DLPツールには、「データを機密指定する」「機密指定されたデータへの操作を監視(記録)する」「設定ルールに基づき機密データに対する特定操作をブロックする」という3つの主要機能を備える。他のセキュリティツールと異なるポイントは、機密情報そのものに着目し、利用制御、監視、操作のトレース(追跡)ができるところだ。
情報流出はPCからリムーバブルメディアへのコピーや印刷、スクリーンキャプチャーなどの方法によるものが多くを占め、メール、Web、SNSといったネットワークへの送信がそれに次ぐ。DLPツールでは経路に合わせて前者には「ホスト型」(エンドポイント型ともいう)、後者には「ネットワーク型」のタイプが適用できる。
ホスト型はPCにエージェントを導入し、管理サーバで集中管理し、ネットワーク型はゲートウェイのサーバやアプライアンスで管理する。また、情報の保管場所であるストレージ(ファイルサーバなど)に存在するデータをスキャンし、機密情報の所在を発見、機密区分、指定を行う「ディスカバリ型」(ストレージ型ともいう)も、DLP運用を効率化するのに効果的だ。
メジャーなベンダーはこれら3種の製品をそろえている。個別に導入することもできるし、スイート製品としてまとめて導入して連携させ、統合的に管理することも可能だ。
スマートフォンやタブレットなどでPC同様に適用できるDLPツールはまだないが、ネットワークに送信される情報をVPNで企業システム内のDLPツールを経由させる仕組みによって、インターネットに出ていく前に捕捉して制御できる(図3)。
専用製品も登場し、現在のところ限定的ではあるがDLPの適用ができるようになった。また後述する暗号化による利用制御を行う方法では、許可された利用者のモバイルデバイスだけでの機密情報閲覧が可能になる。MDMやMAMと組み合わせて利用すれば、情報漏えいリスクを低減可能だ。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。