DLPとは?概要から機能や導入メリット、選定ポイントまでわかりやすく解説

コラム
#IT基礎知識
#セキュリティ
DLP

「DLP」をご存じでしょうか?DLPとは、情報の漏洩を防止するセキュリティツールやシステムのことです。従来の情報漏洩対策ツールと監視対象やカバー範囲、情報漏洩機能の有無が異なり、導入する企業が少なくありません。導入すれば、情報漏洩の防止だけでなく、リアルタイムな異常検知、コストや業務負担の軽減に役立ちます。

本記事では、DLPの概要や基本機能と導入メリット、選定する際の着眼点について詳しく解説します。DLPについて知りたい方、セキュリティ強化を図りたい方は、ぜひ参考にしてください。

DLPとは

DLPとは、Data Loss Preventionの略称で、機密データの紛失や外部への漏洩を防止・阻止するためのソフトウェア・システム・仕組みのことです。DLPでは、特定データの持ち出しやコピーを検知し、自動ブロックができます。また、機密データの特徴をDLPにインプットさせることにより、どのデータを対象とするかも自動判別してくれます。

DLPが注目されている理由

DLPが注目されている主な理由は、情報管理に対する重要性の高まりと内部からの情報漏洩防止です。近年はITツールやクラウドサービスを活用する企業が多く、サイバー攻撃も増加しています。また、内部の従業員から情報が流出するケースが少なくありません。以下は、独立行政法人情報処理推進機構が調査・発表した営業秘密の漏洩ルートに関するデータです。

出典:「企業における営業秘密管理に関する実態調査2020」報告書について|独立行政法人情報処理推進機構

上記によれば、中途退職者による漏洩が1位、現職従業員などの誤操作・誤認などによる漏洩が2位となっています。
万が一、個人情報や機密データが流出すれば、企業の信頼性やブランド価値の低下、自社システムの停止による損害を招きます。

ダークウェブアイのランディングページ

DLPと従来の情報漏洩対策(IT資産管理ツール)の違い

  DLP 従来の情報漏洩対策
対象範囲 機密データのみ 全ての情報
監視する対象 データそのもの ユーザーの行動
社内からの情報漏洩対策機能の有無 あり なし

DLPと従来の情報漏洩対策(IT資産管理ツール)における相違点は、上記の通りです。詳しく解説します。

対象範囲

従来の情報漏洩対策では全てのデータが対象となるのに対し、DLPが対象とする情報の範囲は機密データのみです。

範囲が広くなり、対象データ量が多くなればなるほど管理や運用コストが増加します。DLPは機密データのみを対象にするため、コストを抑え、作業効率が低下するリスクも抑えられます。従来の情報漏洩対策と比べ、効率的な対策が可能です。

監視する対象

従来の情報漏洩対策ではユーザーの行動を監視するのに対し、DLPは機密データそのものを監視します。。

例えば、従来の情報漏洩対策ではユーザーの操作ログにより、誰がいつ、どのような行動をしたかなどの確認が可能です。また、IDやパスワードなどの認証情報と権限管理で、ユーザーごとの行動を限定します。一方、DLPでは事前に登録した情報をもとに、機密データに対するアクションの監視や管理ができます。

社内からの情報漏洩対策機能の有無

DLPには、従来の情報漏洩対策にはない社内からの情報漏洩を防止する機能が実装されています。

従来の情報漏洩対策の場合、権限を持つユーザーが機密データにアクセスすれば、コピーやメール送信、印刷などにより外部への持ち出しが可能です。故意がなくてもミスで情報が流出するケースがあるでしょう。
DLPは、事前に定めた機密データに対する不正アクションが行われた際に、リアルタイムで検出しアラームを発します。また、操作の強制キャンセル機能も実装されているため、社内からの情報流出を防止することが可能です。

DLPがデータ判別を行う仕組み

DLPでは、以下により機密データか否かの判別を行う仕組みが取られています。

  • キーワードマッチング
  • 正規表現
  • フィンガープリント

順に解説します。

キーワードマッチング

キーワードマッチングは、テキスト・ファイル内のデータに特定のキーワードやフレーズが存在するで、機密データか否かを判断する方法です。例えば、特定の顧客名や「社外秘」「重要」などのキーワードを指定します。

ただ、キーワードマッチングは対象のキーワードを一つ一つ登録する必要があり、手間がかかるとともに抜け漏れが発生するリスクがあります。そのため、フィンガープリントと併用するケースが一般的です。

正規表現

正規表現とは、事前に定めた条件に一致するいくつかのいろいろな文字列を、一つの文字列形式で表現する表記法のことです。データに対して以下を行い、機密データを判別します。

  • 設定した正規表現と一致する文字列の検索
  • ある文字列が正規表現と一致するかの確認
  • 別の文字列への置換

例えば、以下の情報を設定したリストを作成します。

  • 顧客データ
  • 製品情報
  • 経営や財務データ
  • プロジェクト名
  • 従業員情報

ただ、正規表現もキーワードマッチング同様、登録作業に多くの手間がかかります。

フィンガープリント

フィンガープリントは「指紋」を意味する英語です。デジタル業界では、端末やブラウザの利用ユーザーを特定する情報群を指し、DLPではデジタルコンテンツの同一性確認を目的とする値の総称です。

フィンガープリントを活用すれば、特定キーワードや正規表現など完全一致する文字列・データではなくても、特徴が一致するもの・類似するものを重要データとして判別可能です。登録の手間がかからず、キーワードマッチングや正規表現との併用により、判別精度を高められます。

DLPの基本機能

DLPの基本機能は以下の通りです。

  • コンテンツやデータを監視する
  • デバイスを制御する
  • 印刷やコピーなどの操作を制限する
  • メールの送信をブロックする
  • Webサイトへのアクセスを制限する

順に解説します。

コンテンツやデータを監視する

サーバー上のコンテンツや機密データに対する操作をリアルタイムに監視し、コピーやWebへのアップロードなどを禁止します。また、USBメモリなど外部メディアへのコピーや保存も防止可能です。監視は、24時間365日行われるため、業務時間外であっても対策できます。

デバイスを制御する

パソコンやタブレット、スマートフォンなどのデバイスを制御し、情報漏洩の防止が可能です。ネットワークを経由して侵入するウイルスやマルウェアなどの脅威から、デバイスを保護する役割も果たします。
⇒パソコンがウイルス感染したらどうする?原因や症状、4つの対策方法について解説

また、アプリケーションの監視による違反の検知や、デバイスの暗号化・紛失対策も実装されています。自動で制御できるため、ユーザーへの負担もありません。

印刷やコピーなどの操作を制限する

メニュー(コマンド)・ショートカットキー操作や、ドラッグドロップによる機密データのコピーを制限します。また、プリンターやデジタルファイル出力などの操作も禁止でき、機密データの印刷も防ぎます。PrintScreenキーやキャプチャソフトを利用した画面キャプチャの防止も可能です。

メールの送信をブロックする

メールはユーザーの操作ミスや悪意ある第三者の不正利用により、機密データが流出する経路です。DLPでは、添付ファイルはもちろん本文の情報も判別し、転送を禁止します。
また、ウイルスやマルウェア、スパムメールなど、外部攻撃への対処も可能です。
⇒スパムとは?意味や迷惑メッセージの種類、危険性、対策を徹底解説!

Webサイトへのアクセスを制限する

インターネット上には、詐欺やフィッシングサイトなど、ウイルス感染・機密データの盗聴を目的とした悪意あるサイトが複数存在します。アクセスすれば、情報の漏洩やウイルス感染するリスクがあるでしょう。

DLPには、リスクが高いサイトや悪意あるサイトへのアクセスを制限する機能が実装されています。また、全員一律の制限ではなくユーザーごとのアクセス権限も設定できるため、各従業員の業務内容に応じた制限が可能です。

セキュリティ大全資料ダウンロード

DLPを導入するメリット

DLPを導入するメリットは以下の通りです。

  • 情報漏洩を防げる
  • リアルタイムで異常を発見できる
  • コストや業務負担の抑制につながる

一つずつ解説します。

情報漏洩を防げる

DLPの導入には、機密データを保護し情報漏洩を防止するメリットがあります。前述の通り、企業の保有する情報はサイバー攻撃だけでなく、ユーザーの故意やヒューマンエラーからも流出します。DLPは社内からの情報漏洩対策にも有効です。

リアルタイムで異常を発見できる

リアルタイムで異常を発見できる点もDLP導入のメリットです。従来の対策ツールでは、情報漏洩が発生した後に操作ログを検証することしかできません。原因を確認し今後の対策検討には役立ちますが、未然の防止は困難です。

DLPでは、異常を検知した際、即座に管理者への通知や操作のブロックができます。リアルタイムで異常の検知と対策が行えるDLPを利用すれば、リスクを抑えられるでしょう。

コストや業務負担の抑制につながる

DLPの導入は、コストや業務負担の抑制にも効果的です。企業は膨大な機密データを保有しており、その全てを人が監視する場合、多くの手間と人件費がかかります。

DLPはキーワードや正規表現、フィンガープリントの登録・設定に手間がかかりますが、登録すれば自動で監視してくれます。セキュリティ担当者の業務負担やコストを抑え、重要な情報の保護ができるでしょう。

DLPを選定する際の着眼点

DLPは複数あるため、自社に合うものの導入が重要です。ここからは、DLPを選定する際の以下の着眼点について詳しく解説します。

  • コスト
  • 機能やスペック
  • サポート内容

コスト

まず、コストを確認しましょう。DLPは他の情報漏洩対策ツールと異なり、運用に専門知識やスキルが不要で、運用におけるコストを抑えられます。
ただ、高額のDLPを導入すればコスト面のメリットがなくなります。

機能やスペック

DLPには、デバイスの制御や印刷・コピーの操作制限、メール送信のブロックなど、複数の機能が存在し、ツールにより実装されているものが異なります。自社でどの機能が必要かを検討しましょう。多くの機能が実装されたツールであればコストが高くなったり、制限が増えて業務に支障を及ぼすリスクがあります。

また、対応するOSやメモリ容量の確認も重要です。OSが合わないものやメモリ容量が大きいものを活用した場合、パソコンの停止や動作の遅延につながります。

サポート内容

サポート内容の確認もおすすめです。サポートが充実していれば、万が一トラブルが発生した際も迅速に対応してもらえます。

まとめ

DLPとは、情報の漏洩を防止するセキュリティツールやシステムのことです。導入すれば、情報漏洩の防止だけでなく、リアルタイムな異常検知、コストや業務負担の軽減に役立ちます。

近年のサイバー攻撃は高度化しており、情報漏洩を100%防ぐことは困難なため、漏洩をいかに早く察知し、適切な対応を取れるかが重要です。
情報漏洩監視ツール「ダークウェブアイ」は、会社のドメイン情報を入れるだけで「いつ」「どこから」「どんな情報が」漏れてしまったのか、一瞬で分かります。

ダークウェブアイ紹介資料ダウンロード

自社情報が漏洩していないか不安な方は、まずは自社の漏洩状況を確認してみてはいかがでしょうか?
⇒メールアドレスを入れるだけ!自社の漏洩状況をチェック!

まずはお気軽にご相談ください
お問い合わせフォーム

おすすめイベント・セミナー 一覧へ