DLPで防ぐ内部不正、情報漏えいは1事件1億円？：IT導入完全ガイド（1/5 ページ）

外部からの攻撃ばかりでなく、内部での情報の不正利用を防ぐ情報漏えい対策が重要視される。データの属性に着目して管理を強化するDLPツールの特長と働き、導入検討の要点を紹介する。

[土肥正弘，ドキュメント工房]

　2014年は周到なセキュリティ対策のすき間を突いた大規模情報漏えい事件が明るみに出て、情報保護の重要性と機密情報漏えいの膨大なリスクをあらためて思い知らされた。

　アンチウイルスやインターネットからシステムへの不正侵入防止などの対策だけでは情報漏えいを十分に防げない事実がくり返し報道される中で、外部からの攻撃を防ぐばかりでなく、システム内部でも情報の不正な利用を防ぐ、従来とは異なる視点からの情報漏えい防止対策が必要になった。

　そこで注目したいのがDLP（Data Loss Prevention）ツールだ。今回は、データの属性に着目して管理を強化し、ポリシーに沿ったデータ運用と保護を図るこのツールの特長と働き、導入検討のポイントを、他の情報漏えい防止対策と比較しながら紹介する。

「DLPツール」で情報漏えいを防ぐには？

　DLPツールは、機密情報にフィンガープリントやタグと呼ばれる、いわば「目印」を付け、保存場所から移動、コピー、送信、印刷、スクリーンショットなどの操作が行われるとそれを記録し、同時に操作を強制的にブロック（または許可）することができるツールだ。外部への送信ばかりでなく、内部での機密情報の操作を制御し、また機密情報の操作ログを収集や分析もできるので、内部関係者による不正行為を防止できる。

図1 DLPツールによる機密文書の権限外操作時の通知画面例（左）持ち出し禁止ファイルをUSBメモリにコピーした場合（右）メールに送信禁止ファイルを添付した場合（出典：シマンテック）

コラム：大阪府より多い日本の情報漏えい人数、2013年はあの県に並んだ

　個人情報漏えいインシデントを調査しているJNSA（日本ネットワークセキュリティ協会）によると2013年のインシデント件数は1388件、漏えい人数は925万2305人、想定される1事件当たりの損害賠償額は1億926万円、1人当たり2万7701円に上る（2013年 情報セキュリティインシデントに関する調査報告書個人情報漏えい編）。

　無論、これには2014年の国内最大級の情報漏えい事件の分は入っていない。くだんの事件では内部関係者により約3504万件の機密情報が流出し、漏えい企業が260億円の特別損失を計上する事態になった。この事件でもそうだが、内部関係者による情報持ち出しは発生件数こそ少ないものの、1件当たりでは他の情報流出よりもはるかに大規模になることが多い。

　情報漏えい人数が925万人というと、大阪府の人口約890万人を優に超え、あの神奈川県の人口（910万人）と並ぶ多さである。神奈川県人口分が丸ごと情報漏えいしていると考えると実に恐ろしい。2014年は東京都の人口にも追い着いてしまうのではないだろうか。ますます事態は深刻だ。