データ損失防止 (DLP) とは何ですか?

多くの企業にとってデータは競争上の差別化要因です。一般的な企業ネットワークには、企業秘密、販売記録、顧客の個人データ、その他の機密情報が大量に含まれています。ハッカーはこのデータをターゲットにしており、組織はしばしば重要なデータを安全に保つのに苦労しています。

一方でアクセスを認可された、数千には及ばないとしても数百ものユーザー達が、毎日クラウド・ストレージやオンプレミスのリポジトリにまたがる企業データにアクセスしています。多くの組織にとって、承認されたアクセスを促進しながらデータ損失を防ぐことは、最優先事項です。

データ損失防止（DLP） は、ネットワーク全体でデータを追跡し、そのデータにセキュリティー・ポリシーを適用することで、組織がデータの漏洩や損失を防ぐのに役立ちます。そうすることで、セキュリティー・チームは、適切な人物だけが適切な理由で適切なデータにアクセスできるようにすることができます。

DLPソリューションは、ネットワーク上を移動するデータ・パケットを検査し、クレジットカード番号、ヘルスケア・データ、顧客記録、知的財産などの機密情報の使用を検知します。これにより、組織は各種類のデータに適切なアクセス制御と使用ポリシーを適用できます。

データは保管場所に関係なく常にリスクにさらされているため、情報の保護は組織にとって極めて重要な課題となっています。失敗の代償は非常に高くつく可能性があります。IBM®の最新のデータ侵害のコストに関する調査によると、世界におけるデータ侵害の平均コストは前年比で10％増加し、4.88百万米ドルに達しました。これはパンデミック以降で最大の増加幅です。

個人識別情報（PII）は、特に盗賊にとって非常に価値があり、頻繁に標的にされます。データ侵害のコストに関する調査ではまた、データ侵害の半数近くが、納税者番号（ID）、Eメール、電話番号、自宅住所などを含む顧客の個人情報に関与していることが明らかになりました。知的財産（IP）記録は僅差で2位でした（侵害の43％）。

組織のデータは、複数のフォーマット、複数の場所で、組織間のさまざまな利害関係者によって使用または保管される可能性があるため、データの保護はますます難しくなっています。さらに、データセットが異なると、機密レベルや関連するデータ・プライバシー規制に基づいて、従うべきルールも異なる場合があります。

DLPのポリシーとツールは、データの使用中、移動中、保存中という3つの状態すべてにおいて、ネットワーク全体のあらゆるデータを監視することにより、組織の保護を支援します。

• 使用中データ：これは、アクセス、処理、更新、削除が行われているデータのことです。たとえば、分析や計算に使用される組織のデータや、エンドユーザーによって編集されるテキスト文書などです。

• 移動中のデータ：転送中のデータとも呼ばれ、イベント・ストリーミング・サーバーやメッセージング・アプリによる送信や、ネットワーク間の移動など、ネットワーク内を移動するデータが含まれます。移動中のデータはこれら3つの状態の中で最も安全性が低く、特に注意が必要です。

• 保存中のデータ（保存データ）：クラウド・ドライブ、ローカルのハードディスク・ドライブ、アーカイブなどに保存されているデータ。一般に、保存データは他と比べて保護しやすいデータではあるものの、それでもセキュリティー対策を講じる必要があります。保存データは、例えば誰かがデスクからUSBフラッシュ・ドライブを取るといった単純な行動によって危険にさらされる可能性があります。

組織のデータ損失防止ソリューションは、使用中のソフトウェア全体に対して、使用中、移動中、保存中のすべてのデータを監視できることが理想的です。例えば、アーカイブ、Business Intelligence（BI） アプリケーション、Eメール、チーミング、オペレーティング・システム（macOSやMicrosoft Windowsなど）に対するDLP保護の追加です。

データ損失イベントは多くの場合、データ侵害、データ漏洩、またはデータ窃盗として説明されます。これらの用語は同じ意味で使用されることもありますが、それぞれに異なる意味があります。

• データ侵害：データ侵害とは、機密情報や機密情報への不正アクセスにつながるセキュリティー・インシデントです。これには、サイバー攻撃や、権限のない第三者が機密データや機密情報にアクセスするその他のセキュリティ－・インシデントが含まれます。

• データ漏洩：これは、機密データまたは機密情報が誤って一般に公開されることを意味します。データ漏洩は、技術的なセキュリティーの脆弱性または手順上のセキュリティー・エラーが原因で発生する可能性があり、電子的な転送と物理的な転送の両方が含まれる場合があります。

• データ窃盗：データ窃盗とは、データを盗むことを指します。これは、攻撃者が他人のデータを攻撃者の制御下にあるデバイスに移動またはコピーすることでデータを盗むことです。すべてのデータ窃盗にはデータ漏洩またはデータ侵害が必要ですが、すべてのデータ漏洩やデータ侵害がデータ窃盗につながるわけではありません。

損失の中には単純なミスから生じるものもあれば、分散型サービス妨害（DDos）攻撃やフィッシングなどのサイバー攻撃によって引き起こされるものもあります。ほぼすべてのデータ損失は、ビジネスに重大な混乱を引き起こす可能性があります。

データ損失の最も一般的な原因として、以下が挙げられます。

• ヒューマン・エラーとソーシャル・エンジニアリング
  
• 内部脅威
• マルウェア
• 物理的な脅威
• セキュリティーの脆弱性
• スマートフォンやPCの盗難
• 認証情報の脆弱性または盗難

データ窃盗犯は、人々を騙して共有すべきでないデータを共有させる手口を使います。ソーシャル・エンジニアリングは、従業員に機密データをEメールで送信するよう仕向けるフィッシング攻撃のように巧妙なものから、マルウェアに感染したUSBフラッシュ・ドライブを従業員が見つけそうな場所に放置し組織支給のデバイスに差し込ませるような悪質なものまで多岐にわたります。

一方、ヒューマン・エラー（人為的ミス）は、スマートフォンをレジに置き忘れたり、誤ってファイルを削除したりするなど、単純なミスの場合があります。

従業員、請負業者、利害関係者、プロバイダーを含む正規ユーザーが、不注意や悪意によってデータを危険にさらす可能性があります。

悪意のあるインサイダーは、個人的な利益や会社に対する不満を動機として行動することがよくあります。内部脅威は、パスワードを更新しないという不注意といった単純なものから、公開されている生成AI（Gen AI）の使用中に企業の機密データを漏洩させるといった危険なものまで、意図せず発生する可能性があります。
 
悪意のあるインサイダー攻撃はよくあり、コストのかかる脅威です。IBMの最新のデータ侵害のコストに関する調査によると、他のベクトルと比較して、悪意のあるインサイダー攻撃によるコストが最も高く、その額は平均して499万ドルであることがわかりました。

これは、コンピュータシステムやそのユーザーに危害を加えるために特別に作成されたソフトウェアです。データを脅かすマルウェアの中で最もよく知られているのはランサムウェアです。これはデータを暗号化してアクセスできないようにし、復号キーと引き換えに身代金を要求します。攻撃者は、データの流出や他のサイバー犯罪者への共有を防ぐために、2度目の身代金を要求することもあります。

組織のデータがどの程度適切にバックアップされているかによっては、ハード・ディスク・ドライブの誤動作が壊滅的な被害をもたらす可能性もあります。ヘッドクラッシュまたはソフトウェアの破損が原因の場合もあります。オフィスでコーヒー、紅茶、炭酸飲料、水などの飲み物をこぼすと、PCのシステム・ボードがショートするかもしれません。電力供給の中断が、良くない（または最悪の）タイミングでシステムをシャットダウンして、作業の保存を妨げたり、送信を中断したりする可能性もあります。

脆弱性とは、アプリケーション、デバイス、ネットワーク、またはその他のIT資産の構造、コード、または実装における、ハッカーが悪用できる弱点や欠陥を指します。これらには、コーディング・エラー、構成ミス、ゼロデイ脆弱性（未知の脆弱性、またはまだパッチが適用されていない脆弱性）、または古いソフトウェア（古いバージョンのMS Windowsなど）が含まれます。

机、車、バスの座席などで放置されているデジタル・デバイスはいずれも標的になりがちで、窃盗者にネットワークへのアクセスとデータへのアクセス許可を与えてしまいます。窃盗者がデバイスを現金で売りたいだけであっても、組織はそのデバイスへのアクセスを遮断して交換しなければならなくなり、混乱が発生してしまいます。

これには、ハッカーが容易に推測できるパスワードや、ハッカーやサイバー犯罪者が盗む可能性のあるパスワードやその他の認証情報（IDカードなど）が含まれます。

DLPポリシーには、データ分類、アクセス制御、暗号化標準、データ保持と廃棄慣行、インシデント対応プロトコル、技術的制御（例：ファイアウォール、侵入検知システム、ウイルス対策ソフトウェア）などを含めることができます。

データ保護ポリシーの主なメリットは、明確な基準が設定されることです。従業員は、機密情報を保護するための責任を認識しており、多くの場合、フィッシング攻撃の特定や機密情報の安全な取り扱い、セキュリティー・インシデントの迅速な報告などのデータ・セキュリティー対策に関するトレーニングを受けています。

さらに、データ保護ポリシーを策定して、アクセス要求、ユーザー・プロビジョニング、インシデント報告、セキュリティー監査などのデータ関連活動のための明確なプロセスを提供して、運用効率を高めることができます。

情報セキュリティー・チームは通常、すべてのデータに対して単一のポリシーを作成するのではなく、ネットワーク内のさまざまな種類のデータに対して異なるポリシーを作成します。これは、コンプライアンスのニーズを満たし、権限のあるエンドユーザーの承認された操作が妨げられないようにするために、データの種類が異なる場合はユースケースごとに異なる方法で処理する必要があることが多いためです。

たとえば、クレジットカード番号、社会保障番号、自宅住所およびEメール・アドレスなどの個人情報（PII） は、適切な取り扱いを規定するデータ・セキュリティー規制の対象となります。

ただし、企業は自社の知的財産（IP）については自由な裁量のもとに取り扱う場合があるうえ、PIIへのアクセスが必要な人が必ずしも企業IPへのアクセスが必要であるとは限りません（逆も然り）。

どちらの種類のデータも保護する必要がありますが、その方法は異なります。そのため、データの種類ごとに調整された個別のDLPポリシーが必要です。

組織は、DLPソリューションを使用してネットワーク・アクティビティーを監視し、データを識別してタグ付けし、DLPポリシーを適用して悪用や盗難を防ぎます。

DLPソリューションには主に3つのタイプがあります。

• ネットワークDLP
• エンドポイントDLP
• クラウドDLP

ネットワークDLPソリューションは、データがネットワークを通過し、ネットワークに出入りする方法に焦点を当てています。多くの場合、人工知能（AI）と機械学習（ML）を使用して、データの漏洩や損失を示す可能性のある異常なトラフィックフローを検知します。ネットワークDLPツールは移動中のデータを監視するように設計されていますが、多くはネットワーク上で使用中のデータと静止中のデータの可視性も提供します。

エンドポイントDLPツールは、ノートPC、サーバー、モバイル・デバイス、およびネットワークにアクセスするその他のデバイスのアクティビティを監視します。これらのソリューションは、監視対象のデバイスに直接インストールされ、ユーザーがそれらのデバイス上で禁止されているアクションを実行するのを阻止できます。一部のエンドポイントDLPツールは、デバイス間の未承認のデータ転送をブロックすることもできます。

クラウド・セキュリティー・ソリューションは、クラウド・サービスに保管され、クラウド・サービスによってアクセスされるデータに焦点を当てています。クラウド・リポジトリ内のデータをスキャン、分類、監視、暗号化できます。これらのツールは、個々のエンド・ユーザーや企業データにアクセスする可能性のあるクラウド・サービスにアクセス制御ポリシーを適用するのにも役立ちます。

組織は、ニーズとデータの保管方法に応じて、1種類のソリューションを使用することも、複数のソリューションを組み合わせて使用することもできます。いずれの組織にとっても、すべての機密データを保護するという目標に変わりはありません。

セキュリティー・チームは通常、データ・ライフサイクル全体を通じて4段階のプロセスに従い、DLPツールの助けを借りてDLPポリシーを実践します。

• データの識別と分類
  
• データモニタリング
• データ保護の適用
• DLPの取り組みに関する文書化とレポート

まず、組織はすべての構造化データと非構造化データをカタログ化します。

• 構造化データとは、クレジットカード番号など、標準化された形式のデータのことです。通常、このデータは明確にラベル付けされ、データベースに保存されます。
  
  
• 非構造化データとは、テキスト文書や画像などの自由形式の情報であり、中央データベースに適切に整理されていない場合があります。

セキュリティー・チームは通常、DLPツールを使用してネットワーク全体をスキャンし、クラウド、物理エンドポイント・デバイス、従業員の個人デバイスなど、どこにデータが保管されているかを検出します。

次に、組織はこのデータを分類し、機密レベルと共通の特性に基づいてグループに分類します。データを分類すると、組織は適切なDLPポリシーを適切な種類のデータに適用できるようになります。

例えば、組織によっては、財務データ、マーケティング・データ、知的財産などの種類に基づいてデータをグループ化する場合があります。また、一般データ保護規則（GDPR）やCalifornia Consumer Privacy Act（CCPA）などの関連規制に基づいてデータをグループ化する組織もあります。

多くのDLPソリューションはデータ分類を自動化できます。これらのツールは、AI、機械学習、パターン・マッチングを使用して構造化データと非構造化データを分析し、データの種類、機密性があるかどうか、どのポリシーを適用する必要があるかを判断できます。

データが分類されると、セキュリティー・チームはデータがどのように扱われるかを監視します。DLPツールは、いくつかの手法を使用して、使用中の機密データを特定し、追跡できます。これらの手法には次のようなものがあります。

• コンテンツ分析、AIおよび機械学習を使用して機密情報を解析するEメールメッセージ。
  
  
• データの照合、例えばファイルの内容を既知の機密データと比較することなど。
  
  
• ラベルの検出、タグ、およびその他のメタデータを通じてファイルが機密であることを明示的に識別します。「データ・フィンガープリント」とも呼ばれます。
  
  
• ファイル・マッチング、DLPツールが保護されたファイルのハッシュ（ファイルID）を比較する。
  
  
• キーワード・マッチング、DLPが機密データによく見られるキーワードを検索。
  
  
• 特定のフォーマットに従ったデータを探すなどのパターン・マッチング。たとえば、アメリカン・エキスプレスのカードには常に15桁の番号が記載されており、「3」で始まります。しかし、このような番号のすべてがアメックスのものであるとは限らないため、DLPソリューションでは企業名や略称、有効期限を探すこともできます。

DLPツールが機密データを検出すると、ポリシー違反、異常なユーザー動作、システムの脆弱性、および潜在的なデータ損失の他の兆候を探します。

• ユーザーが機密ファイルを組織外の人と共有しようとするなどのデータ漏洩。
  
  
• 権限のないユーザーが、重要なデータにアクセスしようとしたり、機密ファイルの編集、消去、コピーなどの未承認の操作を実行しようとしたりします。
  
  
• マルウェアシグネチャ、未知のデバイスからのトラフィック、または悪意のあるアクティビティーのその他の指標。

DLPソリューションはポリシー違反を検知すると、リアルタイムの修復作業で対応できます。この修復作業の例として、以下が含まれます。

• ネットワーク上を移動するデータを暗号化する。
  
  
• データへの不正アクセスを終了する。
  
  
• 不正な転送や悪意のあるトラフィックをブロックする。
  
  
• ユーザーがポリシーに違反していることを警告する。
   
  
• 不審な動作にフラグを立ててセキュリティーチームに確認を依頼する。
  
  
• ユーザーが重要なデータを操作する前に追加の認証チャレンジをトリガーする。
  
  
• ゼロトラスト環境などで、リソースへの最小権限アクセスを実施します。

一部のDLPツールはデータ復旧にも役立ち、情報を自動的にバックアップして、損失後に復元できるようにします。

組織は、DLPポリシーを適用するためのより積極的な措置を講じることもできます。ロールベースのアクセス制御ポリシーを含む効果的な IDおよびアクセス管理（IAM） は、データへのアクセスを適切な人に制限することができます。データ・セキュリティー要件とベスト・プラクティスについて従業員をトレーニングすると、偶発的なデータ損失や漏洩を事前に防ぐことができます。

DLPツールは通常、セキュリティー・チームがネットワーク全体の機密データを監視するために使用できるダッシュボードとレポート機能を備えています。このドキュメントにより、セキュリティー・チームはDLPプログラムのパフォーマンスを長期にわたって追跡できるようになり、必要に応じてポリシーや戦略を調整できるようになります。

DLPツールは、データ・セキュリティーへの取り組みの記録を保存することで、組織が関連規制を遵守するのにも役立ちます。サイバー攻撃や監査が発生した場合、組織はこれらの記録を使用して、適切なデータ処理手順に従っていることを証明できます。

DLP戦略は多くの場合、コンプライアンスの取り組みと連携しています。多くの組織は特に、一般データ保護規則（GDPR）、California Consumer Privacy Act（CCPA）、医療保険の相互運用性と説明責任に関する法律（HIPAA法）、およびペイメントカード業界データ・セキュリティー基準（PCI-DSS）のような規則に準拠するために、DLPポリシーを作成しています。

異なる規制は、異なる種類のデータに対して異なる基準を課します。たとえば、HIPAA法は個人の健康情報に関するルールを規定し、PCI-DSS は組織がペイメント・カード・データを処理する方法を規定します。両方の種類のデータを収集する企業は、コンプライアンス要件を満たすために、タイプごとに個別のDLPポリシーが必要になる可能性があります。

多くのDLPソリューションには、企業が満たす必要があるさまざまなデータ・セキュリティーおよびデータ・プライバシー基準に沿って事前に記述されたDLPポリシーが含まれています。

生成AIの台頭や新たな規制の導入など、さまざまな要因によってデータ環境は絶えず変化しています。さらに、DLPのポリシーとツールも、これらの変化に合わせて進化させる必要があります。DLPで最も重要とされるトレンドには、次のようなものがあります。

• ハイブリッドおよびマルチクラウド環境
• 生成AI
• 規制の強化
• モバイルワーカーとリモートワーク
• シャドーITとシャドー・データ

現在、多くの組織がデータをオンプレミスや複数のクラウド、場合によっては複数の国に保管しています。これらの対策は柔軟性を高め、コスト削減につながる可能性がありますが、データ保護の複雑さも増します。

たとえば、データ侵害のコストに関する調査によると、侵害の40%は複数の環境にデータを保管している組織で発生しています。

大規模言語モデル（LLM）は定義上はその名のとおり大規模であり、組織が保管、追跡し、プロンプト・インジェクションなどの脅威から保護する必要がある大量のデータを消費します。Gartner社は、「2027年までに、サイバー攻撃とデータ漏えい全体のうち17％が生成AIに関係するだろう」と予測しています。 ¹

大規模なデータ侵害やソーシャル・メディアの悪用に伴い、政府や業界に関する規制を求める声が高まっており、システムやコンプライアンスの検証がさらに複雑になる可能性があります。欧州AI規制法や CCPAのAIに関する規則草案などの最近の動向により、データのプライバシーと保護についてこれまで以上に厳格な規則が課せられています。

建物内またはネットワーク内でデータを管理することは、モバイルワーカーやリモートワーカーにシステムへのアクセスを提供するよりも簡単です。モバイルワーカーやリモートワーカーにアクセスを提供する場合は、通信やアクセスの問題により、ITスタッフに必要な労力が倍増するからです。

さらに、リモートワーカーには複数の雇用主や契約が関与する場合があり、その「交差したネットワーク」により、より多くのデータ漏洩が発生する可能性があります。Gartner社は、「2026年末までには、テクノロジーの民主化、デジタル化、仕事の自動化により、完全リモートワーカーとハイブリッドワーカーの有効市場は、全従業員の64%に増加し、2021年の52%からさらに上昇するだろう」と予測しています¹

従業員らが職場で個人のハードウェアやソフトウェアを使用することが増えており、管理されていないこのようなシャドーITは組織にとって大きなリスクを生み出します。

従業員の中には、個人のクラウド・ストレージ・アカウントで業務ファイルを共有したり、未承認のビデオ会議プラットフォームで会議を行ったり、IT部門の承認なしに非公式なグループチャットを作成したりしている人がいるかもしれません。Dropbox、Google Drive、Microsoft OneDriveの個人用バージョンは、ITチームにとってセキュリティー上の問題となる可能性があります。

組織はまた、シャドー・データ（IT部門が把握していない、または管理していない企業ネットワーク内のデータ）の増加にも対処する必要があります。シャドー・データの急増は、データ侵害の主な原因です。 データ侵害のコストに関する調査によると、侵害の35%にシャドー・データが関与していることがわかっています。