2022/6/30
by 若狭 康志 & 陳 琦
機密性の高い重要なデータを保護し、情報漏えいのリスクを最小化するDLP(Data Loss Prevention:データ漏えい防止)は、企業のセキュリティ対策になくてはならない仕組みです。しかし、DLP製品によってはクラウドサービスに対する検知精度が十分でなく、確実な監視が難しい場合もあります。その課題を解決すべく、DLP製品を乗り換える企業も増えてきました。今回は実例を紹介しながら、多種多様なクラウドサービスに対応可能なMicrosoftのDLPソリューションへの移行について解説します。
クラウド時代に企業が抱える機密データ保護の課題
クラウドサービスの利用が一般化するにつれ、クラウドを含めたセキュリティ対策の重要性が増しています。なかでも社員が自己判断で導入したクラウドサービスをIT部門が統制することは非常に難しく、いわゆる「シャドーIT」化が懸念されています。これに対しIT部門が取れる対策は、社外サイトへの通信やユーザーの操作履歴を無差別に監視してログを分析し、リスクの高い通信を遮断することに限られます。しかし、この方法はIT部門にとって業務負荷が高く、コストもかかります。
こうした課題を解決するために、機密性の高いデータを特定して社外への送信・持ち出しを制御するDLP製品を利用するケースが増えています。ところが一部のDLP製品は、さまざまなデータ転送の仕組みが使われているクラウドサービスへの対応が十分でなく、特に特殊なファイル形式やプロトコルが用いられているクラウドサービスの監視・検知精度が低い場合も少なくありません。
そこで最近は、クラウドサービスに対応可能な新しいDLP製品に乗り換える企業の動きが見られるようになりました。今回は、DXCテクノロジーが手掛けたDLP製品の移行事例を紹介しながら、クラウド時代に最適なDLP製品について考えてみます。
機密データの不正持ち出しを完全に統制できない
大手メーカーのA社では、外部クラウドサービスへの機密データの不正送信、ユーザーによる不正持ち出しの防止が喫緊の課題でした。そこでDLP製品を導入し、指定されていない外部サイトへのデータ送信、ユーザーのデータ持ち出しを監視・制限していました。外部サイトの場合はアップロード先のURLを、ユーザー操作の場合はファイル内の秘密度ラベルを検知し、問題があれば警告画面を表示してユーザーに操作の許可・拒否を求め、情報漏えいのリスクを軽減するという方法をとっていました。
しかし、IT部門は社員がどんなクラウドサービスを使って業務を進めているか把握していなかったため、外部サイトを無差別に監視するしかありません。その他にも、独自のデータ転送の仕組みを持つクラウドサービスが多いため、十分な監視・検知精度が得られませんでした。
秘密度ラベルについても、「極秘」「部外秘」「社外秘」などの分類に応じて、それぞれをどのように扱えばよいか、社員に対して事前にトレーニングする必要があります。さらにトレーニングの内容を理解するために、社員は会社のセキュリティポリシーについても細かく理解しておかなければならず、これが業務に支障をきたしていました。そもそも秘密度ラベルは手動で設定していたため、書き換えられてしまえば不正持ち出しを防ぐことができません。
Microsoft製品で実現するデータ漏えい対策
このような課題を抱えていたA社は、新しいDLP製品の評価を開始します。A社は従来から取引のあったDXCテクノロジーに相談。DXCテクノロジーでは、「外部サイトへの不正送信」と「ユーザーの不正持ち出し」を分け、それぞれに最適なMicrosoftのDLPソリューションを提案しました。
1.不正送信対策としての「Microsoft Defender for Cloud Apps」
外部サイトへの不正送信を防止するために選んだのが、「Microsoft Defender for Cloud Apps」(旧製品名「Microsoft Cloud App Security」)でした。この製品は、いわゆる「CASB(Cloud Access Security Broker)」にカテゴライズされるもので、ログの収集、APIコネクタ、リバースプロキシなどをサポートします。Microsoftや他社のクラウドサービス全体にわたって脅威を特定・対処できる豊富な可視化機能、データ送受信の制御機能、高度な分析機能を備えています。シャドーITを抑止し、クラウド全体の機密情報保護を強化できます。
同製品では、クラウドサービスのコンプライアンスを評価することも可能です。また、IT部門の業務負荷を高めていた監視・評価の負担を軽減できるのに加え、社内で利用されているクラウドサービスの状況を可視化してリスクをランク付けできます。ちなみにMicrosoft Defender for Cloud Appsは「Microsoft 365 Defender」に統合されており、Microsoft 365 E5のライセンスに含まれています。コスト負担を軽減しながら容易に導入できるところも、Microsoft Defender for Cloud Appsの魅力です。
2.不正持ち出し対策としての「Microsoft Purview」
ユーザーによる不正持ち出し対策として選んだのは、「Microsoft Purview」です。この製品は、社内のデータ資産全体を管理・保護する統合データガバナンス/コンプライアンスソリューションです。オンプレミス環境やクラウドサービスにある機密データを自動的に検出・特定・分類し、一貫性のある秘密度ラベル付けを実行することで、情報漏えいを防止します。
Microsoft Purviewでは、まず秘密度ラベルを定義しておき、あるファイルやメールがその条件に合致した時、自動的にそのラベルが割り当てられます。ドキュメントの編集やメールの返信・転送時にユーザー端末側へラベル付けを行うこともできます。その他にも、「Microsoft SharePoint」や「Microsoft OneDrive」に保存されているコンテンツや、送信されたメールのラベル付けも可能です。これらは基本的に全て自動で実行されるので、社員に対してわざわざトレーニングしたり、業務手順の変更を通達したりする必要はありません。加えて、悪意のあるユーザーが故意にラベルを書き換えるリスクも軽減できます。
クラウド時代のセキュリティ強化を支援するDXCテクノロジー
A社のDLP製品移行検討の過程において、DXCテクノロジーは従来のDLP製品で設定されたポリシーに依存せず、新しいMicrosoft製のDLPソリューションで要件をいかに反映させるかを重視して設計しています。
DXCテクノロジーでは、必要に応じて管理面・技術面の両面でのセキュリティアセスメントを行い、会社の中で守るべき資産は何なのか?情報漏洩ルートがどこにあり、どのような対策を行えばよいか? などを明らかにした上でトータルソリューションを提案します。Microsoft 365 E5のセキュリティソリューションをはじめ、様々なベンダーのセキュリティ関連製品とセキュリティ対策全般に関する豊富な実績と知見を有しています。DLP製品にかかわらず、特にクラウドを含めたセキュリティ対策の強化を検討しているお客様は、DXCテクノロジーへぜひお問い合わせください。