DLP とは? 機能やしくみ、導入するメリットを詳しく解説!

はじめに DLP の概要と特徴について解説します。

1-1. 情報漏洩の防止を目的としたセキュリティ ツールのこと

DLP とは、社内データの監視、制御を行うことで、機密情報や顧客の個人情報などの紛失や漏洩を防ぐセキュリティ ツールです。これまでセキュリティ製品は、外部からの攻撃を未然に防ぐタイプ、ユーザーの行動や操作を監視するタイプなどが主流でしたが、DLP は内部からのデータ持ち出しや不正利用などを防げます。

DLP では、社内の重要なデータの持ち出しやコピーなどを即座に検知する機能や、操作自体を制限したりブロックしたりする機能などを搭載しています。制限したいデータや操作を事前に設定しておくことで、情報漏洩を防止するしくみです。導入直後に行う最初の設定作業は手間がかかりますが、一度設定しておけば自動で管理およびユーザーの制御を行えます。企業内の重要なデータを自動で監視できるため、管理業務の負荷軽減にもつながるでしょう。

1-2. 企業のデータそのものを監視するのが特徴

DLP の特徴は、ユーザーではなく、企業内のデータそのものを監視する点です。従来の情報漏洩対策といえば、ユーザーが不審な行動をしていないかを監視する方法が主流でした。ユーザーの不審な動きを監視する方法の 1 つとして、操作ログの取得が挙げられます。操作ログの取得は、ログやアラートの量が多くなってしまい、運用の負荷が高くなる点が課題です。

DLP は、特定のデータのみを監視するため、ログやアラートの数を必要最低限に抑えられます。ログやアラートの数が減少すれば運用負荷の軽減につながり、企業内にある重要なデータの監視に専念できるでしょう。また、特定のデータの監視に加えて、コピーや印刷、画面キャプチャなどの操作を制限できる点も DLP のメリットです。データごとに操作制限を設けることで、企業のセキュリティ強化と情報漏洩防止が可能となります。

DLP は、企業の情報漏洩防止を目的に利用されていますが、従来の情報漏洩対策とどのような点が異なるのでしょうか。主な違いは「監視対象」と「情報範囲」の 2 点です。それぞれの違いについて解説します。

2-1. 監視対象の違い

従来の情報漏洩対策では「ユーザーの操作」を監視対象としていましたが、DLP では「特定のデータ」が監視対象となります。従来のユーザーを対象とした情報漏洩対策では、アクセスを許可されているユーザーの不正な行動やデータ持ち出しなどは防ぎにくいという課題がありました。一方で DLP では、データ自体を監視するため、許可されているユーザーの不正な行動や持ち出しなどがあった際、即座に検知することが可能です。また、検知と同時に管理者への通知やユーザーの操作制限も行われるため、情報漏洩を未然に防げます。

企業にとっては、「ユーザーの行動や操作を監視する」従来の情報漏洩対策と、「重要なデータ自体を保護する」DLP でのセキュリティ対策はどちらも重要です。企業の端末をねらった悪質なサイバー攻撃が増加しているため、外部/内部どちらに対しても適切なセキュリティ対策を講じなければなりません。しかし、両方の対策を行うには、多大な運用コストがかかります。そのため、企業内にある機密情報の漏洩を DLP で防ぐことを優先し、予算を考慮しながら補完的にユーザーの監視やログ取得などを行う方法が最適といえます。自社に適したやり方でセキュリティ対策を行いましょう。

2-2. 対象範囲の違い

従来の情報漏洩対策では「企業内のすべてのデータ」が対象となるため、企業内で管理しているデータが多いほど、運用と管理の負荷が大きくなる点がデメリットでした。一方で DLP は「特定のデータ」が対象となります。特定のデータを持ち出した時にアラートが送信されるため、運用と管理の負担を軽減しつつ、重要なデータを保護できます。

DLP は「特定のキーワードや正規表現」または「フィンガー プリント」によってデータを判別しています。この章では、DLP のしくみについて解説します。

4-1. 特定のキーワードや正規表現でデータを判別する

DLP は、特定のキーワードや正規表現を事前に設定することで、指定したキーワードに該当するデータを判別できます。具体的には、財務や経営、取引などの情報、製品情報、自社の社員や顧客の情報などの重要情報に対し、氏名や生年月日、電話番号、基礎年金番号など個人を特定する文字列が含まれているか、商品の単価や売り上げなどの数値が含まれているかを判別します。

ただし、特定のキーワードや正規表現を設定、登録する作業は、非常に手間がかかります。そのため、フィンガー プリントと併せて利用されるケースが多いです。

4-2. 特定のデータのフィンガー プリントを登録する

フィンガー プリントは「文書の指紋」という意味です。DLP では、「データ特有の指紋」として、特定のデータのフィンガー プリントを登録し、データを判別します。フィンガー プリントと特徴が一致する文書は、機密情報として判定するしくみです。さらに、フィンガー プリントは関連しているデータの判別まで可能です。データ内の文章構成やキーワードなどの中身の類似性から機密情報に該当するのか判別します。

DLP 製品にはさまざまな種類があるため、どれを導入すれば良いのか迷う方も多いでしょう。この章では、DLP 製品の比較ポイントについて詳しく解説します。

7-1. 自社で利用している OS に適しているか

まずは、自社で利用している OS に適しているかどうかを確認しましょう。自社で利用している OS との相性が合わないと、パソコンの動作が止まったり、動きが遅くなったりと不安定な状態になる場合があります。幅広い OS や動作環境にも対応できる DLP 製品を選ぶことは、導入の失敗を防ぐためにも非常に重要です。

7-2. 製品のメモリ容量が自社のデータ量に適しているか

DLP 製品を利用する際には、必要とされるメモリ容量が少ないほどスムーズなデータ管理が可能です。たとえば、監視対象となる機器 (社内のパソコンやサーバーなど) の数が非常に多く、稼働させるために多くの容量を消費する場合、他の機能を利用する際の動作スピードが遅くなります。

DLP 製品の導入を検討する際には、自社で管理するべき重要なデータの容量と用意すべき製品のメモリ容量を確認しておきましょう。また、DLP 製品を継続して利用するためには、不要なファイルを削除したり、不要なデータを削除したりするなど、定期的にデータ数の見直しや削除を行わなければなりません。必要とされるメモリ容量が少ない DLP 製品を選ぶことをおすすめします。

7-3. 搭載機能が豊富か

搭載機能が豊富な製品を選んだほうが、導入後の運用をスムーズに進められます。企業によって DLP を導入する目的は異なり、情報漏洩の防止か管理者の業務負担の軽減かのどちらを重視するかで必要な機能は変わってきます。自社の予算や DLP を導入する目的に合う製品を選んでいきましょう。自社に適したセキュリティ対策を行うためには、コスト面と導入する目的どちらも重要なポイントです。

また DLP には、無料トライアルを実施している製品も多くあります。まずは無料トライアルで自社のパソコンの OS や動作環境に適しているか、正常に動作するかなどを確かめることをおすすめします。

7-4. サポート体制が充実しているか

サポート体制の充実度も、DLP 製品を選ぶ際に重要なポイントです。導入した DLP 製品に故障したり、操作方法がわからなかったりした場合、サポート体制が整っていないと迅速に対応できません。特に、セキュリティに関する知識を持っている社員が少ない企業の場合は、サポート体制が充実している製品を選ぶようにしましょう。

7-5. 企業の機密情報保護に有効な Microsoft のソリューション

企業の機密情報保護に最適なのが、Microsoft Azure Information Protection です。
Azure Information Protection は、Microsoft 365 Business Premium のコンポネートに含まれている機能の 1 つであり、下記の特長を持っています。

• ファイルの分類とラベルを付与することでファイルの重要度をひとめで把握できる
• ファイルごとにアクセス権の設定が可能
• ファイルのコピーや印刷などの操作も制御できる

Azure Information Protection を導入することで、クラウド上からでも企業の大切な機密情報の保護や管理が可能となります。また、データの分類やラベル付けの操作もシンプルな操作で簡単に行えるため、データ管理をよりスムーズに行える点も大きな魅力です。