データ損失防止 (DLP) は、ビジネスの重要なデータを盗難、紛失、または権限のないユーザーによるアクセスから保護するために設計されたセキュリティ ポリシーです。優れた DLP システムは、データの検出と分類、データ転送とアクセス制御、ポリシーとイベントの管理、および詳細な監査とアラートのためのツールを組み合わせたものです。
データ損失の理由は何ですか
- データ侵害: データ侵害 (一般にデータ押し出しまたはデータ エクスポートとして知られている) は、ネットワークまたはエンドポイントからインターネット経由でデータが不正に転送されることであり、主にシステムへの物理的アクセスを取得するか、悪意のある手段を使用するかの 2 つの方法で発生します。プログラムを
- ヒューマンエラー: ヒューマンエラーは、データの取り扱いに対する認識の欠如、セキュリティプロトコルの順守の失敗、インシデントの報告の怠りなどから生じる可能性のある、人間の欠陥のある本質に固有の特徴である過失の結果として見なされます。さらに、これらの問題の大きさを理解できないことが問題をさらに悪化させました。
- 内部関係者の脅威: 内部関係者の脅威は、内部からの脅威であり、通常、重要な企業データにアクセスできる従業員が関与し、故意にデータを公開します。各内部関係者の脅威の背後にある動機は、通常、金銭的利益、風評被害、または報復です。
DLP が組織にとって重要な理由
データ損失の理由を理解し、そのようなインシデントが発生した場合に潜在的に莫大なコストがかかることを認識することは、あらゆるビジネスにおける DLP システムの重要性を強調します。DLP システムはもはや選択肢ではなく、データ損失、コンプライアンス違反、内部関係者の脅威からビジネスを保護するために必要なものであることは明らかです。データ管理の世界では、DLP システムがこの防御層を形成します。企業内の DLP システムは次のことを行います。
- 組織内の重要なデータを保護します。
- 企業データを分類し、不正アクセスを制限します。
- 規制基準および政府規制への準拠を確保します。
- 信頼を築き、顧客との関係を強化します。
- 内部関係者の脅威に関連するリスクを軽減します。
- 機密データ転送を監視および制御します。
データ損失防止の例としては、次のようなものがあります。
- 電子メールや周辺機器を介した知的財産の送信を制限します。
- 機密データの漏洩を防ぐために、画面キャプチャとクリップボードの使用を制限します。
- プライベート ブラウジングまたはゲスト アクセスを使用して機密データの転送を制御します。
DLP の仕組み
DLP は、検出、強制、保護という 3 つの基本原則に基づいて動作します。
- 検出: このフェーズには、状態 (保存中、使用中、移動中) に関係なく、企業ネットワーク内のすべてのデータを識別することが含まれます。あらゆる状態のすべてのデータを完全に把握することは、データを安全に保つための基礎となります。データを特定した後の次のステップは、その性質とコンテキストに従ってコンテンツを分類することです。この分類は、各データ タイプに必要な適切なセキュリティ対策を決定するのに役立ちます。
- 実行: 機密データを特定して分類したら、次のステップは、さまざまな媒体間でデータを転送するための境界を確立することです。これらの媒体には、周辺機器、クラウド ストレージ、電子メール、Web ドメイン、アプリケーションが含まれます。最も安全なアプローチは機密データの転送試行をすべてブロックすることですが、そのような厳格なアプローチは生産性に影響を与える可能性があります。
機密データの移動はあらゆるビジネスの機能にとって重要であるため、明確な境界を定義し、何をどの媒体で転送できるかを決定する必要があります。ほとんどの DLP システムは、ポリシーを適用することによってこれを行います。 - Protected : 定義された境界内では機密データの転送が許可されますが、その境界外では制限されます。多くの場合、ユーザーは、転送しようとしているデータが機密データであることに気づいていません。特定のコンテンツの機密性についてユーザーに教育すると、機密データを不用意に送信しようとする試みを防ぐことができます。場合によっては、一部のデータが誤って機密データとして分類される場合があります。この場合、ユーザーは diff を生成することを選択でき、コントローラーはそれに応じてポリシーを調整する必要があります。
DLP ツールの機能
DLP ソフトウェア ( Endpoint DLP Plus ) は、企業ネットワーク上に存在するすべてのデータをスキャンし、企業にとって機密性の高いものに基づいてデータを分類し、機密データの不正な転送試行をブロックし、誤検知を解決し、継続的な監査とインシデント レポートを提供します。
データ損失防止のベストプラクティス
- データルールを定義する
- 信頼できるアプリケーションとドメインをポリシーに必ず含めてください
- データ分類データベースを常に最新の状態に保つ
- 企業ドメイン経由でダウンロードされたファイルを機密としてマークする
データルールを定義する
別の無数のパラメータに基づいた無数のデータ分類基準があります。利用可能なすべてのデータ分類基準を考慮すると、他のすべてのファイルは機密としてマークされますが、そうするとビジネス全体の生産性に影響します。あなたの国、業界、組織にとって機密性の高いものは、他の国、業界、組織にとって機密性の低いものである可能性があります。したがって、具体的な方法が必要です。国およびビジネス固有のニーズに応じたデータ ルールを定義することをお勧めします。
信頼できるアプリケーションとドメインをポリシーに必ず含めてください
すべてのビジネスには、スムーズに運営するためにアプリケーション、ドメイン、デバイス、プリンターなどの統合されたセットが必要です。データ損失防止戦略を展開するときは、データ セキュリティを実現するためにこれらの不可欠な要素を忘れずに含めてください。
データ分類データベースを常に最新の状態に保つ
セキュリティ標準が進化し続けるにつれて、新しいデータ分類ルールが導入されたり、既存のデータ ルールが定期的に強化されたりすることは非常に一般的です。これらの規制は常に改善されているため、最新の更新を見逃す可能性が非常に高くなります。ただし、展開されたセキュリティ ポリシーが最新で安全であることを保証するには、これらの必要な更新を活用することが重要です。ネットワークの制限にもかかわらず、適切なプロキシ設定を介してサーバーをインターネットに接続することをお勧めします。
企業ドメイン経由でダウンロードされたファイルを機密としてマークする
ファイルが企業ドメイン経由でダウンロードされた場合、機密データが含まれている可能性が高くなります。安全を期すため、企業ドメイン経由でダウンロードされたファイルには常に機密ファイルとしてマークを付けてください。これは、企業データを識別して保護するための予防的な方法です。
Endpoint DLP Plus は、データの検出と分類、使用承認のルールの定義、および安全な送信を行う高度なデータ損失防止ポリシーを展開することにより、管理対象エンドポイント デバイス上の機密データを開示や盗難から保護します。