全2560文字
PR

 ゼロトラストネットワークを構築するのに必要となる技術を解説する本特集「ゼロトラストを支える技術」。第3回は、機密情報の漏洩リスクを低減する「情報漏洩防止(DLP)」を取り上げる。DLPは外部に出てはならないデータを監視し漏洩を防ぐ“監視員”の役割を果たす。

 DLPはパソコンやサーバー、クラウドなどに保管した機密情報を含むファイルが外部に漏洩するのを防ぐ機能である。方式は機能を実行する場所によってエンドポイントDLP、ネットワークDLP、クラウドDLPの3つに大別できる。エンドポイントDLPはパソコンにエージェントソフトを導入する方式で、パソコン内にあるファイルのコピーやメール送信などを制御したり、USB接続した外部ストレージなどへの保存を制御したりできる。

図 DLPの3分類
図 DLPの3分類
[画像のクリックで拡大表示]

 ネットワークDLPはネットワークを流れるデータをリアルタイムに監視することで、情報漏洩のリスクを低減したりコンプライアンス対応をしたりする。クラウドDLPはSaaS(ソフトウエア・アズ・ア・サービス)にあるデータの漏洩を防ぐ。SaaSが公開するAPI(アプリケーション・プログラミング・インターフェース)を呼び出してSaaSと連携し、SaaSに保管されているファイルの中身をチェックしたり、ファイルのダウンロードを禁止したりできる。

場所ではなくデータに着目して保護

 ゼロトラストにおけるDLPの役割は、ネットワークという場所ではなくファイルに着目して、機密情報を保護する点にある。ゼロトラスト以前の境界型セキュリティーの考え方においては、ファイアウオールなどによって守られた社内ネットワークを信頼できる安全な場所と認識し、保護すべきファイルはその中にとどめ置く、という手法が採られていた。

表 DLPの主な機能
機能名概要
タグファイルに付与するメタデータで、DLPが機密情報を検出するのに用いる
DLPポリシーキーワードなどDLPがファイル中から検索する機密情報に関するポリシー。DLPベンダーが「マイナンバーと思われる数字列と住所や氏名と思われる文字列が含まれていたら個人情報」といった具合に、ポリシーをテンプレートとして提供してもいる
画像認識機能画像ファイルに含まれる文字列やパスポートなどのスキャンを認識する機能
監視機密情報の流出を端末、ネットワーク経路などで監視する仕組み。ファイルのメール送信やWebサイトへのアップロード、SaaS(ソフトウエア・アズ・ア・サービス)からのダウンロード、USBメモリーなどの外部ストレージへのコピーなども監視する
アクション機密データの漏洩リスクを検知した際に、漏洩を防止するためユーザーに対してアクションを起こす機能。情報共有のブロックや多要素認証、管理者へのアラートなどによって漏洩を防ぐ

 しかしゼロトラストの考え方においては、社内ネットワークを安全な場所とは見なさない。またファイルの社外持ち出しを禁止するという手法は、リモートワークが必須となった現在においては従業員の生産性を大きく阻害する。社内であっても社外であっても、クラウド上であっても機密情報を保護できる対策が求められており、それにDLPが合致した。ファイルの暗号化と組み合わせれば、社外に持ち出したパソコンを紛失した場合などの対策にもなる。

 DLPにおいては、どのような情報をどう保護するのか「ルール」を設定する。機密情報を定義して検出できるようにするルールと、機密情報を検出したときに実行するアクションを定義するルールの2つを定める。これらのルールをDLPポリシーと総称する。

キーワード検索やAIで運用負荷低減

 機密情報の定義のやり方だが、従来は機密情報を含むファイルに対してキーワードなどに基づくタグ(メタデータ)を付与し、DLPはタグの種類によってファイルに機密情報が含まれるかどうかを判断していた。つまりファイル一つひとつに対して個別にタグを付与する必要があった。