データ損失防止 (DLP) とは、サイバーセキュリティ チームが機密データを盗難、紛失、悪用から保護するために使用する戦略、プロセス、およびテクノロジーを指します。
データは多くの企業にとって競争上の差別化要因であり 、平均的な企業ネットワークには企業秘密、顧客の個人データ、その他の機密情報が大量に保管されています。ハッカーは自分たちの利益のためにこのデータをターゲットにしますが、組織はこれらの攻撃者を阻止するのに苦労することがよくあります。数千ではないにせよ、数百の承認されたユーザーが毎日クラウド ストレージやオンプレミス リポジトリにアクセスしている間、重要なデータを安全に保つのは難しい場合があります。
DLP の戦略とツールは、ネットワーク全体でデータを追跡し、きめ細かいセキュリティ ポリシーを適用することで、組織がデータの漏洩や損失を防ぐのに役立ちます。そうすることで、セキュリティ チームは、適切な人物だけが適切な理由で適切なデータにアクセスできるようにすることができます。
データ損失イベントは、多くの場合、 データ侵害、データ漏洩 、または データ漏洩として説明されます。これらの用語は同じ意味で使用されることもありますが、それぞれに異なる意味があります。
データ漏洩とは 、個人データ(社会保障番号、銀行口座番号、医療データなど)や企業データを含む機密データや機密情報に、無許可の第三者がアクセスするサイバー攻撃やその他のセキュリティ事故を指しています。(例:顧客記録、知的財産、財務データ)。 IBM の 「2023 年データ侵害のコスト」レポートによると、 侵害の平均コストは 445 万ドルで、過去 3 年間で 15% 増加しています。
データ漏洩と は、機密データまたは機密情報が 誤って 一般に公開されることです。データ流出とは 、攻撃者が他人のデータを攻撃者の管理下にあるデバイスに移動またはコピーすることで、実際にデータが盗まれることです。
データ損失はさまざまな理由で発生しますが、最も一般的な原因は次のとおりです。
脆弱な認証情報または盗まれた認証情報 - ハッカーが簡単に推測できるパスワード、またはハッカーやサイバー犯罪者が盗むパスワードやその他の認証情報 (ID カードなど)。
内部脅威-不注意や悪意によってデータを危険にさらす正規ユーザー。 悪意のある内部関係者は、多くの場合、個人的な利益や会社に対する不満を動機としています。
マルウェア-コンピュータ・システムやそのユーザーに害を与えるために特別に作成されたソフトウェア。 データを脅かすマルウェアの中で最もよく知られているのは ランサムウェアで、データを暗号化してアクセスできないようにし、復号化キーに対する身代金の支払いを要求する(さらに、データの流出や他のサイバー犯罪者との共有を防ぐために2回目の支払いを要求する場合もある)。
ソーシャルエンジニアリング-人々を騙して、共有すべきでないデータを共有させる手口。これは、従業員に機密データを電子メールで送信するよう従業員を説得するフィッシング攻撃と同じくらい巧妙な場合もあれば、マルウェアに感染したサムドライブを誰かが見つけて使用する場所に放置するのと同じくらい巧妙な場合もあります。
物理デバイスの盗難- ネットワークとデータへのアクセス許可を泥棒に与えてしまう、ラップトップ、スマートフォンまたはその他のデバイスを盗むこと
組織は、あらゆる種類のデータ損失から保護するための正式な DLP 戦略を作成します。DLP 戦略の中核となるのは、ユーザーが企業データをどのように扱うべきかを定義する一連の DLP ポリシーです。DLP ポリシーは、データの保存場所、データにアクセスできるユーザー、データの使用方法、データをセキュリティ制御する方法など、主要なデータ セキュリティ慣行をカバーします。
情報セキュリティ チームは通常、すべてのデータに対して単一のポリシーを作成するのではなく、ネットワーク内のさまざまな種類のデータに対して異なるポリシーの作成これは、データの種類が異なれば、異なる方法で処理する必要があることが多いためです。
例えば、クレジットカード番号や自宅住所のような個人を特定できる情報(PII)は、通常、データセキュリティ規制の対象となり、企業がその情報を使ってできることが規定されています。一方で、同社は知的財産 (IP) をどう扱うかについては自由に裁量権を持っています。さらに、PII へのアクセスが必要な人々は、企業 IP へのアクセスが必要な人々と同じではない可能性があります。どちらの種類のデータも保護する必要がありますが、その方法は異なります。
セキュリティ チームは、複数の詳細な DLP ポリシーを作成することで、承認されたエンド ユーザーの承認された動作を妨げることなく、各種類のデータに適切なセキュリティ標準を適用できます。組織は、関連する規制、企業ネットワーク、業務運営の変更に対応するために、これらのポリシーを定期的に改訂します。
DLP ポリシーを手動で適用することは、不可能ではないにしても、困難な場合があります。異なるデータセットには異なるルールが適用されるだけでなく、組織はネットワーク全体のあらゆるデータを監視する必要があります。
使用中データ- アクセスまたは処理されているデータ - 例: 分析または計算に使用されているデータ、またはエンド ユーザーによって編集されているテキスト ドキュメント。
移動中データ- イベント ストリーミング サーバーやメッセージング アプリによって送信されるデータなど、ネットワークを介して移動するデータ。
保存データ—クラウド・ドライブにあるデータなど、ストレージ内のデータ。
DLP ポリシーの適用には組織全体にわたる継続的なデータの可視性が必要であるため、情報セキュリティ チームは通常、ユーザーがデータ セキュリティ ポリシーに従うようにするために、専用の DLP ソフトウェア ツールに依存しています。これらの DLP ツールは、機密データの特定、その使用状況の追跡、不正アクセスのブロックなどの主要な機能を自動化できます。
DLP ソリューションは多くの場合、他のセキュリティ制御と連携してデータを保護します。たとえば、ファイアウォールは、ネットワークに出入りする悪意のあるトラフィックを阻止するのに役立ちます。セキュリティ情報・イベント管理(SIEM )システムは、データ漏えいを指し示す可能性のある異常な行動を検知するのに役立つ。 XDR(Extended Detection and Response) ソリューションにより、企業はデータ侵害に対する強固で自動化された対応を開始することができます。
DLP ソリューションには、ネットワーク、エンドポイント、クラウド DLP の 3 つの主なタイプがあります。組織は、ニーズとデータの保存方法に応じて、1 種類のソリューションを使用することも、複数のソリューションを組み合わせて使用することもできます。
エンドポイント DLP ツールは、ラップトップ、サーバー、モバイル デバイス、およびネットワークにアクセスするその他のデバイスのアクティビティを監視します。これらのソリューションは、監視対象のデバイスに直接インストールされ、ユーザーがそれらのデバイス上で禁止されているアクションを実行するのを阻止できます。一部のエンドポイント DLP ツールは、デバイス間の未承認のデータ転送をブロックすることもできます。
クラウド DLP ソリューションは、クラウド サービスに保存され、クラウド サービスによってアクセスされるデータに焦点を当てています。クラウド リポジトリ内のデータをスキャン、分類、監視、暗号化できます。これらのツールは、個々のエンド ユーザーや企業データにアクセスする可能性のあるクラウド サービスにアクセス制御ポリシーを適用するのにも役立ちます。
セキュリティ チームは 4 段階のプロセスに従って DLP ポリシーを実践し、DLP ツールは各段階で重要な役割を果たします。
まず、組織はすべての構造化データと非構造化データをカタログ化します。構造化データは、標準化された形式のデータです。 通常、それは明確にラベル付けされ、データベースに保存されます。クレジット カード番号は構造化データの一例であり、その長さは常に 16 桁です。非構造化データは、テキスト文書や画像などの自由形式の情報です。
セキュリティ チームは通常、DLP ツールを使用してこの手順を実行します。これらのツールは多くの場合、ネットワーク全体をスキャンして、クラウド、物理エンドポイント、従業員の個人用デバイスなど、どこに保存されていてもデータを検索できます。
次に、組織はこのデータを分類し、機密レベルと共通の特性に基づいてグループに分類します。データを分類すると、組織は適切な DLP ポリシーを適切な種類のデータに適用できるようになります。たとえば、組織によっては、財務データ、マーケティング データ、知的財産などのタイプに基づいてデータをグループ化する場合があります。他の組織は、一般データ保護規則(GDPR)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、ペイメントカード業界データセキュリティ基準(PCI DSS)など、関連する規制に基づいてデータをグループ化することがあります。
多くのDLPソリューションはデータ分類を自動化できます。これらのツールは、人工知能、機械学習、パターン マッチングを使用して構造化データと非構造化データを分析し、データの種類、機密性があるかどうか、およびどの DLP ポリシーを適用する必要があるかを判断できます。
データが分類されると、セキュリティ チームはデータがどのように扱われるかを監視します。DLP ツールは、いくつかの手法を使用して、使用中の機密データを特定し、追跡できます。これらのテクニックには次のようなものがあります。
ファイルの内容と既知の機密データとの比較など、データの照合。
特定の形式に従うデータの検索などのパターン マッチング。たとえば、XXX-XX-XXXX 形式の 9 桁の数字は社会保障番号である可能性があります。
AI と機械学習を使用して電子メール メッセージを解析して機密情報を探すなどのコンテンツ分析。
ファイルが機密であることを明示的に識別するラベル、タグ、およびその他のメタデータを検出します。
DLP ツールは、機密データが処理されていることを検出すると、ポリシー違反、異常な動作、システムの脆弱性、およびその他の潜在的なデータ損失の兆候を探します。
ユーザーが機密ファイルを組織外の人と共有しようとするなどのデータ漏洩。
権限のないユーザーが重要なデータにアクセスしたり、機密ファイルの編集、消去、コピーなどの未承認の操作を実行しようとしたりします。
マルウェアシグネチャ、未知のデバイスからのトラフィック、または悪意のあるアクティビティのその他の指標。
DLP ソリューションはポリシー違反を検出すると、リアルタイムの修復作業で対応できます。例には以下が含まれます:
ネットワーク上を移動するデータを暗号化する
不正なデータ転送を停止し、悪意のあるトラフィックをブロックします。
ユーザーがポリシーに違反していることを警告する
不審な動作にフラグを立ててセキュリティ チームに確認を依頼する
ユーザーが重要なデータを操作する前に追加の認証チャレンジをトリガーする
一部の DLP ツールはデータ回復にも役立ち、情報を自動的にバックアップして、損失後に復元できるようにします。
組織は、DLP ポリシーを適用するためのより積極的な措置を講じることもできます。ロールベースのアクセス制御ポリシーを含む効果的な アイデンティティ・アクセス管理(IAM)は、データへのアクセスを適切な人に制限することができる。 データ セキュリティ要件とベスト プラクティスについて従業員をトレーニングすると、偶発的なデータ損失や漏洩を事前に防ぐことができます。
DLP ツールは通常、セキュリティ チームがネットワーク全体の機密データを監視するために使用できるダッシュボードとレポート機能を備えています。このドキュメントにより、セキュリティ チームは DLP プログラムのパフォーマンスを長期にわたって追跡できるようになり、必要に応じてポリシーや戦略を調整できるようになります。
DLP ツールは、データ セキュリティへの取り組みの記録を保存することで、組織が関連規制を遵守するのにも役立ちます。サイバー攻撃や監査が発生した場合、組織はこれらの記録を使用して、適切なデータ処理手順に従っていることを証明できます。
DLP 戦略は多くの場合、コンプライアンスの取り組みと緊密に連携しています。多くの組織は、一般データ保護規則(GDPR)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、およびペイメントカード業界データセキュリティ基準(PCI-DSS)のような規則に準拠するために、特にDLPポリシーを作成しています。
異なる規制は、異なる種類のデータに対して異なる基準を課す。 たとえば、HIPAA は個人の健康情報に関するルールを規定し、PCI-DSS は組織がペイメント カード データを処理する方法を規定します。両方の種類のデータを収集する企業は、コンプライアンス要件を満たすために、タイプごとに個別の DLP ポリシーが必要になる可能性があります。
多くの DLP ソリューションには、企業が満たす必要があるさまざまなデータ セキュリティ標準に合わせて事前に作成された DLP ポリシーが含まれています。
統制された最新セキュリティー・スイートで脅威に打ち勝つQRadar ポートフォリオにはエンタープライズグレードの AI が組み込まれており、エンドポイントセキュリティ、ログ管理、SIEM、SOAR 用の統合製品を提供しており、すべて共通のユーザーインターフェース、共有された洞察、接続されたワークフローを備えています。
オンプレミスおよびクラウド上の機密データを保護します。 IBM Security Guardiumは、脅威環境の変化に適応できるデータ・セキュリティー・ソリューションで、データ・セキュリティーのライフサイクル全体にわたる完全な可視性、コンプライアンス、および保護を提供します。
オンプレミスまたはハイブリッド・クラウドに実装された IBM データセキュリティー・ソリューションは、サイバー脅威の調査と修復、リアルタイム制御の実施、規制遵守の管理のための優れた可視性と洞察を得るのに役立ちます。
データ侵害の原因や、コストを増減させる要因を理解することが、侵害に対する備えを強化するために重要です。データ侵害に見舞われた550以上の組織の経験から学ぶことができます。
ランサムウェアは、暗号化を解除してデータへのアクセスを復元するために攻撃者に身代金を支払わない限り、被害者のデータやファイルを破壊または保留すると脅すマルウェアの一種です。
SIEM (セキュリティ情報およびイベント管理) は、組織が業務に支障をきたす前に、潜在的なセキュリティ上の脅威や脆弱性を認識し、対処できるようにするソフトウェアです。