データ損失防止 (DLP) とは何ですか?

データは多くの企業にとって競争上の差別化要因となります。一般的な企業ネットワークには、企業秘密、販売記録、顧客の個人データ、その他の機密情報が大量に含まれています。ハッカーはこのデータをターゲットにしており、組織はしばしば重要なデータを安全に保つのに苦労しています。

一方でアクセスを認可された、数千には及ばないとしても数百ものユーザー達が、毎日クラウド・ストレージやオンプレミスのリポジトリにまたがる企業データにアクセスしています。多くの組織にとって、承認されたアクセスを促進しながらデータ損失を防ぐことは、最優先事項です。

データ損失防止（DLP） は、ネットワーク全体でデータを追跡し、そのデータにセキュリティー・ポリシーを適用することで、組織がデータの漏洩や損失を阻止できるようにします。そうすることで、セキュリティー・チームは、適切な人物だけが適切な理由で適切なデータにアクセスできるようにすることができます。

DLPソリューションは、ネットワーク上を移動するデータ・パケットを検査し、クレジットカード番号、ヘルスケア・データ、顧客記録、知的財産などの機密情報の使用を検知します。これにより、組織は各種類のデータに適切なアクセス制御と使用ポリシーを適用できます。

データは保存場所に関係なくリスクにさらされるため、組織にとって情報の保護は非常に重要な優先事項となっています。失敗した場合のコストが高くなる可能性があるからです。IBMによる最新のデータ侵害のコストに関する調査によると、データ侵害の世界的な平均コストは前年比10％増加して488万ドルに達し、パンデミック以降で最大の増加となりました。

特に、個人情報（PII）は、窃盗犯にとって非常に価値があり、しばしば標的にされます。データ侵害のコストに関する調査ではまた、データ侵害の半数近くが、納税者番号（ID）、Eメール、電話番号、自宅住所などを含む顧客の個人情報に関与していることが明らかになりました。知的財産（IP）記録は僅差で2位でした（侵害の43％）。

組織のデータは、複数の場所、複数のフォーマットで、組織間のさまざまな利害関係者によって使用または保存される可能性があるため、データの保護はますます難しくなっています。さらに、データセットが異なると、機密レベルや関連するデータ・プライバシー規制に基づいて、従うべきルールも異なる場合があります。

DLPのポリシーとツールは、データの使用中、移動中、保存中という3つの状態すべてにおいて、ネットワーク全体のあらゆるデータを監視することにより、組織の保護を支援します。

• 使用中のデータ：これは、アクセス、処理、更新、削除が行われているデータのことです。たとえば、分析や計算に使用される組織のデータや、エンドユーザーによって編集されるテキスト文書などです。

• 移動中のデータ：転送中のデータとも呼ばれ、イベント・ストリーミング・サーバーやメッセージング・アプリによる送信や、ネットワーク間の移動など、ネットワーク内を移動するデータが含まれます。移動中のデータはこれら3つの状態の中で最も安全性が低く、特に注意が必要です。

• 保存データ：クラウド・ドライブ、ローカルのハードディスク・ドライブ、アーカイブなどに保存されているデータ。一般に、保存データは他と比べて保護しやすいデータではあるものの、それでもセキュリティー対策を講じる必要があります。保存データは、例えば誰かがデスクからUSBフラッシュ・ドライブを取るといった単純な行動によって危険にさらされる可能性があります。

組織のデータ損失防止ソリューションは、使用中のソフトウェア全体に対して、使用中、移動中、保存中のすべてのデータを監視できることが理想的です。例えば、アーカイブ、Business Intelligence（BI）アプリケーション、Eメール、チーミング、オペレーティング・システム（macOSやMicrosoft Windowsなど）に対してDLP保護を追加します。

データ損失イベントは多くの場合、データ侵害、データ漏洩、またはデータ窃盗として説明されます。これらの用語は同じ意味で使用されることもありますが、それぞれに異なる意味があります。

• データ侵害：データ侵害とは、機密情報や秘密情報への不正アクセスを引き起こすセキュリティー・インシデントのことです。これには、権限のない第三者が機密データや秘密情報にアクセスするサイバー攻撃やその他のセキュリティー・インシデントが含まれます。

• データ漏洩：機密データまたは機密情報が誤って一般に公開されることです。データ漏洩は、技術的なセキュリティーの脆弱性または手順上のセキュリティー・エラーが原因で発生する可能性があり、電子的な転送と物理的な転送の両方が含まれる場合があります。

• データ窃盗：データ窃盗とは、データを盗むことを指します。これは、攻撃者が他人のデータを攻撃者の制御下にあるデバイスに移動またはコピーすることでデータを盗むことです。すべてのデータ窃盗にはデータ漏洩またはデータ侵害が必要ですが、すべてのデータ漏洩やデータ侵害がデータ窃盗につながるわけではありません。

損失の中には単純なミスから生じるものもあれば、分散型サービス妨害（DDos）攻撃やフィッシングなどのサイバー攻撃によって引き起こされるものもあります。ほぼすべてのデータ損失は、ビジネスに重大な混乱や中断を引き起こす可能性があります。

データ損失の最も一般的な原因として、以下が挙げられます。

• ヒューマン・エラーとソーシャル・エンジニアリング
  
• 内部脅威
• マルウェア
• 物理的な脅威
• セキュリティーの脆弱性
• スマートフォンやPCの盗難
• 認証情報の脆弱性または認証情報の窃盗

データ窃盗犯は、人々を騙して、共有すべきでないデータを共有させる手口を使います。ソーシャル・エンジニアリングは、従業員に機密データをEメールで送信するよう仕向けるフィッシング攻撃のように巧妙なものから、マルウェアに感染したUSBフラッシュ・ドライブを従業員が見つけそうな場所に放置し組織支給のデバイスに差し込ませるような悪質なものまで多岐にわたります。

一方、ヒューマン・エラー（人為的ミス）は、スマートフォンをレジに置き忘れたり、誤ってファイルを削除したりするなど、単純なミスの場合があります。

従業員、請負業者、利害関係者、プロバイダーを含む正規ユーザーが、不注意や悪意によってデータを危険にさらす可能性があります。

悪意のあるインサイダーは、多くの場合、個人的な利益や会社に対する不満を動機としています。内部脅威は、パスワードをうっかり更新しなかったなどの意図的でない単純な脅威から、公開されている生成AIの使用中に機密性の高い企業データを公開してしまうといった危険な脅威までさまざまです。

悪意のあるインサイダー攻撃はよくあり、コストのかかる脅威です。IBMの最新のデータ侵害のコストに関する調査によると、他のベクトルと比較して、悪意のあるインサイダー攻撃によるコストが最も高く、その額は平均して499万ドルであることがわかりました。

マルウェアは、コンピューター・システムまたはそのユーザーに害を与えるために特別に作成されたソフトウェアです。データを脅かすマルウェアの中で最もよく知られているのは、データを暗号化してアクセスできないようにし、復号キーと引き換えに身代金の支払いを要求するランサムウェアです。場合によっては、攻撃者がデータの流出や他のサイバー犯罪者との共有を防ぐために、2回目の支払いを要求することもあります。

組織のデータがどの程度適切にバックアップされているかによっては、ハード・ディスク・ドライブの誤動作が壊滅的な被害をもたらす可能性もあります。ヘッドクラッシュまたはソフトウェアの破損が原因の場合もあります。コーヒー、紅茶、炭酸飲料、水など、オフィスで飲み物をこぼすと、PCのシステム・ボードがショートするかもしれません。電力供給の中断が、良くない（または最悪の）タイミングでシステムをシャットダウンする可能性もあります。

脆弱性とは、アプリケーション、デバイス、ネットワーク、その他のIT資産の構造、コード、実装における、ハッカーが悪用できる弱点や欠陥のことです。これらには、コーディング・エラー、構成ミス、ゼロデイ脆弱性（未知の脆弱性、またはまだパッチが適用されていない脆弱性）または旧バージョンのMS Windowsなどの古いソフトウェアが含まれます。

机、車、バスの座席など、放置されているデジタル・デバイスはいずれも標的になりがちで、窃盗者にネットワークへのアクセスとデータへのアクセス許可を与えてしまいます。窃盗者がデバイスを現金で売りたいだけであっても、組織はそのデバイスへのアクセスを遮断して交換しなければならなくなり、混乱が発生してしまいます。

これには、ハッカーが容易に推測できるパスワードや、ハッカーやサイバー犯罪者が盗む可能性のあるパスワードやその他の認証情報（IDカードなど）が含まれます。

DLPポリシーには、データ分類、アクセス制御、暗号化標準、データ保持と廃棄慣行、インシデント対応プロトコル、ファイアウォール、侵入検知システム、ウイルス対策ソフトウェアをはじめとする技術的制御など、いくつもの項目を含めることができます。

データ保護ポリシーの主なメリットは、明確な基準が設定されることです。従業員は、機密情報を保護するための責任を認識しており、多くの場合、フィッシング攻撃の特定や機密情報の安全な取り扱い、セキュリティー・インシデントの迅速な報告などのデータ・セキュリティー対策に関するトレーニングを受けています。

さらに、データ保護ポリシーを策定して、アクセス要求、ユーザー・プロビジョニング、インシデント報告、セキュリティー監査などのデータ関連活動のための明確なプロセスを提供して、運用効率を高めることができます。

情報セキュリティー・チームは通常、すべてのデータに対して単一のポリシーを作成するのではなく、ネットワーク内のさまざまな種類のデータに対して異なるポリシーを作成します。これは、コンプライアンスのニーズを満たし、権限のあるエンドユーザーの承認された操作が妨げられないようにするために、データの種類が異なる場合はユースケースごとに異なる方法で処理する必要があることが多いためです。

たとえば、クレジットカード番号、社会保障番号、自宅およびメールアドレスなどの個人情報（PII） は、適切な取り扱いを規定するデータ・セキュリティー規制の対象となります。

ただし、企業は自社の知的財産（IP）については自由な裁量のもとに取り扱う場合があるうえ、PIIへのアクセスが必要な人が必ずしも企業IPへのアクセスが必要であるとは限りません（逆も然り）。

どちらの種類のデータも保護する必要がありますが、その方法は異なります。そのため、データの種類ごとに調整された個別のDLPポリシーが必要です。

組織は、DLPソリューションを使用してネットワーク・アクティビティーを監視し、データを識別してタグ付けし、DLPポリシーを適用して悪用や盗難を防ぎます。

DLPソリューションには主に3つのタイプがあります。

• ネットワーク DLP
• エンドポイント DLP
• クラウド DLP

ネットワークDLPソリューションは、データがネットワークを通過する方法や、ネットワークに出入りする方法に焦点を当てています。多くの場合、人工知能（AI）や機械学習（ML）を用いて、データ漏洩や損失を知らせる可能性のある異常なトラフィック・フローを検知します。ネットワークDLPツールは移動中のデータを監視するように設計されていますが、多くはネットワーク上で使用中のデータと静止中のデータの可視性も備えています。

エンドポイントDLPツールは、ノートPC、サーバー、モバイル・デバイス、およびネットワークにアクセスするその他のデバイスのアクティビティーを監視します。これらのソリューションは、監視対象のデバイスに直接インストールされ、ユーザーがそれらのデバイス上で禁止されているアクションを実行するのを阻止できます。一部のエンドポイントDLPツールは、デバイス間の未承認のデータ転送をブロックすることもできます。

クラウド・セキュリティー・ソリューションは、クラウド・サービスに保存され、クラウド・サービスによってアクセスされるデータに焦点を当てています。クラウド・リポジトリ内のデータをスキャン、分類、監視し、暗号化できます。これらのツールは、個々のエンド・ユーザーや企業データにアクセスする可能性のあるクラウド・サービスにアクセス制御ポリシーを適用するのにも役立ちます。

組織は、ニーズとデータの保管方法に応じて、1種類のソリューションを使用することも、複数のソリューションを組み合わせて使用することもできます。いずれの組織にとっても、すべての機密データを保護するという目標に変わりはありません。

セキュリティー・チームは通常、データ・ライフサイクル全体を通じて4段階のプロセスに従いDLPツールの助けを借りてDLPポリシーを実践します。

• データの識別と分類
  
• データモニタリング
• データ保護の適用
• DLPの取り組みに関する文書化とレポート

まず、組織はすべての構造化データと非構造化データをカタログ化します。

• 構造化データとは、クレジットカード番号など、標準化された形式のデータのことです。通常、このデータは明確にラベル付けされ、データベースに保存されます。
  
  
• 非構造化データとは、テキスト文書や画像などの自由形式の情報であり、中央データベースに適切に整理されていない場合があります。

セキュリティー・チームは通常、DLPツールを使用してネットワーク全体をスキャンし、クラウド、物理エンドポイント・デバイス、従業員の個人デバイスなど、どこにデータが保管されているかを検出します。

次に、組織はこのデータを分類し、機密レベルと共通の特性に基づいてグループに分類します。データを分類すると、組織は適切なDLPポリシーを適切な種類のデータに適用できるようになります。

たとえば、組織によっては、財務データ、マーケティング・データ、知的財産データなどのタイプに基づいてデータをグループ化する場合もあれば、一般データ保護規則（GDPR）やCalifornia Consumer Privacy Act（CCPA）などの関連規制に基づいてデータをグループ化する場合もあります。

多くのDLPソリューションはデータ分類を自動化できます。これらのツールは、AI、機械学習、パターン・マッチングを使用して構造化データと非構造化データを分析し、データの種類、機密性があるかどうか、どのDLPポリシーを適用する必要があるかを判断できます。

データが分類されると、セキュリティー・チームはデータがどのように扱われるかを監視します。DLPツールは、いくつかの手法を使用して、使用中の機密データを特定し、追跡できます。これらの手法には次のようなものがあります。

• コンテンツ分析：AIと機械学習を使用してEメールのメッセージを解析し機密情報を探すなど。
  
  
• データの照合：ファイルの内容と既知の機密データとの比較など。
  
  
• ラベルの検出および、タグやメタデータの検出：ファイルが機密であることを明示的に識別すること。これは「データ・フィンガープリント」と呼ばれることもあります。
  
  
• DLPツールが保護されたファイルのハッシュ（ファイルID）を比較する、ファイル・マッチング。
  
  
• DLPが機密データによく見られるキーワードを検索する、キーワード・マッチング。
  
  
• パターン・マッチング：特定のフォーマットに従ったデータを探すことなど。例えば、アメリカン・エキスプレスのカードには常に15桁の番号が記載されており、「3」で始まります。しかし、このような番号のすべてがアメックスのものであるとは限らないため、DLPソリューションでは企業名や略称、有効期限を探すこともできます。

機密データを検出すると、DLPツールは、ポリシー違反、異常なユーザー動作、システムの脆弱性、および潜在的なデータ損失の他の兆候を探します。これには以下が含まれます。

• ユーザーが機密ファイルを組織外の人と共有しようとするなどの、データ漏洩。
  
  
• 権限のないユーザーによる、重要なデータへのアクセスや、機密ファイルの編集、消去、コピーなどの承認されていない操作の試み。
  
  
• マルウェアシグネチャ、未知のデバイスからのトラフィック、または悪意のあるアクティビティのその他の指標。

DLPソリューションはポリシー違反を検知すると、リアルタイムの修復作業で対応できます。この修復作業の例には、以下が含まれます。

• ネットワーク上を移動するデータを暗号化する。
  
  
• データへの不正アクセスを終了する。
  
  
• 不正な転送や悪意のあるトラフィックをブロックする。
  
  
• ユーザーがポリシーに違反していることを警告する。
  
  
• 不審な動作にフラグを立ててセキュリティー・チームに確認を依頼する。
  
  
• ユーザーが重要なデータを操作する前に追加の認証チャレンジをトリガーする。
  
  
• ゼロトラスト環境などで、リソースへの最小権限アクセスを実施する。

一部のDLPツールはデータ回復にも役立ち、情報を自動的にバックアップして、損失後に復元できるようにします。

組織は、DLPポリシーを適用するためのより積極的な措置を講じることもできます。ロールベースのアクセス制御ポリシーを含む効果的なIDおよびアクセス管理（IAM）では、データへのアクセスを適切な人に制限することができます。データ・セキュリティー要件とベスト・プラクティスについて従業員をトレーニングすると、偶発的なデータ損失や漏洩を事前に防ぐことができます。

DLPツールは通常、セキュリティー・チームがネットワーク全体の機密データを監視するために使用できるダッシュボードとレポート機能を備えています。このドキュメントにより、セキュリティー・チームはDLPプログラムのパフォーマンスを長期にわたって追跡できるようになり、必要に応じてポリシーや戦略を調整できるようになります。

DLPツールは、データ・セキュリティーへの取り組みの記録を保存することで、組織が関連規制を遵守するのにも役立ちます。サイバー攻撃や監査が発生した場合、組織はこれらの記録を使用して、適切なデータ処理手順に従っていることを証明できます。

DLP戦略は多くの場合、コンプライアンスの取り組みと緊密に連携しています。多くの組織は特に、一般データ保護規則（GDPR）、California Consumer Privacy Act（CCPA）、医療保険の相互運用性と説明責任に関する法律（HIPAA法）、およびペイメントカード業界データ・セキュリティー基準（PCI DSS）のような規則に準拠するために、DLPポリシーを作成しています。

異なる規制は、異なる種類のデータに対して異なる基準を課します。例えば、HIPAA法は個人の健康情報に関するルールを規定し、PCI-DSSは組織がペイメント・カード・データを処理する方法を規定します。両方の種類のデータを収集する企業は、コンプライアンス要件を満たすために、タイプごとに個別のDLPポリシーが必要になる可能性があります。

多くのDLPソリューションには、企業が満たす必要があるさまざまなデータ・セキュリティー標準やデータ・プライバシー標準に合わせて事前に作成されたDLPポリシーが含まれています。

生成AIの台頭や新たな規制の導入など、さまざまな要因によってデータ環境は絶えず変化しています。さらに、DLPのポリシーとツールも、これらの変化に合わせて進化させる必要があります。DLPで最も重要とされるトレンドには、次のようなものがあります。

• ハイブリッド環境とマルチクラウド環境
• 生成AI
• 法規制の厳格化
• モバイルワーカーとリモートワーカー
• シャドーITとシャドー・データ

現在、多くの組織がデータをオンプレミスや複数のクラウド、場合によっては複数の国に保存しています。これらの対策は柔軟性を高め、コスト削減につながる可能性がありますが、データ保護の複雑さも増します。

たとえば、 データ侵害のコストに関する調査によると、侵害の40%は複数の環境にデータを保存している組織で発生しています。

大規模言語モデル（LLM）は定義上はその名のとおり大規模であり、組織が保存、追跡し、プロンプト・インジェクションなどの脅威から保護する必要がある大量のデータを消費します。Gartner社は、「2027年までに、サイバー攻撃とデータ漏えい全体のうち17％が生成AIに関係するだろう」と予測しています。 ¹

大規模なデータ侵害やソーシャル・メディアの悪用に伴い、政府や業界に関する規制を求める声が高まっており、システムやコンプライアンスの検証がさらに複雑になる可能性があります。欧州AI規制法やCCPAのAIに関する規則草案などの最近の動向により、データのプライバシーと保護についてこれまで以上に厳格な規則が課せられています。

建物内またはネットワーク内でデータを管理することは、モバイルワーカーやリモートワーカーにシステムへのアクセスを提供するよりも簡単です。モバイルワーカーやリモートワーカーにアクセスを提供する場合は、通信やアクセスの問題により、ITスタッフにかかる負担が倍増するからです。

さらに、リモートワーカーには複数の雇用主や契約が関与する場合があり、その「交差したネットワーク」により、より多くのデータ漏洩が発生する可能性があります。Gartner社は、「2026年末までには、テクノロジーの民主化、デジタル化、仕事の自動化により、完全リモートワーカーとハイブリッドワーカーの有効市場は、全従業員の64%に増加し、2021年の52%からさらに上昇するだろう」と予測しています¹。

従業員らが職場で個人のハードウェアやソフトウェアを使用することが増えており、管理されていないこのようなシャドーITは組織にとって大きなリスクを生み出します。

従業員の中には、個人のクラウド・ストレージ・アカウントで業務ファイルを共有したり、未承認のビデオ会議プラットフォームで会議を行ったり、IT部門の承認なしに非公式なグループチャットを作成したりしている人がいるかもしれません。Dropbox、Google Drive、Microsoft OneDriveの個人用バージョンは、ITチームにとってセキュリティー上の問題となる可能性があります。

組織はまた、シャドー・データ（IT部門が把握していない、または管理していない企業ネットワーク内のデータ）の増加にも対処する必要があります。シャドー・データの急増は、データ侵害の主な原因です。データ侵害のコストに関する調査によると、侵害の35%にシャドー・データが関与していることがわかっています。