クラウドDLP (情報漏洩防止)とは

現代のビジネスにクラウドDLPが不可欠な理由

機密情報が紙に印刷されていた時代の情報漏洩防止策は、保管用のキャビネットに鍵をかけるだけというシンプルなもので済んでいました。現在、データ センター、クラウド プロバイダー、エンドポイント デバイス間で伝達されるデータはその過程で無数の脆弱性の影響を受ける可能性があり、不正アクセスから保護するには総合的な情報漏洩防止(DLP)戦略の実装が求められます。

DLP戦略の策定にあたっては、ビジネス リーダーとITリーダーが協力して組織の「機密データ」の条件を定め、データの取り扱い方法について合意したうえで、その違反条件を明確化する必要があります。こうして定めた情報セキュリティ ガイドライン(データの分類、データ プライバシーとコンプライアンス情報、修復手順など)は、DLPポリシーに変換することが可能です。

さまざまなコンプライアンス基準(GDPR、HIPAA、PCI DSSなど)による罰金や業務上の制約を回避するためにDLPの実装を迫られている組織もあるかもしれません。しかし、データ侵害が起これば、エンド ユーザーの個人データが流出し、顧客を失ったり、ブランド価値に傷が付いたり、法的な責任を問われたりするリスクも出てきます。適切に定義されたDLPポリシーと合理的に管理されているサポート技術によって、これらのリスクは大幅に削減できます。

クラウド時代の情報漏洩リスク

組織におけるクラウドの導入が加速し、ハイブリッド ワーク モデルを最適化するなか、攻撃対象領域は劇的に拡大しています。今日の脅威には、従来のセキュリティ対策では対処しにくい特有の課題が伴うため、組織は以下のような重大なリスクについて理解し、軽減する必要があります。

• シャドーITと未承認のクラウド アプリケーション：従業員が未承認のクラウド サービスを使用して機密データを共有、保存するケースが増えています。これによって可視性のギャップが生じ、承認されたチャネル外に流れる重要な情報をIT部門が監視、保護することが困難になっています。
• 高度なランサムウェアとサプライ チェーン攻撃：現代の脅威アクターは、クラウド インフラとサードパーティーの統合を標的に、データの暗号化や持ち出しを大規模に実行しようとしています。信頼関係やAPI接続を悪用することで、相互接続されたシステム全体にわたり侵害範囲を最大化します。
• リモート ワークの脆弱性：分散した従業員が個人のデバイスや保護されていないネットワークから組織のデータにアクセスすることで、管理対象外のエンドポイント、公共のWi-Fi、侵害されたホーム ネットワークを介した情報漏洩の発生リスクが増加します。
• クラウドの設定ミスとAPIの露出：複雑なクラウド環境では、ストレージ バケットの設定ミス、過剰な権限付与、APIの露出などによって、機密データが許可されていない相手やインターネットからアクセスできる状態が発生します。

クラウドベースの情報漏洩防止(DLP)を使用する主なメリット

クラウドベースのDLPは、どのような組織に対しても以下のようなメリットを提供します。

• 柔軟な拡張性：データ量の増大や情報エコシステムの変化に伴うニーズに対応
• インフラ コストの削減：オンプレミスのハードウェアと関連する更新/メンテナンス費用を排除
• あらゆる場所のユーザーと拠点の保護：データ センターへのバックホールは不要
• スピーディーな実装と構成：ハードウェアの管理が不要なため、オンプレミスDLPより迅速な対応が可能
• クラウドからの自動更新：ダウンタイムの心配なく最新のインテリジェンスおよび機能を提供

クラウドDLPの仕組み：主な手法と戦略

ごく簡単に言えば、DLP (クラウドベースのDLPを含む)とは、保護が必要な機密データを特定し、それを保護する技術です。たとえば、使用中データ、転送中データ、保存データのいずれか(またはその複数)を識別し、機密性の有無を判断するようなDLPソリューションが考えられます。このような機能を実現するためにDLPエージェントで用いられる技術には、さまざまなものがあります。

• ルールベース マッチング(正規表現):あらかじめ記述されたルールに基づいて機密データを識別します(例：16桁の数字はクレジット カード番号であるケースが多い)。ルールベース マッチングは誤検出率が高いため、通常、より詳細な分析の前に行う一次検査としてのみ利用されます。
• 完全データ一致(データベース フィンガープリンティング):すでにフィンガープリントが取得されている他の機密データ(通常はデータベース内に格納)と完全に一致するデータを識別します。
• 完全ファイル一致：基本的には完全データ一致(EDM)と同様の技術ですが、完全ファイル一致はファイルのコンテンツを分析することなく、一致するファイルのハッシュを識別します。
• Partial Document Matching:確立されたパターンやテンプレート(例：緊急医療施設で患者情報を入力する標準的なフォーム)と照合して、特定の機密データを識別するものです。
• 機械学習、統計解析など：与えられたデータ文字列が機密性を持つ可能性が高い場合にそれを認識できるよう、学習モデルに大量のデータを与え「トレーニング」する技術のグループです。特に非構造化データの識別に有効です。
• カスタム ルール：識別して保護するデータの種類が組織固有のものも多いため、最新のDLPソリューションでは独自のルールを作成して他のルールと併せて実行できるようになっています。

機密データが特定された後、そのデータをどのように保護するかはDLPポリシーによって異なります。どのようにデータを保護するかは、なぜそのデータを保護したいのかと大きく関わってくるのです。

クラウドDLP、オンプレミスDLP、従来型DLPの比較

DLPソリューションの評価にあたっては、各導入モデルの根本的な違いを理解したうえで、適切な情報に基づく意思決定を行う必要があります。それぞれのアプローチには固有のメリットと制約があり、セキュリティの有効性、運用効率、総所有コストに直接的な影響をもたらします。

クラウドDLPの主なユース ケース

すでに見てきたように、機密データの保護は、顧客、収益、評判といった面での損失から組織を守り、業界規制や法的規制を順守することにもつながります。データを保護するためには、必然的にデータの内容と保管場所の特定が必要になるため、ここでもう1つ重要なユース ケースが出てきます。「データの可視化」です。

つまり、DLPソリューションの主なユース ケースは以下の3つになります。

• 転送中および保存状態の機密データの保護：DLPは、暗号化、アクセス制御の適用、疑わしいアクティビティーの監視を通じて、複数のエンドポイント、ネットワーク、クラウド間で移動するデータや保存されているデータを保護します。
• 各種規制への準拠：DLPポリシーや関連技術によって、アクセス制御の適用、使用状況の監視、監査の実施が可能になり、組織として、GDPR、HIPAA、PCI DSSなどの規制に確実に沿う形で機密データを取り扱えるようになります。
• データの可視化：DLPはデータを可視化し、機密情報がどこで保管され、移動しているのかや、誰がアクセス権を持ち、どのように使用されているのかなどに関するインサイトを提供します。これにより、脆弱性を特定したり、危険なアクティビティーを検出したりすることができ、ひいてはデータ侵害の修復や阻止が可能になります。
• リモート ワーク環境と個人デバイスの保護：リモート ワークやBYODポリシーが普及するなか、DLPは多様なデバイスと場所にわたるセキュリティ ポリシーの適用を支援し、従来のネットワーク境界外でのデータ流出のリスクを低減します。

クラウドDLPソリューションの5つのタイプ

すべてのユース ケースやデータ損失のあらゆるリスクに1つの技術で対処することはできないため、現在利用できる効果的なデータ保護ソリューションには複数の機能が統合されています。具体的に最も一般的で重要なクラウドDLP技術をいくつか見てみましょう。

• クラウド アクセス セキュリティ ブローカー(CASB):エンドポイントとクラウド アプリ間のユーザー アクティビティーやデータ転送を監視および制御し、セキュリティ ポリシーを適用して、不正アクセス、データ漏洩、コンプライアンス違反を防止します。クラウド環境におけるユーザー行動、アプリの使用状況、データ ストレージを可視化します。
• DLPソフトウェア：エンドポイント、メール、クラウド サービスなどのチャネル全体で、機密データが流出しないよう保護します。データの監視とポリシーの適用をリアル タイムで行うことで、侵害リスクを特定し、実際に侵害が起こることを防止できます。
• ユーザーとエンティティーの行動分析(UEBA):ユーザーの振る舞い、アクセス パターン、システム イベントなどを監視、分析、関連付けすることで、異常や潜在的な脅威(悪意のある内部脅威、侵害されたアカウント、ラテラル ムーブメントなど)を検知します。
• SaaSセキュリティ ポスチャー管理(SSPM):さまざまなSaaSアプリにわたるセキュリティ構成、アクセス許可、脆弱性を評価および管理することで、セキュリティ ギャップに対処し、データ漏洩や不正アクセスに関連するリスクを軽減します。
• ブラウザー分離：安全な環境でWebコンテンツを実行することで、悪意の可能性があるWebコンテンツ(ドライブバイ ダウンロード、マルウェア、フィッシングなど)がユーザーのエンドポイント、ネットワーク、機密データに直接アクセスしたり悪影響を与えたりするのを防ぎます。

データの可視化：効果的なクラウドDLPの基盤

DLPを取り入れても、検知できないトラフィックがあれば情報漏洩を防止することはできません。クラウド内で移動するデータの量が増え続けているため、これは非常に重大な問題です。従来のネットワークベースのDLPでは、主に以下3つの点が課題となり、検査すべきトラフィックを確認できません。

• リモート ユーザー：ネットワークDLPで実現可能な可視性と保護レベルは、ユーザーの場所によって変わります。ネットワーク外のユーザーは、簡単に検査を回避し、直接クラウド アプリに接続できてしまいます。DLPやセキュリティ ポリシーが効果的であるためには、接続する場所や使用しているデバイスに関係なくユーザーを監視する必要があります。
• 暗号化：TLS/SSLで暗号化されたトラフィックが飛躍的に増加しており、これを復号して検査できないネットワークベースのDLPの場合、膨大な死角が残ります。
• パフォーマンス上の制約：アプライアンスベースのDLPソリューションではリソースには限りがあるため、効果的な拡張を行い、増え続けるインターネット トラフィックのインライン検査に対応することができません。

クラウドファースト/モバイルファーストの現代の組織にとってクラウドDLPが重要な理由

デジタル トランスフォーメーションに伴うデータ保護の課題に対処し、旧式のエンタープライズDLPが抱える弱点を克服するには、新しい考え方とそれに沿った技術が必要です。従来のハードウェア スタックをクラウド用に再構成する方法では不十分なうえ、非効率的です。一方、クラウドで構築されたDLPソリューションは、以下のような保護やサービスを実現しています。

• ネットワーク内外のすべてのユーザーに対する一貫した保護の提供：すべてのユーザーに包括的なデータ保護を提供できます。本社、事業拠点、空港、自宅など、あらゆる場所のユーザーを保護します。
• TLS/SSLで暗号化されたトラフィックのネイティブ インスペクション：現在の攻撃の85%以上が隠れているとされるトラフィックを検査でき、組織にとって非常に重要な可視性を得ることができます。
• インライン検査の柔軟な拡張性：すべてのトラフィックを検査し、疑わしいファイルや不明なファイルを隔離できます。

クラウドDLPのベスト プラクティス

最適なDLP戦略は組織のデータやニーズによって異なるため、ベスト プラクティスも組織によって変わってきます。それもこの記事全体を通じてお伝えしたい点の1つです。ここでは、あらゆる状況に当てはまる広範なベスト プラクティスをいくつか紹介します。

• 最初に導入する際は監視モードのみで開始する。組織全体のデータの流れを把握することで、最適なポリシーを決定できます。
• ユーザー通知を通して従業員に最新情報を伝達する。ユーザーに周知しないままポリシーを施行して、ワークフローの混乱や従業員のストレスを招くことがないようにします。
• ユーザーが通知に関するフィードバックを送信できるようにする。(アクションの正当性を示したり、ポリシーの不備を指摘してもらったりして)フィードバックを基にポリシーを改善することができます。
• EDMなどの高度な分類手法を活用する。これによって誤検知を減らすことができます。

Zscalerのクラウド情報漏洩防止で対策を始めましょう

Zscaler DLPは、Zscaler Data Securityの一部を構成する100%クラウド型のDLPソリューションです。ユーザーやアプリケーションの場所を問わず、データ保護のギャップを解消すると同時に、ITのコストと複雑さを軽減します。

Zscaler DLPが提供する機能は以下のとおりです。

• あらゆる場所のユーザーとデータに対する一貫した保護
• インターネット、エンドポイント、メール、SaaS、プライベート アプリ、クラウド態勢全体の保護
• 世界最大のインライン セキュリティ クラウドによるスケーラブルなTLS/SSLインスペクション
• 機械学習を活用した革新的なデータ検出を通じた合理的なワークフローおよびオペレーション

デモを依頼して、Zscaler DLPによって組織を保護する方法をご確認ください。