役割を果たしながらも補完し合います。
DLPは機密データを不正アクセスや漏洩から保護することに重点を置いており、蓄積情報と転送中情報の両方がセキュアな状態に保たれます。多くの場合、暗号化やアクセス制御を通じて、データ侵害を監視、検出、防止するためのポリシーやテクノロジーが採用されています。最善のDLPは、単一のトラフィックタイプに焦点を合わせるだけでなく、データの送信先に関係なくデータがセキュアであることを保証します。
一方、CASBはユーザーとクラウドサービスまたはSaaSアプリケーションの間の仲介役として機能し、クラウドアプリケーションに対する可視化と制御を提供します。CASBは、より広範なSSEプラットフォーム内で使用されることが多く、ユニバーサルセキュリティポリシーの適用、ユーザーアクセスの管理、コンプライアンスの監視を行い、組織がクラウド環境を脅威やデータ漏洩から保護するのに役立ちます。
DLPとCASBを組み合わせることで、SSEプラットフォーム全体に堅牢なセキュリティ機能が提供されます。
DLPの主要構成要素
DLPには、機密データを保護するために連携して動作する次のような主要構成要素があります。
1. データ識別
DLP戦略の第一歩はデータ識別であり、さまざまなプラットフォーム全体にわたって機密情報を検出して分類します。これは、データベース、ファイル共有、クラウドストレージをスキャンして重要なデータがどこに存在するかを特定する自動化されたシステムである、データ検出ツールによって実現されます。
さらに、個人を特定できる情報 (PII) や保護対象保健情報 (PHI) などの機密データとなるものを定義するための分類ポリシーが確立され、組織はこれらのデータにタグ付けし、保護の取り組みに優先順位を付けることができます。
2. データ監視
次はデータ監視であり、データの使用状況と移動を継続的に監視して潜在的な脅威を検出します。これには、データへのアクセスや転送を追跡するためのリアルタイム監視や、不正アクセスの試みやデータの抽出のような異常なアクティビティの特定などがあります。
監査証跡を維持することも非常に重要です。これによって、データのやり取りのログによって侵害が発生した場合の調査が容易になり、組織内でデータがどのようにアクセスおよび利用されているかに関するインサイトが提供されます。
3. データ保護
最後はデータ保護であり、機密情報を保護するための対策が実施されます。よく用いられる戦略として暗号化があります。これによって、適切な復号キーがなければ読み取れないようにデータがエンコードされるため、蓄積データと転送中データの両方が保護されます。さらに、ユーザーの役割と責任に基づいてデータアクセスが制限されるようにアクセス制御が適用され、ロールベースのアクセス管理 (RBAC) によって、許可された担当者だけが機密情報にアクセスできるようになります。これらの構成要素を組み合わせることで、機密データに関連するリスクを効果的に軽減する包括的なDLP戦略が形成されます。
DLPの動作
- コンテンツ検査: この手法には、機密情報を特定するためにファイルと通信の内容を分析することを伴います。たとえば、DLPシステムはメールをスキャンしてクレジットカード番号、社会保障番号、その他の機密データを検出し、潜在的な違反に対してブロックするかアラートを発することができます。
- コンテキスト分析: データが使用されるコンテキストを理解することは、効果的なDLPに不可欠です。これには、通常のアクティビティと不審なアクティビティを区別するためにユーザーの行動パターンを分析することが含まれます。たとえば、ユーザーが通常は特定の場所からデータにアクセスしていて、見慣れない場所から突然アクセスしようとすると、アラートがトリガーされる可能性があります。
- ポリシー適用: データをどのようにアクセスおよび共有できるかを規定するルールを実装することは、DLPの基本的な側面です。たとえば、機密ファイルの組織外への転送を自動的にブロックすることや、そのような試みがあった場合に管理者に警告することができます。
