DLPのベストプラクティス

動的なネットワーク環境への移行、リモートワーク、データやクラウドアプリケーションの急増により、データセキュリティは従来の「城と堀」型の戦略では対応できない複雑な課題に変化しています。サイバー犯罪者はこれらの現代的な脆弱性を悪用しており、組織は高額なデータ侵害やコンプライアンス違反のリスクにさらされています。

ある報告によると、3件のデータ侵害のうち1件はシャドーデータが関与しており、データ侵害の平均コストは488万ドルに達しています。 

DLP（データ損失防止）ソリューションは、機密データの無断共有、転送、使用を特定して防止するものであり、現代のビジネスにおけるデータリスクへの対処に欠かせないものとなっています。 

しかし、単にソフトウェアツールを導入するだけでは、包括的なデータセキュリティを確保することはできません。組織は、ネットワーク、エンドポイント、クラウド全体でデータを保護するために、戦略、プロセス、技術の適切な組み合わせを実装する必要があります。 

この記事では、組織がデータ関連のリスクを低減し、セキュリティポスチャを強化するのに役立つ、実践的なDLPのベストプラクティスを紹介します。

DLPの一般的な3つのタイプ

DLPにはさまざまな種類があり、チームはユースケースに応じてデータを保護することができます。このセクションでは、最も一般的な3種類のDLPツールと、それぞれが転送中のデータ、保存中のデータ、クラウド内のデータをどのように保護するかについて説明します。 

1：ネットワークDLP

ネットワークDLPツールは、転送中のデータを保護します。このDLPソリューションは、ファイル共有やEメール、メッセージングなどのネットワークトラフィックをモニタリングできます。ネットワークDLPにより、チームはネットワーク上で発生するセキュリティポリシー違反をリアルタイムで検知し、不正なデータ送信を防ぐことができます。

2：エンドポイントDLP

エンドポイントDLPは、サーバー、クラウドリポジトリ、エンドポイントをモニタリングして、保存中のデータを保護し、データの誤用や漏洩から保護します。これにより、報告要件が簡素化され、情報セキュリティチームが企業コンプライアンスを維持しやすくなります。さらに、組織はエンドポイントDLPを使用して、承認されていない場所（SaaSやWeb）へのデータアップロード、デバイス使用ポリシー、USB制限を企業全体で強制することも可能です。 

3：クラウドDLP

クラウドDLPは、クラウドで保存または処理されるデータを保護します。クラウドDLPソリューションはデータを継続的にスキャンし、機密データを特定してクラウドに保存される前に自動的に暗号化します。ポリシー違反や不審な振る舞いが検知された場合には、情報セキュリティチームに通知できます。さらに、クラウドDLPはSaaSアプリケーションを保護し、IaaSストレージを安全に保ち、組織のシャドーITへの対処を支援します。 

あらゆるタイプのDLPに共通するベストプラクティス

DLPの種類ごとにそれぞれのベストプラクティスがありますが（詳細は後述）、あらゆるタイプのDLPソリューションに共通する基本的なベストプラクティスも存在します。次のDLPのベストプラクティスは、チームがDLPイニシアチブを成功させるのに役立ちます。 

1：包括的なDLPポリシーを策定する

組織はまず、自社のデータの範囲を把握する必要があります。そのうえで、機密データやアクセスレベルを定義し、誰がデータを利用できるのか、またデータの許可された宛先と許可されていない宛先を定めたセキュリティポリシーを設計します。最後に、ポリシー違反が発生した場合の修復手順や対応措置を定め、円滑に対応できるようにします。

2：機密データを特定し分類する 

データ保護ポリシーを定義する前に、自社のデータを理解することが重要です。自動化ツールやフレームワークを活用して、個人を特定できる情報 (PII)、支払い情報、その他の規制対象となる財務情報などの機密データを分類します。 

3：DLPシステムを定期的に更新し監査する

データに対する脅威は、攻撃者と防御側の間で継続的に繰り広げられる終わりのない攻防です。情報セキュリティチームは、新たな脅威を検知して軽減できるよう、セキュリティポリシーを常に最新の状態に保つ必要があります。 

4：従業員の教育と意識向上に投資する

定期的なトレーニングモジュール、セミナー、情報共有セッションを通じて組織全体の従業員を教育し、データ損失の兆候をどのように特定し報告するかについての意識を高めます。 

5：強力なアクセス制御を実装する 

最小特権の原則 (PoLP) を適用し、個人が業務を遂行するために必要なデータやリソースのみにアクセスできるようにします。さらに、多要素認証 (MFA) を利用し、証明書やシークレットを定期的に更新することで、認証情報が侵害された場合の影響範囲を最小限に抑えます。 

6：DLPを他のビジネスイニシアチブと連携させる

企業は、投資対効果を最大化するために、DLPの導入を自社のビジネス目標と連携させることを検討する必要があります。例えば、DLPイニシアチブを規制要件と対応付けることで、セキュリティとコンプライアンスの両方の目標を達成できます。組織は、GDPR、HIPAA、CCPAなどの要件に対応するためにシステム変更を行うことができます。これをDLPの導入と並行して進めることで、チームにとって移行をより円滑にし、業務効率の向上にもつながります。 

さらに、DLPは包括的なセキュリティを確保するために、IAM（アイデンティティおよびアクセス管理）やゼロトラストなど、より広範なセキュリティフレームワークと統合する必要があります。ただし、セキュリティと使いやすさのバランスを取ることが重要であり、DLPの導入が社内の生産性や協働を妨げないようにする必要があります。 

7：DLPの有効性を測定し最適化する

DLP導入後の有効性を測定することは非常に重要です。組織は、データ損失インシデント、ブロックされたファイル転送、無断アクセスの試行、コンプライアンス率など、主要なDLPメトリックを追跡する必要があります。定期的なテストやシミュレーションを実施することで、脆弱性を特定し、脅威への対応を最適化できます。 

例えば、レッドチーム演習（従業員の一部がデータ窃取攻撃を試みる演習）を実施することで、DLPの実装の堅牢性を評価できます。メトリックやフィードバックを活用することで、セキュリティポリシーや防御策の更新に役立てることができ、DLPのプロトコルを進化する脅威や組織のニーズに合わせて適応させることが可能になります。 

ネットワークDLPのベストプラクティス

データが中間ネットワークや外部ネットワークを通過する際には、傍受、中間者攻撃、データ注入攻撃などに対して特に脆弱です。効果的なネットワークDLPを実現するには、転送中のデータを保護するために、高度なトラフィックモニタリングと暗号化ツールが必要です。 

1：高度なトラフィックモニタリングツールを使用する

転送中のデータを効果的に分析するには、ペイロードの可視性が求められます。チームは、ディープパケットインスペクションなどの機能を備えたツールを使用して、ネットワークトラフィックを分析し、継続的にモニタリングする必要があります。

2：ネットワークセグメンテーションを実施する

ネットワークセグメンテーションは、侵害が発生した場合の拡散を抑え、脅威アクターによる被害を限定することができます。重要なネットワーク領域と安全性の低い領域間での機密データの送信を防ぐ制限を適用する必要があります。また、ネットワークセグメンテーションは、機密データの保存および送信方法を規定するPCI-DSS、HIPAA、GDPRなどの規制遵守にも直接役立ちます。 

3：転送中の機密データを暗号化する 

転送中のデータが暗号化されていない場合、同じネットワークにアクセスできる脅威アクターによって容易に傍受されてしまいます。チームは、転送中のデータに対してTLS（Transport Layer Security）などの暗号化標準を実装し、傍受や中間者攻撃のリスクを抑える必要があります。 

4：不正な通信を検知してブロックする

頻繁なデータアクセスの試行、大量の外部データ転送、未知のIPアドレスからの不正通信などの異常を通知するために、リアルタイムアラートと対応プロトコルを設定する必要があります。

エンドポイントDLPのベストプラクティス

エンドポイントDLPは、デバイス使用制限の適用やユーザーアクティビティのモニタリングを通じて、企業データを保護する上で重要です。次のベストプラクティスは、組織がエンドポイント上のデータリスクを低減するのに役立ちます。 

1：デバイスごとのポリシーを適用する

ラップトップ、デスクトップコンピューター、モバイルデバイスなど、企業データとやり取りするすべてのデバイスに対して包括的な使用ポリシーを定めます。このポリシーを活用して、許可されていないUSBデバイスの接続制限、承認されていないWebサイトやSaaSアプリケーションへのアップロードの制限、多要素認証の設定などを適用できます。

2：エンドポイント保護ツールを導入する

デバイスにエージェントを導入することで、エージェントレスのソリューションでは実現が難しい強力なセキュリティ機能を提供できます。エンドポイントエージェントを使用して、企業所有デバイス上のデータ使用状況を追跡、モニタリング、制御し、疑わしい振る舞いを検知するとともに、セキュリティポリシーを適用します。 

3：ユーザーの振る舞いをモニタリングする

すべてのデバイス上でユーザーの振る舞いをリアルタイムでモニタリングし、大量のファイル転送、無断アクセスの要求、業務範囲外の機密データへの頻繁なアクセス試行などの異常なアクティビティを検知します。 

クラウドDLPのベストプラクティス

クラウド環境の動的な性質により、可視性やデータセキュリティの維持が難しくなります。 

クラウドDLPは、クラウド環境全体で保存中および転送中のデータを保護します。次のベストプラクティスは、チームがクラウドDLPの導入効果を最大化するのに役立ちます。

1：DLPをCASB（クラウドアクセスセキュリティブローカー）と統合する

チームは、クラウドDLPをCASBと統合することで、SaaSアプリケーション、クラウドサービス、保存データに対する包括的な可視性と制御を得ることができます。DLPとCASBの統合により、組織はクラウドデータを保護し、マルウェア、ランサムウェア、スパイウェアなどの脅威を特定することが可能になります。

2：シャドーITから保護する

SaaSにより、新しい業務アプリケーションの導入がこれまで以上に容易になりました。しかし同時に、IT部門によって保護または管理されていないソフトウェアを従業員が簡単に導入できる環境も生まれています。クラウドDLPを統合して、クラウド上に保存された機密データとやり取りしようとする、許可されていないアプリケーションを特定してブロックします。 

3：保存中および転送中のデータを暗号化する

暗号化は、脅威アクターによるデータ侵害を困難にする手段であり、比較的容易に実装できます。組織は、保存中および転送中のデータを強力に保護するためにエンドツーエンド暗号化を採用し、クラウド全体でデータの安全性を強化する必要があります。 

4：AIと機械学習を活用して異常を検知する 

AIや機械学習アルゴリズムを使用して、疑わしいアクセスパターンやデータの流出の試行を検知し、チームに通知します。これらのアルゴリズムは、サービス、アプリケーション、ネットワーク、ストレージのログから行動パターンを学習し、組織固有の異常を自動的に特定することもできます。 

クラウドストライクでデータセキュリティを管理

DLPは、ネットワーク、エンドポイント、クラウド全体で包括的なデータ保護ポリシーを定義および適用することで、機密データの分類、モニタリング、保護を可能にします。機密データの特定と分類、アクセス制御の適用、デバイス制限の設定、従業員トレーニングの実施は、DLPを成功裏に統合するために不可欠です。組織は、これらの目的を効果的に達成するために、自社のセキュリティインフラストラクチャと統合可能な専門的なソリューションを優先して導入する必要があります。 

CrowdStrike Falcon® Data Protectionは、包括的なデータ保護とエンドポイントセキュリティを提供する堅牢な統合プラットフォームです。リアルタイムモニタリング、MLベースの検知、高度な脅威防止、偶発的なデータ漏洩の防止などの先進機能を通じて、機密データを保護し、全体的なセキュリティを提供します。