Data Loss Prevention (情報漏えい防止)とは？

Data Loss Prevention (DLP)は、データが失われ、権限のないユーザーによるアクセス、または漏洩を防止するために使用される一連の手順を示す用語です。

DLPソリューションは、組織内外に流れるデータを監視し、機密データの流出を防止します。 これは、データ検査、データの暗号化、脅威の検出、予防措置、ユーザー教育、セキュリティポリシーなど、多数の手段により達成されます。

データはさまざまな方法で失われる可能性があります。

• 悪意のある内部関係者。 内部関係者による脅威は、最も危険なタイプのデータ漏えいにあたります。これは多くのセキュリティソリューションで、信頼されているユーザーとデータやアプリケーションとの間のやりとりを適切に監視できないためです。 悪意のある内部関係者には、現在および元従業員、ベンダー、ビジネスパートナー、ネットワークリソースにアクセスできるその他の個人が含まれる場合があります。
• 流出。 データの流出とは、ネットワーク内のデバイスから外部の宛先にデータが転送される行為を指します。 流出はフィッシング、マルウェア、DDoS攻撃、コードインジェクションを含むサイバー攻撃などから生じることが少なくありません。 流出データには、知的財産、ログイン認証情報、金融口座番号、個人識別情報（PII）、その他の機密データが含まれる可能性があります。
• 過失。 情報漏えいは、過失や意図しない暴露の結果であることが少なくありません。 従業員が、電子メールやファイル共有サービスを通じて機密情報を意図せず社外のユーザーと共有したり、送信前にファイルを暗号化しなかったりした場合に、偶発的な漏えいが発生する可能性があります。 ノートパソコンやUSBメモリなどの物理デバイスを紛失した場合にも、データが危険にさらされる可能性があります。 誤って構成されたソフトウェア設定、使い回されたパスワード、そしてパッチが適用されていないソフトウェアの脆弱性は、サイバー犯罪者が機密データに迅速にアクセスできるような侵害につながる可能性があります。

情報漏えい防止ソフトウェアは、複数のツールを使用してIT環境内の機密情報を特定し、組織内外のデータフローを監視し、セキュリティポリシーに基づいて機密データの組織外への流出をブロックします。

DLPソリューションは、複数の手法を使用して潜在的な漏えいや損失を特定します。

• データを特定する。 情報漏えいの防止は、IT環境内の機密情報を特定し、DLP技術がトラフィックを監視する際に探すべきデータ資産を認識することから始まります。
• 漏えいの監視。 自動化された情報漏えい防止プロセスは、IT環境内で流出、不正流用、または不適切に配置されているデータを特定し、検出します。
• 移動中のデータを保護する。 データがロケーション間を移動する際、DLPセキュリティはデータが目的地に安全に到着するように、いくつかの手段を講じます。
• 保管状態のデータの保護。 データベース、ファイルシステム、またはクラウド内に保存されたデータは、暗号化ポリシーを実施し、不正アクセスを防止するエンドポイント型情報漏えい防止ソリューションやクラウド型情報漏えい防止ソリューションによって保護される場合があります。
• 利用中のデータを保護する。 データとユーザー/アプリケーション間のやりとりを常に監視することで、不正な改ざん、印刷、コピー、貼り付けからデータを保護することができます。

データと知的財産の流出を阻止し、意図しない漏洩やデータ侵害を防止することが、情報漏えい防止ポリシーの機能です。 DLPポリシーは、ユーザーがデータとやり取りする方法を決定する一連の条件です。リスクの高い個人のアクセスを制限したり、ベストプラクティスについてユーザーを教育したりするなどの選択肢があります。 組織は、DLPポリシーを構成し、自国、業界、固有のデータリスクを考慮し、継続的なコンプライアンス遵守を確保します。

典型的な情報漏えい防止ポリシーには、以下の要素が含まれます：情報の

• 種類：機密性の高いデータの主なカテゴリには、個人識別情報（PII）、保護された健康情報（PHI）、回路図、ソフトウェアコード、クレジットカード番号が含まれます。
• 重要度とアクション：各インシデントまたは指定された数のインシデントは重要度レベルが割り当てられ、監査、暗号化、ブロックなどの選択肢範囲から対応するアクションをトリガします。
• ユーザーと場所：DLPポリシーは個々のユーザーまたはユーザーグループに適用でき、Forcepoint DLPはネットワーク内外のユーザーにポリシーを適用することで、より柔軟な適用をサポートします。
• 目的地：データはウェブ上、複数のクラウド間、またはエンドポイントからアクセスされ、電子メールで送信されたり、その他のオプションでUSBに転送されたりします。

DLPサービスの一部のベンダーは、Endpoint DLPとネットワークDLPを区別しており、第三の用語であるクラウドDLPを使用している可能性もあります。 これらは、情報漏えいを防止するための補完的なアプローチを記述しており、統合され、包括的なカバレッジを提供するために統合する必要があります。

Endpoint DLPは、伝統的にデバイスにインストールされたエージェントを介して、サーバー、ラップトップ、スマートフォンを含む個々のデバイス（「エンドポイント」）のデータを保護します。

ネットワークDLPは、組織ネットワーク内のあらゆる場所で使用中、移動中、保存中のデータを保護し、監視します。 ネットワークDLPの重要なサブセットはクラウドDLPであり、ネットワークとクラウドアプリケーション間で移動するデータを保護します。

効果的なデータセキュリティには、統合DLPアプローチが必要です。 エンドポイントが侵害された場合、ネットワークDLPは、この脅威ベクトルを使用してデータの流出を阻止することができます。 さらに、Endpoint DLPは、ファイアウォールや仮想プライベートネットワーク（VPN）などのネットワークセキュリティ対策が正しく機能しなかった場合、デバイスに存在する機密データを保護します。

データを扱う組織はすべて、漏えいの防止に配慮する必要があります。特に、特定の種類のデータを保持したり、特定の種類の作業を実行したりする企業は緊急に対応する必要があります。 これらには以下の情報が含まれます。

• 個人識別情報（PII）、保護された健康情報（PHI）、支払いカード情報（PCI）はすべて政府の規制対象です。 コンプライアンスを維持するためには、顧客データを保護するソリューションと、適切な管理を保証するポリシーを設けることが重要です。
• 知的財産（IP）は、多くの企業の中核事業機能にとって重要であり、管理できないと壊滅的な結果をもたらす可能性があります。 生成AIツールの普及に伴い、事業運営に影響を与える可能性のある知的財産や営業秘密の偶発的な入力に対する対策を講じることが特に重要です。
• 独自のデバイス（BYOD）プログラムは、多くの組織のリモートワークまたはハイブリッドワークモデルへの移行の一環として、急増しています。 従業員が自身のデバイスを使用して重要な作業を実行していることを認識し、エンドポイントの機密データの未承認の配布を、企業はDLPを使用して防ぐ必要があります。

情報漏えい防止のベストプラクティスに従う組織は、情報漏えい防止ソフトウェアのコストを最小限に抑えながら、効果的なDLPプログラムをより簡単に実装することができます。

• 包括的なソリューションを選択することが大切です。組織がマルチポイントソリューションを実装し、場当たり的なDLPポリシーを採用すると、必然的に可視性が欠如し、セキュリティが弱くなります。 完全に一元化されたソリューションは、DLPプログラムの管理を大幅に簡素化し、DLPの取り組みを強化します。
• 適切な社内リソースを確保します。 情報漏えい防止計画の管理には、データ保護法、リスク分析、侵害対応、トレーニング、セキュリティ意識の専門知識を持つ人材が必要です
• 。 情報漏えい防止プログラムを成功させるには、まずデータの種類と組織にとっての価値別に分類し、DLPポリシーの適用を容易にすることから始めます。 データの種類には、個人識別情報、財務データ、規制情報、知的財産、その他のファイルが含まれることがあります。
• 機密ファイルを特定することが必要です。 分類システムを構築することで、組織はファイルのインベントリを作成し、機密データの所在と関連するリスクを特定することができます。 情報漏えい防止ソリューションの中には、データ資産を迅速に検索してカタログ化することで、この取り組みを支援できるものもあります。
• 段階的に実施します。 情報漏えい防止プログラムは、最も機密性の高い資産やチャネルを優先し、一歩ずつ構築することで成功します。
• ポリシーを確立します。 DLPポリシーは、センシティブなデータがどこで、誰に、どのように使用されるかを概説するものです。 情報漏えい防止ソリューションはこうしたポリシーにより、データが流出したり、権限のないユーザーによってアクセスされたりした場合に、それを特定することができます。
• 従業員をトレーニングします。 情報漏えい防止が成功するためには、教育および意識向上プログラムが不可欠です。これは従業員がデータプライバシーとセキュリティの重要性、およびDLPのベストプラクティスを実施する際の自身の役割を理解するのに役立ちます。
   

ユーザーが生産性を向上させ、プロセスを改善するために、生成AI（GenAI）ツールを使用することで、その使用の認可状況にかかわらず機密情報や独自情報が不適切に入力されるリスクが高まります。 大規模言語モデル（LLM）のトレーニングに使用すると、この情報はオンライン上に再び現れ、データ侵害につながるリスクがあります。  組織は、誤った種類のデータが流出するのを防ぐという課題に直面しています。予防策は一般に、承認されていない生成AIウェブサイトへのアクセスを阻止することと、機密情報の適切な管理を保証できる審査ツールの両方を必要とします。

情報漏えい防止ソリューションは、不適切な世代AI使用に対する保護のための強力なリソースとなり得ます。 従業員が機密情報をコピーして別のデバイスに送信することでセキュリティ対策を迂回しようとした場合、この行為は適切に構成されたDLPポリシーにより阻止することができます。 DLPは、承認された生成AIが使用される前から、適切なセキュリティ対策が講じられることを保証します。たとえば、ユーザーがパブリックモードでChatGPTやMicrosoft Copilotなどのツールに情報を入力しようとした場合これを阻止し、正しいセキュリティ設定が適用される企業アカウントにログインするよう促します。

情報漏えいの脅威がある場合、危険な兆候が一般的にみられます。ユーザーが悪意のあるユーザーであるか、ユーザーが侵害されたデバイスやアカウントで作業している場合がこれに相当します。 しかし、これらの警告サインは見つけにくく、ユーザーの行動を注意深く監視するとなると、セキュリティチームにとって多大な作業が発生する可能性があります。 そのため、従来のDLPは、高度な行動分析を大規模に適用できるリスク適応ソリューションによって補完され、リスクの兆候を特定します。 このタイプのソリューションは、リスクレベルを動的に個々のユーザーに割り当てることで機能し、権限を一致させるように自動的に権限を調整し、敵対的ユーザーまたは侵害を受けているユーザーが機密情報を組織外に配布できないようにします。

Forcepoint Risk-Adaptive Protectionなどのソリューションを採用することで、組織は内部脅威に対して、より正確かつ迅速に対応できます。 同時に、このソリューションは誤検知を排除して運用効率を向上させ、リスクの低いユーザーはプライバシー保護のもとで中断なく作業できます。

Forcepointは、ユーザーおよびデータセキュリティのリーディングカンパニーとして、今日の最も対応困難なデータセキュリティリスク向けに構築された情報漏えい防止ソリューションを提供しています。 Forcepoint DLPにより、企業はユーザーエクスペリエンスに摩擦を生じさせることなく、直感的な操作でデータを発見、分類、監視、保護することが可能です。

Forcepoint DLPにより、広大で包括的なルールを、ユーザーエクスペリエンスの障害とならない個別化された適応型データセキュリティに置き換えることで、セキュリティチームは情報漏えい防止を

• 合理化します。
• 業界で最も広範な定義済みポリシーのライブラリを使用してすべてのデータを表示および制御することにより、コンプライアンスを簡素化します。
• GDPRやCCPAなど、80か国以上のデータプライバシー規制を遵守します。
• 重要な知的財産をより確実に保護します。
• 構造化および非構造化の両形態において知的財産との関係を追跡します。
• ユーザーデバイスがネットワークに接続されていないときも、低速かつ低レベルの情報漏えいを防止します。
• Risk-Adaptive Data Protectionにより、ユーザーのリスクレベルに基づいて自動的にアクションをブロックします。

Forcepoint DLPは、Googleの情報漏えい防止機能やOffice 365の情報漏えい防止機能では実現できない追加機能を提供します。Forcepointは、チームは地理的および業界別にDLPポリシーをカスタマイズし、ドキュメントやデータベースレコード内できめ細かなデータフィンガープリントを使用できるようにします。 フォレンジックデータは暗号化して保存することができ、Forcepointは光学式文字認識（OCR）で画像に隠されたデータを検出することができます。