DLPで防ぐ内部不正、情報漏えいは1事件1億円？：IT導入完全ガイド（3/5 ページ）

[土肥正弘，ドキュメント工房]

　セキュリティ対策ツールは多種類あり、それぞれに導入の意義がある。万全を期すれば期するほど、投資は増えてしまう。まず、他の情報漏えい防止に役立つツールとDLPの特徴それぞれを理解し、適切なツール導入を図りたい。

統合ログ管理ツール、SIEMツールと比較すると

　統合ログ管理ツールは、サーバやファイルへのアクセスのログを収集し、分析してポリシー外の操作や不自然な操作を発見するのに役立つ。ただし、ログを取得し分析できるのは操作が行われた後になることが多い。また、不正操作かどうかが明らかでない不審行動は各種の機器からのログの相関を分析して割り出すが、分析にノウハウが必要で手間と時間がかかる一面がある。

図4 情報漏えい可能性のレポート例。DLPツールのログをSIEMツールで分析、情報漏えい可能性をレポートを出力する（出典：マカフィー）

　一方DLPツールはデータ（機密情報）それぞれに設定された不正操作が行われた時点で操作を止められるので、操作が完了する前にブロックできる。また、DLPツールのログは機密情報への操作に特化して取得できるため、不審操作を割り出すのも効率的だ。

　もちろん統合ログ管理ツールあるいはその機能を拡張してリアルタイムに監視と制御が行えるSIEM（Security Information and Event Management：セキュリティ情報イベント管理）ツールとの連携は総合的な情報漏えい防止対策となる。予算が許せば合わせて導入したい（図4）。

暗号化ツールと比較すると

　暗号化ツールに不正行為の監視や強制操作ブロックの機能はない。だが、暗号化はインターネットを経由してグループ内や外部のパートナー企業と情報をやりとりする場合や、モバイルワーク、サテライトオフィス、在宅勤務などのワークスタイルをとる場合の情報漏えい防止に重要な役割を果たす。

　DLPツールには自動暗号化機能を備えるものが多く、情報の機密区分によって「暗号化されていれば、送信やリムーバブルメディアへのコピーは許可する」ルールで運用できる。つまり機密情報が含まれたファイルの送信やコピーの際には自動暗号化を強制的に施す仕組みだ。

　なお、暗号化ツールの中にも図5に見るように、ファイルサーバに格納されたファイルを属性などの判定基準に従って機密区分し、ファイル単位で承認状況により持ち出し可否の判断ができるようにした製品がある。ファイル名の付与の仕方などのルールを徹底する必要があるが、運用の仕方によってはDLPの一種として役割を果たすことができよう。

図5 ファイルサーバの機密区分による持ち出し制御（出典：日立ソリューションズ）

これもDLPの一種？　文書の「失効」が可能な暗号化クラウドソリューション

　外部で閲覧する必要がある機密情報の二次利用防止にフォーカスすると、もっと簡単、低コストのソリューションもある。最近登場したクラウドを利用する暗号化ツールでは、相手先に機密情報の入ったファイルは渡すものの、専用のビュワーがなければ閲覧できず、設定期間を経過した場合、あるいは何らかの必要が生じて配布元が閲覧停止操作をした場合には、ファイルを失効させる（閲覧停止にする）ことができる。IRM（Information Rights Management）ツールと似ているが、クラウド上の管理サーバが提供されるので、利用が簡単かつ低コストにできる。

図6 相手先に渡った文書を「失効」させる仕組みのイメージ（出典：日立ソリューションズ）