DLPとは? 機密情報を守る仕組みやメリット、おすすめサービスなどを徹底解説
【監修】株式会社ジオコード マーケティング責任者
渡辺 友馬
近年、サイバー犯罪は高度化・悪質化しており、不正アクセスによる情報漏洩事故も増加傾向にあります。情報漏洩は企業の信用を失墜させかねないため、防がなくてはなりません。本記事では、機密データをより強固に守ってくれるDLP(Data Loss Prevention)について、必要とされる背景や仕組みを解説し、おすすめのDLP製品5選も紹介します。
この記事の目次はこちら
DLPとは?
DLPとは、Data Loss Preventionの略であり、日本語では情報漏洩対策と訳され、保有する全てのデータを監視するのではなく、漏洩や消失を避けたい重要なデータのみを識別して保護するシステム、あるいは製品のことを指します。DLPを利用すると、企業が所有している膨大な情報の中から、指定されたキーワードや正規表現、あるいはフィンガープリントなどで機密情報を含むファイルの持ち出しの可能性が検知された場合に送信をブロックするか警告を発することで、データの不正な流出を防ぐことが可能です。また、情報の漏洩を事前に阻止することができるため、データ侵害やコンプライアンス違反の防止にも役に立ちます。
DLPが必要とされる背景
DLPの必要性が高まっている背景には、以下の2つが理由として挙げられます。
情報資産管理の重要性が国際的に高まっている
国際的に情報資産管理の重要性が高まり、企業や組織に対応が求められています。機密情報の漏洩があると、企業への信頼性やブランドの価値を失墜させるだけではなく、自社システムの停止による損害の発生や、ステークホルダーに対する被害の波及など、影響は深刻です。日本においても、情報セキュリティの観点から適切な管理が実施されていることを証明する国際基準「CC(ISO/IEC15408=情報セキュリティ製品およびシステムの国際評価基準)」や、「ISO/IEC27001(情報セキュリティマネジメントシステム=ISMSの認証基準)」、また「JIS Q 27001(ISMS認証基準としての国内規格)」などを採用する企業が増えてきています。DLPを導入することにより、これらの評価につながることが期待できるでしょう。
内部からの情報漏洩を完全に防ぐにはシステムが必要
情報セキュリティ対策といえば、外部ネットワークからのサイバー攻撃などが考えられますが、情報漏洩が起きる要因は内部にもあります。外部からの攻撃への対策だけでは内部からの情報漏洩に十分に対応できない恐れがあり、IPAのデータ「情報セキュリティ10大脅威 2024」によると、情報漏洩の最も多い原因は中途退職者によるもので、次いで多い原因は現職従業員による誤操作や誤認によるものです。
情報の持ち出しやミスを防ぐための従業員への情報セキュリティ教育は大切ですが、それだけで人為的なミスや不正による犯罪を完全に防ぐことは困難です。内部からの漏洩防止を防ぐためには、DLPというシステムを用いて、監視と保護を行うことが重要であるとの認識が高まっています。
DLPの仕組みとは?
DLPは企業が保有する膨大な情報データの中から、特定のデータのみを識別して監視の対象とします。情報にアクセスしようとするユーザーではなく、データ自体を監視するという特徴があり、DLPがデータを分類・識別する仕組みには大きく分けて2つあります。正規表現やキーワードの指定と、フィンガープリントの登録によって機密情報を識別する仕組みです。
正規表現やキーワードで識別
正規表現やキーワードでの識別はデータに含まれている電話番号や住所、クレジットカード情報などのキーワードから条件に該当するデータを見分ける方法です。あらかじめ指定した条件に一致するいくつかの文字列を、一つの文字列形式で表現します。膨大なデータから「別の文字列に置換」「設定された正規表現に一致する文字列を検索」「ある文字列が正規表現と一致するかを確認」などのケースで利用され、特定のキーワードで識別したい場合に向いているでしょう。ただし、指定したいキーワードや正規表現が多い場合、登録に時間や手間がかかります。
フィンガープリントでの識別
フィンガープリントは指紋を意味し、デバイスを特定することでユーザーを特定するための情報群のことです。DLPにおいてはデジタル情報が同一のものであるか否かを確認するための値を指し、個々のデータが持つ特有の指紋=フィンガープリントを登録することで重要データや関連データの識別がつき、仮にデータの内容に変更が加えられた場合にも正確な識別が可能です。また、膨大なキーワードを手作業で登録する手間を省くことができ、効率化を図れます。データの類似性をチェックしているため、完全に同一のものを含む文字列やデータでなくとも特徴が一致している、あるいは情報自体が類似しているなどのデータの検知も可能となり、キーワード登録の手間や管理を省きながら識別の精度を上げられます。
DLPの機能とメリットとは?
DLPは正規表現やキーワード、フィンガープリントなどの仕組みにより、保有するデータの監視を行います。DLPの持つ機能と、企業がDLPを採用することのメリットについて解説します。
■デバイス制御機能
社内で使用するパソコンやダブレットなどのデバイスを、一元に管理できる機能です。ウイルスやマルウェア、不正アクセスなどさまざまな脅威から保護し、管理しているデータは暗号化され、盗難や紛失の被害に遭った場合にも情報が漏洩するリスクを軽減できます。
■印刷・コピー制限機能
ユーザーによるデータのコピーや印刷、画面キャプチャなどの操作を制限できる機能です。内部の人間が機密情報を含むデータを外部へ持ち出すアクションを監視、制限あるいは禁止して、情報が外部へ漏れるのを防ぎます。
■メールセキュリティ機能
電子メールの本文または添付ファイルに、情報漏洩の恐れがある内容が含まれていると判断した場合に、制限をかけて送信をブロックする機能です。問題のないメールは通常通り利用できます。またサイバー攻撃にも対応し、組織内のシステムを保護することで、機密情報の漏洩を防ぎます。
■Webセキュリティ・フィルタリング機能
URLのフィルタリング機能を利用して、Webサイトへのアクセス制限を行う機能です。ポリシーに反するコンテンツや、セキュリティ保護がされていないサイトへのアクセスを制限し、従業員ごとに閲覧権限を設定することもできます。Webサイトの中には個人情報収集やマルウェアへの感染を目的に運営されているサイトもあり、それらにアクセスすると情報漏洩につながり危険ですが、DLPを利用すれば危険性のあるサイトへのアクセスを制限できるので、リスクの排除が可能です。
■コンテンツ監視機能
サーバー上で管理している機密情報をリアルタイムに監視する機能です。組織内のサーバーにある情報から機密情報のみを自動的に識別し、情報の漏洩につながる行為を感知すると、業務時間外でも検知します。従業員がデータを違法にアップロードしようとしたり、機密情報を持ち出そうとしたりすると、アラートを出し行動をブロックします。
■システム運用・管理機能
システムをどのように運用・管理するかを、利用者個人あるいは部門ごとに詳細な設定が行えます。
DLPと従来の情報漏洩対策との違いは?
DLPと従来の情報漏洩対策との違いはどのような点かについて解説します。
監視対象とする情報の範囲が違う
従来の情報漏洩対策システムでは、ユーザーを監視して全ての情報を保護の対象とするのに対し、DLPの場合は指定された機密情報のみを監視の対象とし、流出を防ぐことに特化しています。また、従来の情報漏洩対策では、情報量が増えるのに比例して管理や運用にコストがかかるため、ユーザーの人数が増えると負担が増えてリスクが高まります。一方、DLPは特定の機密情報のみを対象として監視するため、不正があったときだけ管理者にリアルタイムに通知する仕組みです。情報量が増えてもコストは変わらず、機密情報以外のデータの利用は制限されないため、作業の効率が下がることもありません。
DLPには漏洩自動阻止機能がある
従来の情報漏洩対策システムではデータにアクセスできる権限を持つ人物は機密情報をコピーして外部にアップロードしたり、メールで送信したり、印刷して外部へ持ち出したりできるため、故意による情報漏洩を阻止することは困難です。その点、DLPはデータ自体の監視と保護を行うため、機密情報に対しての不正なアクションをリアルタイムにキャッチし自動でアラートが出されます。また操作を強制キャンセルすることにより、外部への持ち出しを阻止します。
従来の情報漏洩対策とDLPはどちらが良いのか?
情報漏洩対策を実現するには、情報漏洩対策とDLPの両方を活用することが望ましいです。しかし、購入費用やランニングコストがかかるため、企業によっては難しいこともあるでしょう。その場合は、目的と監視対象が異なることと両方の重要性をよく理解した上で、それぞれを導入・運用することが大切です。
DLPを検討するときの注意点は?
DLPの導入を検討する場合は、導入や運用に発生するコストについて把握しておきましょう。また、自社で運用するために必要なスペックや、サポートの有無について確認するのも大切です。
導入・運用時のコストを事前に把握する
DLPの導入と運用にはコストがかかります。コストには製品のライセンス費用やシステム構築費用、サーバー運用費用などがあります。高機能な製品や多機能な製品は高額であるケースが見受けられますが、価格に見合った機能を有しているのか、自社の課題解決にマッチしているかどうかを見極めて検討しましょう。無料トライアルが可能な製品を選べば、導入前に機能や操作性を確認することが可能です。
自社に必要なスペックを確認する
DLPは製品によりデバイスに求められるスペックが異なるため注意が必要です。特に、必要なメモリー容量はチェックしておきましょう。メモリーを多く消費する製品の場合、動作スピードに大きな影響を及ぼす恐れがあるため、なるべく必要なメモリーが少ない製品を選ぶのがおすすめです。また、その製品の特徴である機能が自社が解決したい課題の解決につながるかどうかをチェックしましょう。
サポートについて確認する
DLPを導入すると操作が分からない・不具合が発生するなど、さまざまな事態が起こる可能性があるため、適切なサポートを受けられるかどうかを確認しましょう。また、受けられるサポートの内容について特にトラブルが発生した場合にどのような対処をしてもらえるのかをチェックしておくと、いざというときも便利です。
自社に合ったDLPの提供方法を選ぶ
DLPの提供方法は複数あります。EDLPは、DLPに特化してカスタマイズ性に優れており、IDLPはエンドポイントやメールなどの特定のセキュリティ対策に特化しているため、特定の課題を解決したいケースに適しています。CSPDLPはクラウドタイプであるため、オンラインで申し込み可能です。さまざまなプランを設けているサービスも多くそれぞれに特徴があるため、自社に合った製品を検討しましょう。
おすすめのDLP製品5選
次に、おすすめのDLPシステムを5選紹介します。自社の目的などに合った製品を選びましょう。
株式会社日立ソリューションズ「秘文」
株式会社日立ソリューションズが提供する秘文は、情報漏洩防止のための機能を提供するオンプレミス版の他、IT資産管理、スマートデバイス管理などの管理機能まで統合したサービス版を提供しています。内部不正・盗難紛失対策の機能に加え、パソコンのセキュリティ設定を自動で点検できる機能や、IT資産管理、スマートデバイス管理の機能などをまとめてクラウドサービスとして提供するため、サーバーの導入不要で、導入時のコストを抑えられ運用負荷を軽減できます。
| 主な機能 | 内部不正対策、盗難紛失対策、IT資産管理、パソコンセキュリティ設定の自動点検、スマートデバイス管理、インターネットリモートコントロール |
| 費用 | お見積り、要問い合わせ |
| サポート | Webサポート |
| 無料トライアル | あり |
株式会社ハンモック「AssetView」
株式会社ハンモックの「AssetView」統合型IT運用管理ソフトウェアです。IT資産の台帳管理に加え、パソコンの設定変更やソフトウェアアップデートの自動化といったパソコン管理の基盤から、情報資産の可視化や証跡監査、多様な制御機能による情報漏洩対策や、マルウェア対策といったセキュリティ対策まで幅広く対応してくれます。管理に必要なサーバーの統合や、管理コンソール、サポート窓口の一元化により、高効率な運用とコスト削減を実現できます。
| 主な機能 | 情報漏洩対策、IT資産管理、外部システム管理、マルウェア対策・駆除、業務中のパソコン操作ログ取得、セキュリティアップデート、パソコン紛失時の対処、Webアクセス制限、ファイル持ち出し制御 |
| 費用 | お見積り、要問い合わせ |
| サポート | ヘルプデスク(Web/メール/電話) |
| 無料トライアル | なし |
株式会社ラネクシー「RunDX」・「Acronis DeviceLock」
株式会社ラネクシーの「RunDX」・「Acronis DeviceLock」は、USBデバイスの利便性を生かしたセキュリティ対策で、管理サーバーを用意しなくても管理用ツール(無償)を使いネットワーク経由で運用管理が可能です。シンプルなデバイス制御ができるRunDXと、細かな制御設定が可能なAcronis DeviceLockが用意されています。長年にわたりデバイス制御製品を販売し続けた経験から、企業のITセキュリティをサポートしていく上で必要な重要データの保護をいかに簡単に、そしてさまざまな角度から強固に実現できるかを追求し、研究・開発した情報漏洩対策ソリューションです。
| 主な機能 | アクセス制御機能、Wi-Fiホワイトリスト、ネットワーク制御、デバイス操作ログ取得機能 |
| 費用 | Windows ClientOS 向けRunDXの場合 1ライセンス4,700円~¥9,200円 ※初回購入時 Windows ClientOS 向けRunDXの場合次年度年間保守940円~1,840円 ※次年度 ※価格には消費税を含みません。価格は予告なく変更することがございます。 |
| サポート | メールサポート、チャットによる有人サポート |
| 無料トライアル | あり |
株式会社JIRAN JAPAN「EXOセキュリティ」
株式会社JIRAN JAPANの「EXOセキュリティ」は、セキュリティソフト機能はもちろん、情報漏洩対策までオールインワンで解決できる法人向けエンドポイントセキュリティです。サーバーも中央管理用プログラムも不要で、Web接続さえあれば、ユーザー登録後、社員のパソコンにインストールするだけで社内パソコンのセキュリティ状況を把握できます。管理者の追加も可能です(権限指定も可)。
| 主な機能 | パソコンセキュリティ機能、個人情報・機密データ保護、情報漏洩予防、脆弱性チェック、IT資産管理 |
| 費用 | 月額5,000円から(税別) |
| サポート | ホームページから問い合わせ |
| 無料トライアル | あり |
パロアルトネットワークス株式会社「エンタープライズDLP」
パロアルトネットワークス株式会社の「エンタープライズDLP」は、あらゆるネットワーク、クラウド、ユーザーをカバーする統合データ保護を実現するクラウドを活用した最新のアプローチです。オンプレミスとクラウドのどちらでも数分で、企業全体に導入およびスケーリングできます。全てのネットワーク、クラウド、ユーザーにわたって、保存中と移動中の両方で、全ての分散した機密データを包括的にカバーします。
| 主な機能 | データ損失防止、規制コンプライアンスの確保、知的財産の保護、悪意のある内部関係者の行動を制御、過失のあるインサイダーによるミスを回避 |
| 費用 | 要問い合わせ |
| サポート | 24時間365日体制のサポート |
| 無料トライアル | 半日間の無償ワークショップあり |
情報漏洩対策にはDLPの導入を検討しよう
DLPを利用すると、ユーザーのセキュリティ意識に頼らずに情報漏洩対策ができます。また、各企業のセキュリティポリシーに合わせて機密情報を識別できるため、自社に適したセキュリティ対策を実現することが可能です。貴重なデジタル資産を管理・保護するために、DLPの導入を検討してみましょう。
DLP以外にもWebセキュリティシステムについて知りたい方は、以下の記事でファイアウォール、WAF、DDoS対策などを比較し紹介しています。また興味のあるクライアントサービスに関しては、資料請求やダウンロードも可能ですので参考にしてみてください。
