IT資産管理ツールで情報漏洩をどこまで防げるか？　スマートな情報漏洩対策とは

デジタルトランスフォーメーションが加速する中、企業が保有する情報・データの価値は高まり続けています。それに比例し、そのデータが漏洩した際の企業が被るダメージは大きくなっており、企業の情報セキュリティ対策強化は急務になっているといえるでしょう。

企業が情報漏洩を防ぐためには、標的型攻撃・マルウェアなど外部からの攻撃だけではありません。悪意をもった内部関係者による不正や従業員の操作ミスによった情報漏洩も考慮する必要があります。

独立行政法人情報処理推進機構（IPA）「企業における営業秘密管理に関する実態調査 - 調査報告書 -」によると、情報漏洩の原因として挙げられるのは、現職従業員等によるミスが43.8%、中途退職した正規社員が漏洩したは 24.8%と報告されており、この結果からもサイバー攻撃だけではなく内部対策も合わせて実施する必要があることがわかります。

これを踏まえ、貴社の情報漏洩の対策は十分でしょうか。

企業によっては、「USB使用の禁止」や「私物パソコンの業務利用の禁止」など社内ルールを制定したり、IT資産管理ツールを導入したりなど様々な対策を実施されたりしているかと思いますが、果たしてそれで十分なのでしょうか。

本コラムでは、情報漏洩対策で気を付けなければならないポイント、混同しやすいIT資産管理ツールとDLP（Data Loss Prevention）製品の違い、DLP製品導入における3つの課題についてご紹介します。

情報漏洩対策、どこに何を導入すれば良いの？

上記の情報漏洩の原因に対してどのように対処すればよいでしょうか。情報漏洩の原因3つに対し以下のような対応策が例として挙げられます。

	内部犯行		外部犯行
原因	従業員のミス	悪意をもった社員・退職者	不正アクセス・マルウェア感染
具体例	メール送信時などの誤操作クラウドの設定ミス	顧客情報をUSBへコピー機密情報を印刷して持ち出す	マルウェアが埋め込まれたWebサイトを閲覧し感染フィッシングメールを開いてしまった
対応策	社内ルールの制定社内教育の徹底メール誤送信防止システムの利用	秘密保持契約の締結 IT資産管理ツールの導入	次世代ファイアウォールの導入ウイルス対策ソフトウェアの強化
対応策

これらの対応策を全て実施・導入するというのは人的にも金銭的にもリソースを必要とし、ハードルが高いと感じる企業もあるかもしれません。また、新たなセキュリティ対策製品を社内に導入するとなると、社内の運用・保守体制にも負荷が増えることが想定されます。

それでは、効率良く・確実に企業における機密情報を保護するにはどのような手段がベストなのでしょうか。

情報漏洩対策におけるスマートな手段とは

内部からの情報漏洩と外部からの情報漏洩どちらにも対処できる手段として、DLP製品が挙げられます。

DLP製品とは、データに着目した情報漏洩対策を実施するソリューションで、機密情報と特定した情報を常に監視します。時折、IT資産管理ツールと混同されることがありますが、大きな違いは着眼点です。

IT資産管理ツールは、基本的には人の操作を追い、あらかじめ設定されたルールにおける違反がないかを監視します。

それに対しDLP製品は、あくまでもデータの動きを観察します。これにより、悪意を持った内部犯行者や高度な技術をもった攻撃者による情報漏洩を防ぐことができます。

IT資産管理ツールとDLP製品との大まかな違い

	IT資産管理ツール	DLP製品

目的	ルール違反が発生しないよう人の操作を監視する	ハイスキルな攻撃者が運用ルールを潜り抜けてのデータ漏洩を防ぐためにデータを監視する
特長	一般ユーザによる人為的ミスを防ぐ資産情報の収集管理として下記のような機能を網羅資産情報の収集ライセンス管理ファイル配信不許可端末の検知機能など	人為的ミスや社員による悪意のある情報搾取といった内部からの犯行と、外部からのマルウェアやサイバー攻撃などによるデータの侵害を防ぐ対象は機密情報など重要な情報のみとなるため、それ以外の情報に関しては制限がかからず、従業員の生産性への影響は少ない

DLP製品導入における3つの課題

DLP製品を導入するにあたり検討すべき課題が3点考えられます。
自社のリソースでの導入・構築・運用が困難と考えられる場合は、この3つのポイントについて対応可能な構築・運用会社を選定するようにしましょう。

１．導入・構築の難易度

DLP製品は一般的なセキュリティ製品と比べ、導入・構築の難易度が非常に高い製品です。ルールがうまく設定できていないと機密データが漏洩してしまったり、ブルースクリーンがでてしまったり、パソコンの動きが遅くなるといったトラブルが発生してしまいます。

また、そもそも企業の中で機密データ・重要データの定義がきちんとできていることがDLP製品導入の前提となります。

例えば、データ分類（機密・部外秘・社外秘など）に関する定義や、データ分類ごとの取り扱い方法、データ分類ごとのアクセス可能者の定義、データ分類の保管先のルールなどが挙げられます。

ここの洗い出しができていない場合は、どこに、どんな情報を、どのように保管しているかといったデータの棚卸から始める必要があります。

２．豊富な機能

2点目として、豊富な機能という点が挙げられます。

DLP製品は、アップロード制御・メール送信制御・アプリケーション制御など多くの機能が提供されますが、ルールの作成や使いこなしの難易度が高いとも言われており、これには広範な知識や豊富な経験、そしてセンスが問われます。

DLP製品選定の際は、メーカーまたは導入・構築ベンダーがどこまで対応できるのか、今までどれほどの実績があるのかを合わせて確認することをお勧めします。

３．大量のログが取得できる

3点目として、多くのログが取得できるという点が挙げられます。インシデント発生時に必要なログ調査の実施という観点において、これはDLP製品のメリットとも言えます。

左の図は、デジタルガーディアンの管理画面の一部です。

30分間で20明細以上のログが収集され、「ファイルコピー」、「ファイルの移動」、「ネットワークへのアップロード」など1アクションにごとにさらなる詳細なログを確認することができます。

このように大量のログデータを収集できるというのはメリットの1つですが、収集したログをどこからどのように調査すべきか悩まれる情報システムご担当者も多く存在します。

どのセキュリティ製品にも共通することにはなりますが、DLP製品をうまく活用するためにも、情報システム部門への負荷をかけずに運用が回るような仕組みを検討する必要があります。

例えば、ログ解析については運用会社へ委託し「早急に対象すべきインシデントが発生した際には運用会社から連絡を受け、対処を行う」といった外部企業のサービスを活用して自社の運用負荷を軽減させるといった利用方法もお勧めします。

まとめ

本コラムでは、情報漏洩対策で気を付けなければならないポイントと混同しやすいIT資産管理ツールとDLP製品の違いについてご紹介いたしました。

DLP製品は、あらかじめ設定したポリシーに基づきデータを監視・保護します。操作ログの収集や社員への教育だけではなく、システムとして情報漏洩を防ぎたいとお考えの方には最適な選択肢といえるでしょう。

DLP製品の選定や導入・構築でお悩みの方は、お気軽にＪＢサービスへご相談ください。