クラウドDLP (情報漏洩防止)とは

クラウドDLPが重要な理由

機密情報が紙に印刷されていた時代の情報漏洩防止策は、保管用のキャビネットに鍵をかけるだけというシンプルなもので済んでいました。現在では、データ センター、クラウド プロバイダー、エンドポイント デバイス間で伝達されるデータはその過程で無数の脆弱性の影響を受ける可能性があり、不正アクセスから保護するには、総合的な情報漏洩防止(DLP)戦略を実装する必要があります。

DLP戦略の策定にあたっては、ビジネス リーダーとITリーダーが協力して組織の「機密データ」の条件を定め、データの取り扱い方法について合意したうえで、その違反条件を明確化する必要があります。こうして定めた情報セキュリティ ガイドライン(データの分類、データ プライバシーとコンプライアンス情報、修復手順など)は、DLPポリシーに変換することが可能です。

さまざまなコンプライアンス基準(GDPR、HIPAA、PCI DSSなど)による罰金や業務上の制約を回避するためにDLPの実装を迫られている組織もあるかもしれません。しかし、データ侵害が起これば、エンド ユーザーの個人データが流出し、顧客を失ったり、ブランド価値に傷が付いたり、法的な責任を問われたりするリスクも出てきます。適切に定義されたDLPポリシーと、適切に管理されたサポート技術を利用することで、こうしたリスクは大幅に削減できます。

クラウドDLPのメリット

クラウドベースのDLPは、どのような組織に対しても以下のようないくつかのメリットを提供します。

• 柔軟な拡張性：増大するデータ量と変化する情報エコシステムのニーズに対応します
• インフラストラクチャー コストの削減：オンプレミスのハードウェアと関連する更新/メンテナンス費用を排除します
• あらゆる場所のユーザーおよび拠点の保護：データ センターへのバックホールを伴わずに実現します
• スピーディーな実装と構成：管理を要するハードウェアはなく、オンプレミスのDLPより利用できます
• クラウドからの自動更新：最新のインテリジェンスや機能をダウンタイムなしで提供します

クラウド情報漏洩防止技術

ごく簡単に言えば、DLPとは、保護が必要な機密データを特定し、それを保護するテクノロジーです。たとえば、使用中データ、転送中データ、保存データのいずれか(または任意の組み合わせ)を識別し、機密性の有無を判断するようなDLPソリューションが考えられます。このような機能を実現するためにDLPエージェントで用いられる技術には、さまざまなものがあります。

• ルールベース マッチング(正規表現):あらかじめ記述されたルールに基づいて機密データを識別します(例：16桁の数字はクレジット カード番号であるケースが多い)。ルールベース マッチングは誤検出率が高いため、通常、より詳細な分析の前に行う一次検査としてのみ利用されます。
• 完全データ一致(データベース フィンガープリンティング):すでにフィンガープリントが取得されている他の機密データ(通常はデータベース内に格納)と完全に一致するデータを識別します。
• 完全ファイル一致：基本的には完全データ一致(EDM)と同様の技術ですが、完全ファイル一致はファイルのコンテンツを分析することなく、一致するファイルのハッシュを識別します。
• Partial Document Matching:確立されたパターンやテンプレート(例：緊急医療施設で患者情報を入力する標準的なフォーム)と照合して、特定の機密データを識別するものです。
• 機械学習、統計解析など：与えられたデータ文字列が機密性を持つ可能性が高い場合にそれを認識できるよう、学習モデルに大量のデータを与え「トレーニング」する技術のグループです。特に非構造化データの識別に有効です。
• カスタム ルール：識別して保護するデータの種類が組織固有のものも多いため、最新のDLPソリューションでは独自のルールを作成して他のルールと合わせて実行できるようになっています。

機密データが特定された後、そのデータをどのように保護するかはDLPポリシーによって異なります。どのようにデータを保護するかは、なぜそのデータを保護したいのかと大きく関係します。

クラウドDLPの主なユース ケース

すでに見てきたように、機密データの保護は、顧客、収益、評判といった面での損失から組織を守り、業界規制や法的規制を順守することにもつながります。データを保護するためには、必然的にデータの内容と保管場所の特定が必要になるため、ここでもう1つ重要なユース ケースが出てきます。「データの可視化」です。

つまり、DLPソリューションの主なユース ケースは以下の3つになります。

• 転送中および保存状態の機密データの保護：DLPは、暗号化、アクセス制御の適用、疑わしいアクティビティーの監視を通して、複数のエンドポイント、ネットワーク、クラウド間で移動するデータや保存されているデータを保護します。
• 各種規制への準拠：DLPポリシーや関連技術によって、アクセス制御の施行、使用状況の監視、監査の実施が可能になり、組織として、GDPR、HIPAA、PCI DSSなどの規制に確実に沿う形で機密データを取り扱えるようになります。
• データの可視化：DLPはデータを可視化し、機密情報がどこで保管されどこへ移動しているのか、誰がアクセス権を持ちどのように使用されているのかなどに関するインサイトを提供します。これにより、脆弱性を特定したり、危険なアクティビティーを検出したりでき、ひいてはデータ侵害の修復や阻止が可能になります。

クラウドDLPソリューションの5つのタイプ

すべてのユース ケースやデータ損失のあらゆるリスクに1つのテクノロジーで対処することはできません。そのため、現在の効果的なデータ保護ソリューションには複数の機能が統合されています。最も一般的かつ重要なクラウドDLPテクノロジーをいくつか見ていきましょう。

1. クラウド アクセス セキュリティ ブローカー(CASB):エンドポイントとクラウド アプリ間のユーザー アクティビティーやデータ転送を監視および制御し、セキュリティ ポリシーを適用して、不正アクセス、データ漏洩、コンプライアンス違反を防止します。CASBは、クラウド環境におけるユーザーの行動、アプリの使用状況、データ ストレージを可視化します。
2. DLPソフトウェア：エンドポイント、メール、クラウド サービスなどのチャネル全体で、機密データが流出しないよう保護します。データの監視とポリシーの適用をリアル タイムで行うことで、侵害リスクを特定し、実際に侵害が起こることを防止できます。
3. ユーザーとエンティティーの行動分析(UEBA):ユーザー行動、アクセス パターン、システム イベントなどを監視、分析、関連付けすることで、異常や潜在的な脅威(悪意のある内部関係者、侵害されたアカウント、ラテラル ムーブメントなど)を検出します。
4. SaaSセキュリティ ポスチャー管理(SSPM):セキュリティ設定、アクセス許可、脆弱性の評価および管理を、さまざまなSaaSアプリ全体にわたって支援することで、セキュリティ ギャップに対処し、情報漏洩や不正アクセスに関連するリスクを軽減します。
5. ブラウザー分離：安全な環境でWebコンテンツを実行することで、悪意の可能性があるWebコンテンツ(ドライブバイ ダウンロード、マルウェア、フィッシングなど)がユーザーのエンドポイント、ネットワーク、機密データに直接アクセスしたり悪影響を与えたりするのを防ぎます。

クラウドDLPとデータの可視性

DLPを取り入れても、検出できないトラフィックがあれば情報漏洩を防止することはできません。クラウド内で移動するデータの量が増え続けているため、これは非常に重大な問題です。従来のネットワークベースのDLPでは、主に以下3つの点が課題となり、検査すべきトラフィックを確認できません。

• リモート ユーザー：ネットワークDLPで実現可能な可視性と保護レベルは、ユーザーの場所によって変わります。ネットワーク外のユーザーは、簡単に検査を回避し、直接クラウド アプリに接続できてしまいます。DLPやセキュリティ ポリシーが効果的であるためには、接続する場所や使用しているデバイスに関係なくユーザーを監視する必要があります。
• 暗号化：TLS/SSLで暗号化されたトラフィックが飛躍的に増加していますが、ネットワークベースのDLPでは復号して検査を行うことができません。
• パフォーマンスの制限：アプライアンスベースのDLPソリューションではリソースには限りがあるため、効果的な拡張を行い、増え続けるインターネット トラフィックのインライン検査に対応することができません。

クラウドファーストやモバイルファーストの環境におけるクラウドDLP

デジタル トランスフォーメーションに伴うデータ保護の課題に対処し、旧式のエンタープライズDLPが抱える弱点を克服するには、新しい考え方とそれに沿った技術が必要です。従来のハードウェア スタックをクラウド用に再構成する方法では不十分なうえ、非効率的です。一方、クラウドで構築されたDLPソリューションは、以下のような保護やサービスを実現しています。

• ネットワーク内外のすべてのユーザーに対する一貫した保護の提供：すべてのユーザーに包括的なデータ保護を提供できます。本社、拠点、空港、自宅など、あらゆる場所のユーザーを保護します。
• TLS/SSLで暗号化されたトラフィックのネイティブ インスペクション：現在の攻撃の85%以上が隠れているとされるトラフィックを検査でき、組織にとって非常に重要な可視性を得ることができます。
• インライン検査の柔軟な拡張性：すべてのトラフィックを検査し、疑わしいファイルや不明なファイルを隔離することで、侵害後のダメージ コントロールに頼ることなくデータの流出を防ぎます。

クラウドDLPにおける完全データ一致

DLPソリューションでは長きにわたり、クレジット カード番号や社会保障番号などの識別にパターンマッチングが使用されてきました。しかし、この方法は正確性に欠け、安全なトラフィックでも、保護対象として選択されたパターンが含まれているだけでブロックされることがあるため、大量の誤検出によってセキュリティ部門を悩ませることとなります。

完全データ一致(EDM)は、DLP技術における強力なイノベーションで、誤検出をほぼ発生させないレベルにまで精度を高めます。EDMはパターンの照合を行う代わりに、機密データのフィンガープリントを記録することで、記録したデータが不適切に共有または転送されないよう、データの移動の試みを監視します。

クラウドDLPのベスト プラクティス

最適なDLP戦略は組織のデータやニーズによって異なるため、ベスト プラクティスも組織によって変わってきます。それもこの記事全体を通じてお伝えしたい点の1つです。ここでは、あらゆる状況に当てはまる広範なベスト プラクティスをいくつかご紹介します。

• 最初に導入する際は監視モードのみで開始する。組織全体のデータの流れを把握することで、最適なポリシーを決定できます。
• ユーザー通知を通して従業員に最新情報を伝達する。ユーザーに周知しないままポリシーを施行して、ワークフローの混乱や従業員のストレスを招くことがないようにします。
• ユーザーが通知に関するフィードバックを送信できるようにする。(アクションの正当性を示したり、ポリシーの不備を指摘してもらったりして)フィードバックを基にポリシーを改善することができます。
• EDMなどの高度な分類手法を活用する。これによって誤検出を減らすことができます。
• TLS/SSLで暗号化されたトラフィックを復号できるソリューションを使用する。現在のWebトラフィックの大部分は暗号化されているためです。

Zscalerのクラウド情報漏洩防止で対策を始めましょう

リスクが増大し、データ保護に関する規制が拡大するなかで、組織はクラウド化やモバイル化によって生じるセキュリティ ギャップを解消しなくてはなりません。セキュリティ ギャップには、脆弱性に起因するものもあれば、設定ミスに起因するものもあります。

従来であれば、複雑なスタックにさらにアプライアンスを追加する対応を迫られていたことでしょう。しかし、現在はZscaler DLPでの対応が可能です。これは、Zscaler Data Protectionスイートの一部で、100%クラウドで提供されます。Zscaler DLPは、ユーザーやアプリケーションの場所を問わず、データ保護のギャップを解消すると同時に、ITのコストと複雑さを軽減します。

Zscaler DLPが提供する機能は以下のとおりです。

• あらゆる場所のユーザーとデータに対する一貫した保護
• インターネット、エンドポイント、メール、SaaS、プライベート アプリ、クラウド ポスチャー全体の保護
• 世界最大のインライン セキュリティ クラウドによるスケーラブルなTLS/SSLインスペクション
• 機械学習を活用した革新的なデータ検出を通じた合理的なワークフローおよびオペレーション