みなさんこんにちは、Zscaler JapanSEチームの武井です。
今回のブログでは、11月22日のセミナーで発表した情報漏洩防止(DLP)の新機能についてご紹介します。
まず、情報漏洩防止(DLP)の歴史を振り返ります。
DLP機能が登場した当初は、データはオンプレミス環境に存在していました。そのため当時はオンプレミス環境にDLP機能を展開し対策を行なっていましたが、機密データの定義や設定が非常に複雑であり運用が非常に難しいソリューションでした。
その後SaaSソリューションの利用が増加しデータがクラウドにシフトし、また、リモートワークなどの推進によりデータの通信経路の多様化が進み、データがどこにでもある時代が到来しています。
CASBというソリューションが数年前に登場しましたが、データはSaaS上のみにあるわけではなく、また運用の複雑性という課題は残り続けており、情報漏洩保護の課題を解決することはできていません。
実際に弊社Threatlabz レポートによると、毎日平均 10,000 件のデータ損失イベントが確認されており、1回のデータ侵害が企業に与えるコストとして約435万ドルかかる可能性があります。(図1)
図1:データ漏洩が与える影響について
このような状況の中で、DLPの課題を解決するためには、1つの専用プラットフォームに各機能を統合したうえで、シンプルな運用と展開を実現するためのアプローチが必要となっています。
これらの課題を解決するために、Zscalerでは大きく3つの機能のリリースを予定しています。
・設定不要のデータ自動分類
・全ての経路を網羅したDLP
・ ワークフローの自動化
それぞれどのような機能なのか、簡単にご紹介します。
・設定不要のデータ自動分類(Data Dicovery Dashbord)
これまでのDLP機能では、事前に機密データの定義が必要でした。例えば金融関連の情報を定義する場合は、クレジットカード番号のパターンを正規表現等で定義する必要がありました。
今回リリース予定の設定不要のDLP(Data Dicovery Dashbord)では、これまでのような事前定義をせずに、弊社の(開発した)AI&MLによって自動的にデータを分類し可視化することが可能です。(図2)
図2:データ自動分類のイメージ
また、誰が、どのアプリケーションに対して、どのようなデータを転送したのか、という情報もダッシュボード上に表示されますので、一目でデータフローも確認することが可能です。(図3)
図3:データフローの可視化イメージ
本機能を利用することにより、細かい事前定義/設定をせずとも、どういったデータが、どのような経路で保存されたのかを可視化することが可能です。
・全ての経路を網羅したDLP
これまでZIA(Zscaler Internet Access)では、Webトラフィック(HTTP(S))および、企業SaaS上に保存されているデータ(APIベースのCASB)によるDLP機能を提供しておりましたが、今後インラインE-mailおよびエンドポイントでのDLPの提供も予定しています。
本機能を利用することでAPI連携ができない個人メールへ対するDLP適用や、端末上のUSBやネットワーク共有への書き込み等を制御することが可能となり、網羅的なDLPが実現できます。
図4:エンドポイントDLPのイメージ
・ Workflow Automation
DLPポリシー違反が発生した際の運用フローを簡素化するソリューションの提供を予定しています。本ソリューションでは、例えば社員が機密情報の入ったプレゼン資料を個人メールに送信するインシデントが発生した際、DLPで検知をするのはもちろんのこと、検知の詳細確認(図5)や、その後のエンドユーザへ対する通知(図6)、マネージャへのエスカレーションなどの運用を1つのUI上で管理することが可能です。
図5:インシデントの確認画面イメージ
図6:ユーザへ対する通知イメージ
これらの機能を活用した上で、データがどこにでもある時代においても情報漏洩のリスクを削減することが可能となります。例えば、
・通常数カ月かかるデータ保護プログラムを数時間に短縮することができる
・全てのチャネルでデータ保護を1つのプラットフォームに統合できる
・ワークフローを自動化して運用の簡素化できる
今回発表した以外にも様々な機能がありますので、情報漏洩防止(DLP)をご検討中の方、これからご検討を始める方がいらっしゃいましたら、是非ご相談ください。
