セキュリティ情報

2018/02/28

知っておいて損なし: ここまでできる最新の情報流出対策(1)
– データの体系に合わせた検出アルゴリズムで的確な検出を実現 –

● IT業界のトラウマとなった「DLP」

古くからIT業界に携わる方であれば、「情報流出対策」と耳にして最初に思い浮かべるのは「DLP(Data Loss Prevention)」ではないだろうか。しかも、効果が不十分であり「実用的ではない技術」との印象を持っているかもしれない。大きな期待のもと登場した「DLP」だったが、運用でIT担当者に高い負荷がかかる一方、効果が得られないという評価が定着した感は否めないだろう。
日本では2005年に個人情報保護法が施行されたが、その後も企業や公的機関における情報漏えい事件が後を絶たなかった。そのこともあって、2008年ごろにはDLP製品が多数登場した。
DLP製品は、機密情報を含むファイルのフィンガープリントを登録しておき、該当ファイルがウェブ経由の通信やメールの添付ファイル、外部デバイスへと持ち出されたことを検出し、遮断する。そのコンセプトで注目が高まり、様々な企業で導入の検討や評価が行われた。しかし、実際導入されたのは一部に留まり、広く普及しなかったのは先述の通りだ。主な理由を3つ挙げるとすれば、以下のとおりだ。

理由1.部署によって「機密性」の定義にギャップがあり、一意なポリシーを定義できなかった
理由2.ファイルに含まれる「キーワード」や「ファイルハッシュ値」に依存する検出ポリシーが中心だったため誤検出が運用を圧迫した
理由3.想定されるすべてのデータ転送経路を網羅(図1)しなければDLP対策の効果は得られず、結果として導入コストが高くなる

DLPに求められる網羅性とその役割


図1:DLPに求められる網羅性とその役割

● データの体系に合わせた検出を

従来、データ保護についておざなりだった日本だが、改正個人情報保護法やEUの一般データ保護規則(GDPR)などの制定を受け、意識も高まりつつある。クラウドの活用を含め、データを活用するあり方について多くの企業が見直し段階に入っている。

今やクラウドにおいても、SFDC、Oracleなどのデータベースサービスやファイル共有サービスが台頭してきた。多くの企業が活用しており、オンプレミスと同様にデータの可視化や制御が求められている。

しかし、データと言っても幅が広い。テキスト、画像、ファイル、データベース情報など、フォーマットも異なる。今後はさらにウェブ、メール、クラウド、オンプレミスの端末やサーバなど全方位で機密情報の正確な検出が求められる。

そのような状況のなか、再び最新のDLP技術に注目が集まっている。昨今よく耳にする「CASB」もそのひとつだ。CASBは、クラウドとやり取りされるデータを自動検出してポリシーに当てはめ、不用意な外部公開や流出を防ぐための技術であり、データ検出の技術自体はまさに「DLPそのもの」と言っても良い。

従来の課題に対して今日の「DLP」がどのように対処しているのか、実はあまり知られていない。今回と次回の2回にわけて最新のDLPが持つ検出ロジックについて、DLP製品の実績を10年以上持つシマンテック社のDLP製品を例に挙げて紹介してみたい。

● 検出ロジック1:コンテンツ表現の適合性チェック

まずは「検出ロジック」について。これは、コンテンツ表現の適合性をチェックするものだ。これは昨今の「法規制」に最も効果を発揮する。従来の「キーワード」に基づく検出であることに変わりはないが、各法規制やコンプライアンスに紐づくキーワード群を纏めたテンプレートを活用することで問題を解決している。

法規制のもとでは、1件でも規制に抵触するデータが漏洩すれば、一般的に報告義務や説明責任および対策などが求められる。漏洩リスク回避したい場合、該当するデータが1件でも含まれるファイルやメールを検出した際に、検出ファイルをブロックしたり、暗号化するポリシーを適用すれば良い。一方、生産性を優先したい場合は、ファイル共有の事実をログで保存しておけば、万が一の際にも説明責任を果たすことができるはずだ。

2018年5月までに対応しなければならないGDPRについても、下記の図のようにGDPRの定める個人データを検出するため、業界ごとに細かく定義したルールセットを用意している。「抜け」や「漏れ」のない形で法規制に抵触するデータを検出することが可能だ。

Symantec DLPが対応しているコンテンツ表現適合性チェックテンプレート


図2:Symantec DLPが対応しているコンテンツ表現適合性チェックテンプレート

また一連の対処を自動化することで、企業がGDPR準拠のために必要な、「個人データの漏洩に対し技術的対策を打つ(努力をする)こと」「万が一のインシデントの際のための説明責任を果たせること(すなわちデータ通信の履歴を把握できていること)」等に対応でき、日本企業が苦手としたデータに主体性を持たせたビジネス展開が可能となる。

DLPと聞くとデータのやり取りが制限され、業務を阻害するイメージを持つ方もいるかもしれない。しかし、DLPの本来の目的は「法規制などに抵触しないデータのやり取りを担保する」ことであり、むやみにユーザの生産性を下げるものではない。

むしろ、リテラシーの低いユーザはDLPの警告によってデータの正しい活用を意識するようになる。クラウドに関しても監視されている抑止効果が働くことで、適切なクラウド活用に繋がることが期待できる。

今回はテンプレートを活用したキーワードに基づく検出テクニックを紹介したが、やみくもにキーワード登録してしまうと、関連性のないファイルの誤検出に繋がるケースがある。企業内部で定義される機密ファイルを網羅する方法については、次回取り上げる。またデータベースに保存されたデータや画像データ、機密フォーム文書などに対応した検出ロジックについて紹介するので期待していただきたい。

セキュリティ情報トップへ戻る

シマンテック セールスインフォメーション(法人のお客様向け)

※2014年2月17日よりお問い合わせ番号が下記のものに変更となりましたのでご注意ください。

電話でのお問い合わせ
03-4540-6226
受付時間:10:00~12:00、13:00~17:00
月曜日~金曜日(土・日・祝日を除く)
WEBからのお問い合わせ
お問い合わせフォーム
セキュリティの緊急事態発生時は
インシデントレスポンスサービス
Email : incidentresponse@symantec.com
0066-33-813-303(フリーダイヤル 9:00-17:30* )
*時間外は留守電もしくは英語対応になります。
お問い合わせの前に
お問い合わせが集中しお電話がつながりにくくなる場合がございますが、水曜日、金曜日は比較的お電話がつながりやすい傾向にあります。
なお平日の10:00~11:00及び15:00~17:00の時間帯はお待たせする可能性がございます。また月末月初やGW/夏休み前後、年末にはお問い合わせが集中することが予想されます。