法人向けIT製品の比較・選定を支援する情報メディア「アスピック」の編集部。 SaaSや業務システムを中心に、バックオフィス・営業・人事・マーケティングなど幅広い領域のIT製品を調査・比較し、導入検討に役立つ情報を発信している。 各サービスの機能や料金、導入実績などの公開情報をもとに、ユーザー視点でのわかりやすい整理を重視してコンテンツを制作。また、実際の利用シーンや業務課題を踏まえ、企業のIT活用による業務効率化や課題解決につながる情報提供を行っている。
不正行為や誤操作による情報漏えいを防ぎたいITセキュリティ担当者へ。機密や個人情報などのデータ自体を監視して流出を防ぐセキュリティシステムDLPでできること・比較ポイントとともにおすすめのサービスを紹介します。
DLPとは、機密性が高いと判定されたデータを監視・制御し、情報漏えいを防ぐためのセキュリティシステムです。
従来のセキュリティシステムとの違いは、監視対象となる情報の範囲です。従来のアクセス制御や認証が主にユーザーや端末を基準に保護するのに対し、DLPは機密データの内容や取り扱い状況を識別し、ポリシーに応じて警告・ブロック・記録などを行います。
対象データを絞る主なメリットは、ID・パスワードによる管理だけでは防ぎにくい正規ユーザーの不正操作や誤操作に対応できることと、監視対象を限定して管理・運用の負荷を抑えられることの2点です。
また、データそのものやデータの所在を監視対象とするDLPなら、故意・過失を問わず正規ユーザーによる流出に対応できます。重要な機密情報に限った対応のため、膨大なデータを対象とする必要もありません。
また、機密データ以外の利用を制限しないため、作業効率の観点からもメリットがあるといえます。
DLP製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
従来のセキュリティシステムと異なる、DLPの特徴的な機能を含めて詳しく解説していきます。
DLPでは2つの方法で重要データの判別を行います。「①キーワード・正規表現による判別」と「②フィンガープリントによる判別」です。
「①キーワードや正規表現による判別」とは、事前に登録したキーワードなどから、監視対象を識別する方法。氏名、住所、クレジットカードなど特定のキーワードで判別したい場合に有効です。
一方、「②フィンガープリントによる判別」では、あらかじめ登録した文書やテンプレートの特徴と照合し、同一または類似する機密情報を検出します。事前にフィンガープリントをDLPシステムへ登録しておくと、文書の一部がコピー・編集された場合でも、登録内容との一致度に基づいて機密情報を検出できます。たとえば文書の一部を書き換えても、登録したキーワードや文書構造の特徴から機密情報を判別できる仕組みです。
特定した機密情報や重要なデータを常に監視・保護する機能です。重要と判別されたデータは、製品が対応するデータ形式やファイル形式の範囲内で監視・保護できます。
機密情報が持ち出されそうなときにアラート通知をするほか、送信や書き込み・改ざんの禁止、データの暗号化などの機能を備えています。
USBや周辺機器ポートを制御する機能。ポリシーに違反するリムーバブルデバイスの使用制御や、デバイスのロックダウンといった操作ができます。中には、ベンダーIDやシリアル番号に基づいて、外部デバイスをきめ細かく制御ができる製品も。
USBなどのリムーバブルメディアに暗号化エリアを生成する機能。持ち出しデータの暗号化が自動で行われるので、業務効率を下げることなくデータを保護できます。
米国民事訴訟において、電子証拠を特定・提供する制度「eDiscovery」に対応するための機能。クライアントPCから、法的調査に必要な機密データを検出・保護します。また、コンプライアンスに違反したデータを検出し、暗号化や削除できる製品も。
DLP製品は、主に以下の3つのタイプに分けられます。
PCやサーバーなどの機器や社内サーバー、利用中のIaaSを含めた社内リソース全体を幅広く監視したい場合に適したタイプ。エンドポイントとなる利用機器にエージェントをインストールしたうえで、監視用のサーバーを設置し、社内ネットワークを通過するデータを監視します。
たとえば、「Symantec Data Loss Prevention」は、エンドポイントでコピーや印刷などをブロック・警告する機能を搭載。加えて、公開領域にある保護すべき機密情報を安全な場所に隔離・コピーするストレージ向け監視機能や、メール・Web・FTPなどの通信内の機密情報を見つけ出して警告・ブロック・機密データ消去を行うネットワーク監視機能なども備えています。
エンドポイントとなるPCなどの端末機器に「エージェント」と呼ばれるソフトウェアをインストールして、エンドポイント側でデータのやりとりを監視するタイプ。機密情報をメールに添付したり、USBへコピーしたりすると、アラート通知を行います。
エンドポイント型の場合、自社で利用中の端末機器のOSに対応している必要があります。たとえば、「Netwrix Endpoint Protector」では、Windowsだけでなく、MacやLinuxなど、マルチOS対応。複数OSの端末機器を使用している組織での導入に適しています。
インターネットと社内利用機器間の全通信が通過するファイアウォールに、DLP機能が搭載されているタイプ。利用機器ごとにエージェントインストールをする手間がなく、導入しやすいのが特徴です。たとえば、「Next Generation Firewalls」は、DLP以外にファイアウォールやマルウェア対策など多様な機能を備え、1台で多層防御を実現します。
ただし、ファイアウォールを通過しない通信(PCが社内回線以外を使って行うインターネット通信など)は監視できません。
DLP製品を選ぶ際、何を基準に選べばいいのか、比較ポイントを3つ紹介します。
一言でデータ漏えいといっても、誤送信、データを保存した端末の紛失、不正アクセスなど、その原因は様々です。DLP製品を選ぶ際には、どのような検出方法を採用しているのか、自社に必要な範囲をカバーしているのか確認しておきましょう。
たとえば「Acronis DeviceLock DLP」のように、スクリーンショットのブロックやOCRによる画像内テキストの抽出・フィルタリング、印刷の監視・制御ができる製品もあります。
DLPは監視対象となる重要データが流出や改ざんなどの危険にさらされた場合に、検知・防止するシステムです。そのため、何を重要データとみなして監視・検出対象とするのか、指定しておく必要がありますが、監視・検出対象を設定するには時間と労力がかかります。
そこで、事前に定義された識別子があれば、設定の手間を軽減できます。たとえば、「Netskope」では3,000種類以上のデータ識別子が用意されています。
また「Symantec Data Loss Prevention」も、データ識別子があらかじめ用意されているシステム。口座番号、運転免許証番号、パスポート番号といった個人識別データの識別子が用意されている点が特徴的です。
USBメモリや外付けHDDからの情報流出を防ぐためには、アクセス可否などの接続制御をしなくてはいけません。たとえば、未登録の機器からのアクセスを遮断・記録する、読み取り専用にして持ち出せないようにする、といった方法が挙げられます。
業務上、外部機器の利用が避けられない場合は、個別設定や管理者承認などの機能を備えたシステムを選ぶのがおすすめです。
![]()
(出所:Symantec Data Loss Prevention公式Webサイト)
マイナンバーにも対応している全体監視型のDLP。重要情報の検出・監視・保護のほか、インシデント傾向分析や改善検討の促進にも対応している。社内のネットワークやデバイスに散在している情報のどこに重要情報があるか把握できていなくても、あらかじめ定義した条件に基づいた特定が可能。外部デバイスへの書き出しやメール送信といった漏えいリスクのある操作が行われると、警告やブロックによって情報を保護する。
また、新規作成ファイルに重要情報が含まれているか否かの判定が自動で行われる。社員の知識やスキルにも依存せず、全社統一のセキュリティポリシーで運用できるので、属人化の防止にも役立つ。
![]()
(出所:Netskope Data Loss Prevention公式Webサイト)
法人クラウドサービスのセキュリティをまるごと任せられる統合プラットフォーム。様々なクラウドサービスや利用状況に対応する、幅広い機能を備えているのが特徴。ひとつのプラットフォームで可視化から制御、保護・防御までを一気通貫で行える。
たとえば、クラウドサービスにアップロードするファイルに個人情報などの重要情報が含まれている場合には、アップロードをブロック、またはアップロード許可制にするといった対策が可能。また、重要情報が含まれている場合には、個人メールアドレスへの添付ファイル付きメールの送信を禁止できる。
![]()
(出所:Proofpoint Enterprise DLP公式Webサイト)
「人」に焦点を当てたセキュリティ環境を構築し、内部脅威から組織を守るDLP。コンテンツの判別に加え、ユーザーの行動認識と脅威の遠隔測定によってリスクを洗い出し。アラートの原因が、外部からの侵害なのか、悪意あるユーザーの行動なのか、または単なる不注意であるのかを見分けられる。人に起因するデータ損失のあらゆるシナリオに対応できるので、アラート対応の優先順位付けと素早く適切な対応が可能に。
調査や対応にかかる時間を短縮できるので、より迅速な意思決定に役立つ。監視リソースの合理的・効率的な振り分け、早期の適切な対応を実現する。
![]()
(出所:Microsoft Purview公式Webサイト)
Microsoft 365、エンドポイント、オンプレミスのファイル共有、ブラウザーやクラウドアプリなどを対象に、機密データの識別・監視・保護を行うDLPソリューション。データにラベルをつけて分類できるなど、データ管理を効率化する機能を豊富に備えている。
必要なときに、社内エンジニアやアナリスト、データサイエンティストに適切なデータを渡せるので、リアルタイムでのアクセスによりスムーズなデータ共有が可能に。また、様々なAzureサービスと連携してセキュリティレベルを高められる、Microsoft製品ならではの強みも持っている。
![]()
(出所:Forcepoint DLP公式Webサイト)
企業全体の機密データを保護するための包括的なセキュリティプラットフォーム。データ保護、レポート作成、分析、リアルタイムでのインシデント修復などの機能が充実しており、エンドポイント対策とポリシー導入の簡素化が期待できる。
また、リスクの高い行動をしたユーザーを検知し、新たな脅威を防ぐための自動制限機能や、送信メールからデータが盗難されないよう保護する機能も。単一プラットフォームだけでなく、メールやWeb、クラウドなど複数のプラットフォームのデータ保護を簡易的に実施したい場合に役立つ。
![]()
(出所:EXOセキュリティ公式Webサイト)
セキュリティ対策と情報漏えい対策が行えるエンドポイントセキュリティシステム。ITに不慣れでも簡単に使いこなせる操作性が特徴で、情報システム専任者がいない企業でも安心して導入できる。直感的に操作できるユーザーフレンドリーな管理画面ながら、マルウェア・ランサムウェア両方への対策と情報漏えい対策のための機能を豊富に搭載。ウイルスや悪意あるプログラムの侵入を防ぐことができるほか、リムーバブルメディアやWebサイトなどを通じたファイルの持ち出しを遮断する。重要情報の流出を防ぎたいが、ITの専門人材がいない企業におすすめ。
![]()
(出所:Acronis DeviceLock DLP公式Webサイト)
USBポートやCD/DVDドライブなどの外部デバイス制御と、ファイルのコピー・送信制御によって情報漏えいを防止するDLPソリューション。複雑な操作や高価なサーバーが不要で、導入・管理の負担を抑えやすいのが特徴だ。官公庁をはじめとする国内約5,800社・約40万台の導入実績を持つ。
ローカル仮想マシン上のデスクトップやアプリケーションに対しても適用でき、リモート仮想化システムのBYODでの情報漏えい対策にも有効。プライベートと共用の機器の場合は、個人利用部分へのデータ送受信を制御できる。
![]()
(出所:Netwrix Endpoint Protector公式Webサイト)
最短30分で設定が完了し、素早い導入が可能なクロスプラットフォームDLP。専門的な知識がなくても詳細な設定が適用できるほか、マルチOS対応、複数の導入オプションや統合機能など、あらゆる企業のニーズに対応している。
単一のダッシュボードで、場所を問わずに接続デバイスやデータの流れを制御。リアルタイムのアラート、レポート、ポリシーの設定、イベント、ファイル転送、使用デバイス、ユーザーアクティビティに関する詳細な情報とログにより、素早く正確な対応を行う。シンプルで少ない負担で運用できるよう工夫されているため、コア業務に支障をきたすことなく活用できる。
![]()
(出所:Fortra DLP公式Webサイト)
リスクの可視化やきめ細やかな制御により、広範なデータ漏えい防止機能の提供を実現するDLPソリューション。ネットワーク内外のすべてのシステムイベント、ユーザーイベント、データイベントを捕捉・記録するほか、内部の不審な挙動やマルウェアによる情報漏えいが起きる前に検知し、自動的にブロックする。
通常業務が滞らないよう、事前にセキュリティポリシーの策定が可能。また、独自技術によるDLP適用選別によって、正規のアプリケーションや行動はブロックせずに、脅威のみを検出・ブロックするように設定できる。
![]()
(出所:Next Generation Firewalls公式Webサイト)
60以上の革新的なセキュリティサービスによって、第5世代のサイバー攻撃を防御できるなど、多種多様な脅威に対応する次世代ファイアウォール。様々なサイバー攻撃への対策機能を備え、セキュリティ運用の簡素化とコスト削減をサポートする。
データ移動の追跡・制御、適切なデータ取り扱いに関する警告表示といったDLP機能を搭載。単一のコンソールから全体を一元管理できるほか、500以上の事前定義のデータ・タイプを有するので、少ない労力での導入・管理が可能に。目的や規模に合わせて選べる10種類のCheck Point Forceゲートウェイが用意されている。
![]()
(出所:エンタープライズDLP公式Webサイト)
機密情報や個人情報などの紛失・漏えいを防ぐ、包括的なクラウド提供型のセキュリティツール。あらゆるネットワーク、クラウドなどの機密データを一貫して保護できる。特定データのみを監視するため、ログやアラートの数を必要最低限に抑えられるのがメリットで、データごとに操作制限の設定が可能。
単一クラウドとは異なり、すべての分散制御ポイントに一貫性のあるポリシーを適用しているため、出口、エッジ、クラウドでの総合アプローチが実現できる。機密データがどこにあるか、どこに流れているかを特定して、安全でないデータ転送およびコンプライアンス違反を監視・防止する。
DLPは、故意・過失の両方による内部からの情報漏えい対策に役立つセキュリティシステムです。
DLPは、「重要データの識別」と、識別した機密情報の監視・保護を主な役割とし、主に以下の3タイプに分けられます。
製品を比較・検討する際には、次の3点を確認しておきましょう。
過失による流出や悪意ある攻撃への対策として、誤操作や不正行為によるデータ流出リスクを検知・制御できるDLPは有力な選択肢です。本記事を参考に、自社に最適なDLP製品の導入を検討してみてください。
DLP製品をお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
資料ダウンロード用のURLを「asu-s@bluetone.co.jp」よりメールでお送りしています。
なお、まれに迷惑メールフォルダに入る場合があります。届かない場合は上記アドレスまでご連絡ください。