/ クラウドDLP (情報漏洩防止)とは
クラウドDLP (情報漏洩防止)とは
クラウドDLPが重要な理由
機密情報が紙に印刷されていた時代の情報漏洩防止策は、保管用のキャビネットに鍵をかけるだけというシンプルなもので済んでいました。現在では、データ センター、クラウド プロバイダー、エンドポイント デバイス間で伝達されるデータはその過程で無数の脆弱性の影響を受ける可能性があり、不正アクセスから保護するには、総合的な情報漏洩防止(DLP)戦略を実装する必要があります。
DLP戦略の策定にあたっては、ビジネス リーダーとITリーダーが協力して組織の「機密データ」の条件を定め、データの取り扱い方法について合意したうえで、その違反条件を明確化する必要があります。こうして定めた情報セキュリティ ガイドライン(データの分類、データ プライバシーとコンプライアンス情報、修復手順など)は、DLPポリシーに変換することが可能です。
さまざまなコンプライアンス基準(GDPR、HIPAA、PCI DSSなど)による罰金や業務上の制約を回避するためにDLPの実装を迫られている組織もあるかもしれません。しかし、データ侵害が起これば、エンド ユーザーの個人データが流出し、顧客を失ったり、ブランド価値に傷が付いたり、法的な責任を問われたりするリスクも出てきます。適切に定義されたDLPポリシーと、適切に管理されたサポート技術を利用することで、こうしたリスクは大幅に削減できます。
クラウド情報漏洩防止のメリット
クラウドベースのDLPは、どのような組織に対しても以下のようないくつかのメリットを提供します:
- 増大するデータ量と変化する情報エコシステムのニーズに対応できる簡単なスケーラビリティー
- オンプレミスのハードウェアと関連する更新/メンテナンス費用の排除によるインフラストラクチャー コストの削減
- データ センターにバックホールすることなく、場所を問わずユーザーおよび拠点を保護
- 管理するボックスを持たずオンプレミスのDLPよりもスピーディーな実装と構成
- クラウドからの自動更新により、ダウンタイムの心配なく最新のインテリジェンスおよび機能を提供
クラウド情報漏洩防止技術
簡単に言うと、クラウドベースのDLPを含むDLP技術は、保護が必要な機密データを特定し、それを保護することで機能します。DLPソリューションは、使用中、転送中、または保存されているデータ(もしくは任意の組み合わせ)を識別し、機密性があるかどうかを判断するようにデザインできます。この実践のために、DLPエージェントは以下のような多くの各種技術を使用できます。
- ルールベース マッチング(正規表現):あらかじめ記述されたルールに基づいて機密データを識別します(例:16桁の数字はクレジット カード番号であるケースが多い)。ルールベース マッチングは誤検出率が高いため、通常、より詳細な分析の前に行う一次検査としてのみ利用されます。
- 完全データ一致(データベース フィンガープリンティング):すでにフィンガープリントが取得されている他の機密データ(通常はデータベース内に格納)と完全に一致するデータを識別します。
- 完全ファイル一致:基本的には完全データ一致(EDM)と同様の技術ですが、完全ファイル一致はファイルのコンテンツを分析することなく、一致するファイルのハッシュを識別します。
- Partial Document Matching:確立されたパターンやテンプレート(例:緊急医療施設で患者情報を入力する標準的なフォーム)と照合して、特定の機密データを識別するものです。
- 機械学習、統計解析など:与えられたデータ文字列が機密性を持つ可能性が高い場合にそれを認識できるよう、学習モデルに大量のデータを与え「トレーニング」する技術のグループです。特に非構造化データの識別に有効です。
- カスタム ルール:識別して保護するデータの種類が組織固有のものも多いため、最新のDLPソリューションでは独自のルールを作成して他のルールと併せて実行できるようになっています。
機密データが特定された後、そのデータをどのように保護するかはDLPポリシーによって異なります。どのようにデータを保護するかは、なぜそのデータを保護したいのかと大きく関わってくるのです。
クラウドDLPの主なユース ケース
すでに見てきたように、機密データの保護は、顧客、収益、評判といった面での損失から組織を守り、業界規制や法的規制を順守することにもつながります。データを保護するためには、必然的にデータの内容と保管場所の特定が必要になるため、ここでもう1つ重要なユース ケースが出てきます。「データの可視化」です。
つまり、DLPソリューションの主なユース ケースは以下の3つになります。
- 転送中および保存状態の機密データの保護:DLPは、暗号化、アクセス制御の適用、疑わしいアクティビティーの監視を通して、複数のエンドポイント、ネットワーク、クラウド間で移動するデータや保存されているデータを保護します。
- 各種規制への準拠:DLPポリシーや関連技術によって、アクセス制御の適用、使用状況の監視、監査の実施が可能になり、組織として、GDPR、HIPAA、PCI DSSなどの規制に確実に沿う形で機密データを取り扱えるようになります。
- データの可視化:DLPはデータを可視化し、機密情報がどこで保管され、移動しているのかや、誰がアクセス権を持ち、どのように使用されているのかなどに関するインサイトを提供します。これにより、脆弱性を特定したり、危険なアクティビティーを検出したりすることができ、ひいてはデータ侵害の修復や阻止が可能になります。
クラウドDLPソリューションの5つのタイプ
すべてのユース ケースやデータ損失のあらゆるリスクに1つの技術で対処することはできないため、現在利用できる効果的なデータ保護ソリューションには複数の機能が統合されています。具体的に最も一般的で重要なクラウドDLP技術をいくつか見てみましょう。
- クラウド アクセス セキュリティ ブローカー(CASB):エンドポイントとクラウド アプリ間のユーザー アクティビティーやデータ転送を監視および制御し、セキュリティ ポリシーを適用して、不正アクセス、データ漏洩、コンプライアンス違反を防止します。クラウド環境におけるユーザー行動、アプリの使用状況、データ ストレージを可視化します。
- DLPソフトウェア:エンドポイント、電子メール、クラウド サービスなどのチャネル全体で、機密データが流出しないよう保護します。データの監視とポリシーの適用をリアル タイムで行うことで、侵害リスクを特定し、実際に侵害が起こることを防止できます。
- ユーザーとエンティティーの行動分析(UEBA):ユーザー行動、アクセス パターン、システム イベントなどを監視、分析、関連付けすることで、異常や潜在的な脅威(悪意のある内部関係者、侵害されたアカウント、ラテラル ムーブメントなど)を検知します。
- SaaSセキュリティ態勢管理(SSPM):セキュリティ設定、アクセス許可、脆弱性の評価および管理を、さまざまなSaaSアプリ全体にわたって支援することで、セキュリティ ギャップに対処し、データ漏洩や不正アクセスに関連するリスクを軽減します。
- ブラウザー分離:安全な環境でWebコンテンツを実行することで、悪意の可能性があるWebコンテンツ(ドライブバイ ダウンロード、マルウェア、フィッシングなど)がユーザーのエンドポイント、ネットワーク、機密データに直接アクセスしたり悪影響を与えたりするのを防ぎます。
クラウドDLPとデータの可視性
DLPを取り入れても、検知できないトラフィックがあれば情報漏洩を防止することはできません。クラウド内で移動するデータの量が増え続けているため、これは非常に重大な問題です。従来のネットワークベースのDLPでは、主に以下3つの点が課題となり、検査すべきトラフィックを確認できません。
- リモート ユーザー:ネットワークDLPで実現可能な可視性と保護レベルは、ユーザーの場所によって変わります。ネットワーク外のユーザーは、簡単に検査を回避し、直接クラウド アプリに接続できてしまいます。DLPやセキュリティ ポリシーが効果的であるためには、接続する場所や使用しているデバイスに関係なくユーザーを監視する必要があります。
- 暗号化:TLS/SSLで暗号化されたトラフィックが飛躍的に増加しており、これを復号して検査できないネットワークベースのDLPの場合、膨大な盲点が残ります。
- パフォーマンス上の制約:アプライアンスベースのDLPソリューションではリソースには限りがあるため、効果的な拡張を行い、増え続けるインターネット トラフィックのインライン検査に対応することができません。
クラウドファーストやモバイルファーストの環境におけるクラウドDLP
デジタル トランスフォーメーションに伴うデータ保護の課題に対処し、旧式のエンタープライズDLPが抱える弱点を克服するには、新しい考え方とそれに沿った技術が必要です。従来のハードウェア スタックをクラウド用に再構成する方法では不十分なうえ、非効率的です。一方、クラウドで構築されたDLPソリューションは、以下のような保護やサービスを実現しています。
- ネットワーク内外のすべてのユーザーに対する一貫した保護の提供:すべてのユーザーに包括的なデータ保護を提供できます。本社、事業拠点、空港、自宅など、あらゆる場所のユーザーを保護します。
- TLS/SSLで暗号化されたトラフィックのネイティブ インスペクション:現在の攻撃の85%以上が隠れているとされるトラフィックを検査でき、組織にとって非常に重要な可視性を得ることができます。
- インライン検査の柔軟な拡張性:すべてのトラフィックを検査し、疑わしいファイルや不明なファイルを隔離することで、侵害後のダメージ コントロールに頼ることなくデータの流出を防ぎます。
クラウドDLPにおける完全データ一致
DLPソリューションでは長きにわたり、クレジット カード番号や社会保障番号などの識別にパターンマッチングが使用されてきました。しかし、この方法は正確性に欠け、安全なトラフィックでも、保護対象として選択されたパターンが含まれているだけでブロックされることがあるため、大量の誤検知によってセキュリティ部門を悩ませることとなります。
完全データ一致(EDM)は、DLP技術における強力なイノベーションで、誤検知をほぼ発生させないレベルにまで精度を高めます。EDMはパターンの照合を行う代わりに、機密データのフィンガープリントを記録することで、記録したデータが不適切に共有または転送されないよう、データの移動の試みを監視します。
クラウドDLPのベスト プラクティス
最適なDLP戦略は組織のデータやニーズによって異なるため、ベスト プラクティスも組織によって変わってきます。それもこの記事全体を通じてお伝えしたい点の1つです。ここでは、あらゆる状況に当てはまる広範なベスト プラクティスをいくつか紹介します。
- 最初に導入する際は監視モードのみで開始する。組織全体のデータの流れを把握することで、最適なポリシーを決定できます。
- ユーザー通知を通して従業員に最新情報を伝達する。ユーザーに周知しないままポリシーを施行して、ワークフローの混乱や従業員のストレスを招くことがないようにします。
- ユーザーが通知に関するフィードバックを送信できるようにする。(アクションの正当性を示したり、ポリシーの不備を指摘してもらったりして)フィードバックを基にポリシーを改善することができます。
- EDMなどの高度な分類手法を活用する。これによって誤検知を減らすことができます。
- TLS/SSLで暗号化されたトラフィックを復号できるソリューションを使用する。現在のWebトラフィックの大部分は暗号化されているためです。
2022年、データ侵害による平均損失額は、米国で944万ドル、全世界で435万ドルに上り、うち32%以上がビジネス機会の損失によるものでした。
—Ponemon Institute、2022 Cost of a Data Breach Report
Zscalerのクラウド情報漏洩防止で対策を始めましょう
リスクが増大し、データ保護に関する規制が拡大するなかで、組織はクラウド化やモバイル化によって生じるセキュリティ ギャップを解消しなくてはなりません。セキュリティ ギャップには、脆弱性に起因するものもあれば、設定ミスに起因するものもあります。
従来であれば、複雑なスタックにさらにアプライアンスを追加する対応を迫られていたことでしょう。しかし、現在はZscaler DLPでの対応が可能です。これは、Zscaler Data Protectionスイートの一部で、100%クラウドで提供されます。Zscaler DLPは、ユーザーやアプリケーションの場所を問わず、データ保護のギャップを解消すると同時に、ITのコストと複雑さを軽減します。
Zscaler DLPが提供する機能は以下のとおりです。
- あらゆる場所のユーザーとデータに対する一貫した保護
- インターネット、エンドポイント、メール、SaaS、プライベート アプリ、クラウド態勢全体の保護
- 世界最大のインライン セキュリティ クラウドによるスケーラブルなTLS/SSLインスペクション
- 機械学習を活用した革新的なデータ検出を通じた合理的なワークフローおよびオペレーション