データ漏洩防止（DLP）

データ損失を防ぐための最も効果的なベストプラクティスの1つは、組織の貴重なデータを扱う際にすべきこと、すべきではないことを従業員に教育することから始まります。従業員のDLP教育には、データの転送、閲覧、保存のための安全な方法を含める必要があります。最大限の効果を得るためには、トレーニングは経営者レベルでスポンサーとなり、ベストプラクティスの行動を強化し更新するために定期的に繰り返す必要があります。

DLPのベストプラクティスの重要な要素であるデータ処理ポリシーには、次のものがあります。

• データを保存できる場所
• データの転送方法
• 特定の種類のデータを閲覧できるユーザー
• 保存が許可されるデータの種類
• その他多数

これらのポリシーは、他のすべてのデータ処理動作や評価を促進するため、できるだけ早い機会に確立しておく必要があります。また、組織、業界、および規制の変化を反映させるため、定期的に更新する必要があります。データの取り扱いに関するポリシーが確立されれば、より技術的な救済措置やベストプラクティスに移行し、データをあるべき場所に確実に保管することができます。

データ損失防止ポリシーを作成する上で重要なのは、データ分類システムから始めることです。この分類法は、さまざまな種類のデータに対して必要な保護の厳しさと方法を語るうえで参考となるものです。一般的な分類としては、個人を特定できる情報 (PII)、財務情報、公開データ、知的財産などがあります。他にもたくさんあります。各分類ごとに独自の保護プロトコルを設定することができます。

データ保護を成功させるには、機密データを監視する機能が必要です。データ損失防止ソフトウェアは、通常、データの使用と保存のあらゆる側面を監視する機能を備えています。

• ユーザー アクセス
• デバイスへのアクセス
• アプリケーションへのアクセス
• 脅威の種類
• 地理的な場所
• アクセス時間
• データコンテキスト

DLPソフトウェアは、監視プロセスの一環として、データが不正に使用、移動、削除、変更された場合、関係者に警告を送ります。

アプリケーションのインベントリで使用されるデータを保護することは、十分に複雑なことです。しかし、シャドーITによってアクセスされたデータも考慮する必要があります。これは、従業員がIT部門の承認を得ずに、また多くの場合、IT部門が知らないうちに独自に契約しているsoftware-as-a-service (SaaS) アプリケーションの増加です。

たとえ従業員がDLPのベストプラクティスを徹底的に学んだとしても、これらのクラウドベースのアプリケーションの安全性を正確に評価することは困難です。多くのSaaSモデルでは、SaaSプロバイダーはアプリケーション自体に責任を持ちますが、ユーザーはアプリケーションが使用するデータに対して責任を持ちます。ビジネスの目的を達成することに集中しているユーザーは、侵害されたSaaSアプリケーションを経由する攻撃からデータを保護する立場にありません。データの漏洩や悪用に歯止めをかけるのは、あなた次第です。そのため、シャドーITを認識し、シャドーITを安全なIT運用に移行させるまで、ユーザーがデータにアクセスしたり、これらのアプリケーションにデータを移動したりするのを防ぐことができるDLPソフトウェアソリューションが必要となります。

このベストプラクティスは、データの分類と密接に関係しており、この2つを組み合わせることで、その情報へのアクセス許可を持つ人だけにデータへのアクセスを許可することができるようになるのです。DLPソフトウェアは、一貫してIDとクリアランスを確認しながら、いかなるユーザーにも本質的に信頼を与えない、特定のゼロトラストデータ保護ポリシーも組み込む必要があります。

DLPは真空の中で生きているわけではありません。DLPの概念全体は、洞察、行動計画、およびデータの積極的な保護を提供するために連携するツールのエコシステムに依存しています。これらのツールには、Secure Web Gateway、Cloud Access Security Broker、メールセキュリティ、ゼロトラストインフラストラクチャなどが含まれます。

データシート: Netskope Data Loss Prevention