DLPで防ぐ内部不正、情報漏えいは1事件1億円？：IT導入完全ガイド（2/5 ページ）

外部からの攻撃ばかりでなく、内部での情報の不正利用を防ぐ情報漏えい対策が重要視される。データの属性に着目して管理を強化するDLPツールの特長と働き、導入検討の要点を紹介する。

[土肥正弘，ドキュメント工房]

「DLPツール」の種類と役割

　DLPツールには、「データを機密指定する」「機密指定されたデータへの操作を監視（記録）する」「設定ルールに基づき機密データに対する特定操作をブロックする」という3つの主要機能を備える。他のセキュリティツールと異なるポイントは、機密情報そのものに着目し、利用制御、監視、操作のトレース（追跡）ができるところだ。

　情報流出はPCからリムーバブルメディアへのコピーや印刷、スクリーンキャプチャーなどの方法によるものが多くを占め、メール、Web、SNSといったネットワークへの送信がそれに次ぐ。DLPツールでは経路に合わせて前者には「ホスト型」（エンドポイント型ともいう）、後者には「ネットワーク型」のタイプが適用できる。

　ホスト型はPCにエージェントを導入し、管理サーバで集中管理し、ネットワーク型はゲートウェイのサーバやアプライアンスで管理する。また、情報の保管場所であるストレージ（ファイルサーバなど）に存在するデータをスキャンし、機密情報の所在を発見、機密区分、指定を行う「ディスカバリ型」（ストレージ型ともいう）も、DLP運用を効率化するのに効果的だ。

　メジャーなベンダーはこれら3種の製品をそろえている。個別に導入することもできるし、スイート製品としてまとめて導入して連携させ、統合的に管理することも可能だ。

図2 3種のDLPツールの構成イメージ（出典：マカフィー）

モバイルデバイスでもDLPは有効か？

　スマートフォンやタブレットなどでPC同様に適用できるDLPツールはまだないが、ネットワークに送信される情報をVPNで企業システム内のDLPツールを経由させる仕組みによって、インターネットに出ていく前に捕捉して制御できる（図3）。

　専用製品も登場し、現在のところ限定的ではあるがDLPの適用ができるようになった。また後述する暗号化による利用制御を行う方法では、許可された利用者のモバイルデバイスだけでの機密情報閲覧が可能になる。MDMやMAMと組み合わせて利用すれば、情報漏えいリスクを低減可能だ。

図3 モバイルデバイスでのDLP実現イメージ（出典：シマンテック）