データ損失防止 (DLP) とは、サイバーセキュリティ チームが機密データを盗難、紛失、悪用から保護するために使用する戦略、プロセス、およびテクノロジーを指します。
データは多くの企業にとって競争上の差別化要因であり 、平均的な企業ネットワークには企業秘密、顧客の個人データ、その他の機密情報が大量に保管されています。ハッカーは自分たちの利益のためにこのデータをターゲットにしますが、組織はこれらの攻撃者を阻止するのに苦労することがよくあります。数千ではないにせよ、数百の承認されたユーザーが毎日クラウド ストレージやオンプレミス リポジトリにアクセスしている間、重要なデータを安全に保つのは難しい場合があります。
DLPの戦略とツールは、ネットワーク全体でデータを追跡し、きめ細かいセキュリティ・ポリシーを適用することで、組織がデータの漏洩や損失を防ぐのに役立ちます。そうすることで、セキュリティー・チームは、適切な人物だけが適切な理由で適切なデータにアクセスできるようにすることができます。
最新のデータ侵害コストレポートを使用して、データ侵害のリスクをより適切に管理するためのインサイトを入手します。
X-Force Threat Intelligenceインデックスに登録する
データ損失イベントは多くの場合、 データ侵害、データ漏洩 、またはデータ窃盗として説明されます。これらの用語は同じ意味で使用されることもありますが、それぞれに異なる意味があります。
データ侵害とは、権限のない第三者が機密データや秘密情報にアクセスするサイバー攻撃やその他のセキュリティー・インシデントのことです。これには、個人データ(社会保障番号、銀行口座番号、医療データなど)または企業データ(顧客記録、知的財産、財務データなど)が含まれます。IBMの「2023年データ侵害のコスト」レポートによると、侵害の平均コストは445万ドルで、過去3年間で15%増加しています。
データ漏洩とは、機密データまたは機密情報が誤って一般に公開されることです。データ窃盗とは、攻撃者が他人のデータを攻撃者の管理下にあるデバイスに移動またはコピーすることで、実際にデータが盗まれることです。
データ損失はさまざまな理由で発生しますが、最も一般的な原因は次のとおりです。
認証情報の脆弱性または認証情報の窃盗—ハッカーが簡単に推測できるパスワード、またはハッカーやサイバー犯罪者が盗むパスワードやその他の認証情報(IDカードなど)。
内部脅威—不注意や悪意によってデータを危険にさらす正規ユーザー。悪意のある内部関係者は、多くの場合、個人的な利益や会社に対する不満を動機としています。
マルウェア—コンピューター・システムやそのユーザーに害を与えるために特別に作成されたソフトウェア。データを脅かすマルウェアの中で最もよく知られているのは ランサムウェアで、データを暗号化してアクセスできないようにし、復号化キーに対する身代金の支払いを要求する(さらに、データの流出や他のサイバー犯罪者との共有を防ぐために2回目の支払いを要求する場合もある)。
ソーシャル・エンジニアリング—人々を騙して、共有すべきでないデータを共有させる手口。これは、従業員に機密データをEメールで送信するよう従業員を説得するフィッシング攻撃と同じくらい巧妙な場合もあれば、マルウェアに感染したUSBフラッシュ・ドライブを誰かが見つけて使用する場所に放置するのと同じくらい巧妙な場合もあります。
物理デバイスの盗難—ノートPC、スマートフォン、その他のデバイスが盗まれて、ネットワークへのアクセス権とデータへのアクセス許可が窃盗者に窃取されてしまうこと。
組織は、あらゆる種類のデータ損失から保護するための正式な DLP 戦略を作成します。DLP 戦略の中核となるのは、ユーザーが企業データをどのように扱うべきかを定義する一連の DLP ポリシーです。DLP ポリシーは、データの保存場所、データにアクセスできるユーザー、データの使用方法、データをセキュリティ制御する方法など、主要なデータ セキュリティ慣行をカバーします。
情報セキュリティー・チームは通常、すべてのデータに対して単一のポリシーを作成するのではなく、ネットワーク内のさまざまな種類のデータに対して異なるポリシーを作成します。これは、データの種類が異なれば、異なる方法で処理する必要があることが多いためです。
たとえば、クレジットカード番号や自宅住所のような個人を特定できる情報(PII)は、通常、データセキュリティ規制の対象となり、企業がその情報を使ってできることが規定されています。一方で、同社は知的財産 (IP) をどう扱うかについては自由に裁量権を持っています。さらに、PII へのアクセスが必要な人々は、企業 IP へのアクセスが必要な人々と同じではない可能性があります。どちらの種類のデータも保護する必要がありますが、その方法は異なります。
セキュリティ チームは、複数の詳細な DLP ポリシーを作成することで、承認されたエンド ユーザーの承認された動作を妨げることなく、各種類のデータに適切なセキュリティ標準を適用できます。組織は、関連する規制、企業ネットワーク、業務運営の変更に対応するために、これらのポリシーを定期的に改訂します。
DLP ポリシーを手動で適用することは、不可能ではないにしても、困難な場合があります。異なるデータセットには異なるルールが適用されるだけでなく、組織はネットワーク全体のあらゆるデータを監視する必要があります。
使用中のデータ—分析や計算に使用されているデータや、エンド ユーザーが編集しているテキスト・ドキュメントなどアクセスまたは処理中のデータです。
移動中データ- イベント ストリーミング サーバーやメッセージング アプリによって送信されるデータなど、ネットワークを介して移動するデータ。
保存データ—クラウド・ドライブにあるデータなど、ストレージ内のデータ。
DLPポリシーの適用には組織全体にわたる継続的なデータの可視性が必要であるため、情報セキュリティー・チームは通常、ユーザーがデータ・セキュリティー・ポリシーに従うようにするために、専用のDLPソフトウェア・ツールを利用しています。これらのDLPツールは、機密データの特定、その使用状況の追跡、不正アクセスのブロックなどの主要な機能を自動化できます。
DLP ソリューションは多くの場合、他のセキュリティー制御と連携してデータを保護します。たとえば、ファイアウォールは、ネットワークに出入りする悪意のあるトラフィックを阻止するのに役立ちます。セキュリティー情報・イベント管理(SIEM )システムは、データ漏えいを指し示す可能性のある異常な行動を検知するのに役立つ。 XDR(Extended Detection and Response)ソリューションにより、企業はデータ侵害に対する強固で自動化された対応を開始することができます。
DLPソリューションには、ネットワーク、エンドポイント、クラウドDLPの3つの主なタイプがあります。組織は、ニーズとデータの保存方法に応じて、1種類のソリューションを使用することも、複数のソリューションを組み合わせて使用することもできます。
エンドポイント DLP ツールは、ラップトップ、サーバー、モバイル デバイス、およびネットワークにアクセスするその他のデバイスのアクティビティを監視します。これらのソリューションは、監視対象のデバイスに直接インストールされ、ユーザーがそれらのデバイス上で禁止されているアクションを実行するのを阻止できます。一部のエンドポイント DLP ツールは、デバイス間の未承認のデータ転送をブロックすることもできます。
クラウド DLP ソリューションは、クラウド サービスに保存され、クラウド サービスによってアクセスされるデータに焦点を当てています。クラウド リポジトリ内のデータをスキャン、分類、監視、暗号化できます。これらのツールは、個々のエンド ユーザーや企業データにアクセスする可能性のあるクラウド サービスにアクセス制御ポリシーを適用するのにも役立ちます。
セキュリティ チームは 4 段階のプロセスに従って DLP ポリシーを実践し、DLP ツールは各段階で重要な役割を果たします。
まず、組織はすべての構造化データと非構造化データをカタログ化します。構造化データは、標準化された形式のデータです。 通常、それは明確にラベル付けされ、データベースに保存されます。クレジット カード番号は構造化データの一例であり、その長さは常に 16 桁です。非構造化データは、テキスト文書や画像などの自由形式の情報です。
セキュリティ チームは通常、DLP ツールを使用してこの手順を実行します。これらのツールは多くの場合、ネットワーク全体をスキャンして、クラウド、物理エンドポイント、従業員の個人用デバイスなど、どこに保存されていてもデータを検索できます。
次に、組織はこのデータを分類し、機密レベルと共通の特性に基づいてグループに分類します。データを分類すると、組織は適切なDLPポリシーを適切な種類のデータに適用できるようになります。たとえば、組織によっては、財務データ、マーケティング・データ、知的財産などのタイプに基づいてデータをグループ化する場合があります。他の組織は、一般データ保護規則(GDPR)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、ペイメントカード業界データセキュリティ基準(PCI DSS)など、関連する規制に基づいてデータをグループ化することがあります。
多くのDLPソリューションはデータ分類を自動化できます。これらのツールは、人工知能、機械学習、パターン マッチングを使用して構造化データと非構造化データを分析し、データの種類、機密性があるかどうか、およびどの DLP ポリシーを適用する必要があるかを判断できます。
データが分類されると、セキュリティー・チームはデータがどのように扱われるかを監視します。DLPツールは、いくつかの手法を使用して、使用中の機密データを特定し、追跡できます。これらの手法には次のようなものがあります。
ファイルの内容と既知の機密データとの比較など、データの照合。
特定の形式に従うデータの検索などのパターン・マッチング。たとえば、XXX-XX-XXXX形式の9桁の数字は社会保障番号である可能性があります。
AI と機械学習を使用して電子メール メッセージを解析して機密情報を探すなどのコンテンツ分析。
ファイルが機密であることを明示的に識別するラベル、タグ、およびその他のメタデータを検出します。
DLP ツールは、機密データが処理されていることを検出すると、ポリシー違反、異常な動作、システムの脆弱性、およびその他の潜在的なデータ損失の兆候を探します。
ユーザーが機密ファイルを組織外の人と共有しようとするなどのデータ漏洩。
権限のないユーザーが重要なデータにアクセスしたり、機密ファイルの編集、消去、コピーなどの未承認の操作を実行しようとしたりします。
マルウェアシグネチャ、未知のデバイスからのトラフィック、または悪意のあるアクティビティのその他の指標。
DLP ソリューションはポリシー違反を検出すると、リアルタイムの修復作業で対応できます。例には以下が含まれます:
ネットワーク上を移動するデータを暗号化する
不正なデータ転送を停止し、悪意のあるトラフィックをブロックします。
ユーザーがポリシーに違反していることを警告する
不審な動作にフラグを立ててセキュリティ チームに確認を依頼する
ユーザーが重要なデータを操作する前に追加の認証チャレンジをトリガーする
一部の DLP ツールはデータ回復にも役立ち、情報を自動的にバックアップして、損失後に復元できるようにします。
組織は、DLPポリシーを適用するためのより積極的な措置を講じることもできます。ロールベースのアクセス制御ポリシーを含む効果的なIDおよびアクセス管理(IAM)は、データへのアクセスを適切な人に制限することができます。データ・セキュリティー要件とベスト・プラクティスについて従業員をトレーニングすると、偶発的なデータ損失や漏洩を事前に防ぐことができます。
DLP ツールは通常、セキュリティ チームがネットワーク全体の機密データを監視するために使用できるダッシュボードとレポート機能を備えています。このドキュメントにより、セキュリティ チームは DLP プログラムのパフォーマンスを長期にわたって追跡できるようになり、必要に応じてポリシーや戦略を調整できるようになります。
DLPツールは、データ・セキュリティーへの取り組みの記録を保存することで、組織が関連規制を遵守するのにも役立ちます。サイバー攻撃や監査が発生した場合、組織はこれらの記録を使用して、適切なデータ処理手順に従っていることを証明できます。
DLP 戦略は多くの場合、コンプライアンスの取り組みと緊密に連携しています。多くの組織は、一般データ保護規則(GDPR)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、およびペイメントカード業界データセキュリティ基準(PCI-DSS)のような規則に準拠するために、特にDLPポリシーを作成しています。
異なる規制は、異なる種類のデータに対して異なる基準を課す。 たとえば、HIPAA は個人の健康情報に関するルールを規定し、PCI-DSS は組織がペイメント カード データを処理する方法を規定します。両方の種類のデータを収集する企業は、コンプライアンス要件を満たすために、タイプごとに個別の DLP ポリシーが必要になる可能性があります。
多くのDLPソリューションには、企業が満たす必要のあるさまざまなデータ・セキュリティー基準に沿った、事前に記述されたDLPポリシーが含まれています。
オンプレミスおよびクラウド上の機密データを保護します。IBM Security Guardiumは、脅威環境の変化に適応できるデータ・セキュリティー・ソリューションで、データ・セキュリティーのライフサイクル全体にわたる完全な可視性、コンプライアンス、および保護を提供します。
オンプレミスまたはハイブリッド・クラウドに実装された IBM データセキュリティー・ソリューションは、サイバー脅威の調査と修復、リアルタイム制御の実施、規制遵守の管理のための優れた可視性と洞察を得るのに役立ちます。