クラウドデータ損失防止(DLP)とは?
クラウドデータ損失防止(DLP)は、クラウド環境における機密データの暴露や流出をプロアクティブに監視、検出、防止する データセキュリティ 戦略です。高度なDLPソリューションは、データ分類、パターンマッチング、機械学習などの技術を採用し、重要な情報を正確に識別して保護します。DLPは、コンテキストを考慮したポリシーを適用することで、規制基準のコンプライアンスを確保し、複雑なクラウドベースのインフラにおけるデータ侵害のリスクを軽減します。
クラウドデータ損失防止(DLP)の説明
クラウドデータ損失防止(DLP)とは、組織のクラウドストレージ内の 機密データを 悪用や漏えいから確実に保護する一連のソリューションのことです。従来のデータ損失防止ソリューションは、通常オンプレミスでデプロイされ、組織のエンドポイントと内部ネットワークインフラの保護に重点を置いている点が異なります。
図1:従来のDLPのアプローチは、組織が物理的なサーバーインフラにデータを保存し、データの移動が内部ネットワークに制限されていた、旧来の境界のために開発されました。
クラウドDLPソリューションの主なユースケースは、従業員がハイブリッドWFHモデルに移行したときに加速しました。一夜にして、データ利用は従来のオンプレミスからクラウドへと移行しました。特に、クラウドベースのコラボレーション・プラットフォームへの依存度が高いため、新たなデータ漏洩のリスクが高まっています。
クラウド上の機密データ
個人を特定できる情報(PII)、財務記録、知的財産などの機密データは、 ストレージバケットの66%、一般に公開されているストレージバケットの63%に含まれていることが、Unit 42® の最近の調査で明らかになりました。インサイダーと外部からの脅威の両方が、この機密情報を危険にさらしています。PIIやクレジットカード番号など、どのような種類の情報が各データオブジェクトに保存されているのかを把握できないため、機密情報を不慮の漏洩から守ることが難しくなります。2023 Data Breach Investigations Reportの調査によると、 16,312件のインシデントで5,199件のデータ漏洩が確認されています。
クラウドDLPの仕組み
クラウドDLPは、ベストプラクティスと高度な クラウドデータセキュリティ 技術を活用し、クラウド環境内のデータリスクを最小限に抑えます。
図2:パブリッククラウドにおけるスケーラビリティとアジリティとデータ損失防止のバランス
データディスカバリー
クラウドDLPは、クラウドストレージサービス、データベース、アプリケーションなど、組織のクラウドインフラをスキャンすることから始まります。個人情報、財務記録、知的財産、その他事前に定義されたポリシーによって定義されたデータなど、侵害を引き起こす可能性のあるセンシティブなデータを検索します。
データ分類
機密データが発見されると、事前に定義されたルールとポリシーに基づいて、さまざまなカテゴリーに分類されます。データの分類はさらに、公開、内部、機密、制限などのタイプ別に分けられ、最も機密性が高く、一般的には企業秘密や金融取引の履歴が含まれます。
ポリシーの実施
潜在的なポリシー違反が発見された場合、クラウドDLPソリューションは事前に定義されたポリシーに基づいてアクションを実行します。これらのポリシーには、データ送信のブロック、データの暗号化、不正アクセスを防止するためのデータマスキングの適用などが含まれます。
継続的なモニタリングと検出
最後に、クラウドDLPはクラウド環境内で転送中および静止中のデータを継続的に監視します。また、データの流出や異常な動きなど、潜在的なセキュリティリスクを示す異常や不審な行動をスキャンします。
従来のDLPとクラウドDLPの比較
従来のDLPツールとクラウド上のDLPツールの比較です。
| 従来のDLP(旧来の方法) | クラウドDLP(新しい方法) |
| クラウド環境で流れるデータの包括的な可視化に苦慮 | 様々なクラウドプラットフォーム、アプリケーション、サービスとのシームレスな統合を実現し、より高い可視性を提供します。 |
| 実装と維持には、複雑で時間のかかる手動設定作業が要件 | デプロイが簡単で、一般的なクラウドサービスに合わせた設定済みのポリシーとテンプレートで構築されています。 |
| 暗号化されたファイル内のコンテンツを検査することはできません。 | 静止時および転送時のデータ暗号化をサポート |
| インサイダーの脅威や偶発的なデータ漏洩を効果的に検知することができません。 | 不審なユーザーの行動や異常検知機能により、潜在的なインサイダーの脅威を早期に容易に特定できます。 |
| 大量データ処理時の大規模化が不可能 | データフローの増大に対応する大規模設計 |
| 進化するデータポリシー規制への対応では不足 | 変更されるデータ保護法およびポリシー規制を遵守するための容易なアップデート |
クラウドDLPのメリット
アクセス・セキュリティ管理の強化とクラウドDLPソリューションの採用は、急速に拡大する企業のセキュリティ対策の要として浮上しています。
シャドーITの発見
クラウドDLPは、未承認または未管理のクラウドアプリケーションを特定するのに役立ちます。これは、組織のITポリシーを知らない従業員や、適切なセキュリティ管理が行われていない場合に特に重要です。
データの可視性の向上
クラウドDLPはデータの発見と分類の機能を強化し、ITチームがデータの状況について貴重な洞察を得られるようにします。機密データを迅速に特定し、データフローを把握し、重大度リスク要因に基づいてデータ保護の優先順位を決定します。
規制コンプライアンスの合理化
規制コンプライアンスの罰金は高額です。例えばGDPRに違反した場合、企業は最大 2000万ユーロ、または全世界の売上高の4%を失う可能性があります。クラウドDLPは、静止時および転送中の機密データの暗号化ポリシーを実施し、コンプライアンス要件に対応するための保護レイヤーを追加します。また、機密データの特定と分類、データ取り扱いポリシーの実装、監査証跡の生成も支援します。
クラウドの設定ミスに対するセキュリティ・シールドの提供
クラウドDLPソリューションは、クラウドサービスやアプリケーションのセキュリティ構成をほぼ瞬時に評価することができます。過剰なパーミッション、ロギングやモニタリング設定の無効化、S3バケットなどのパブリッククラウドコンテナにおけるストレージアクセスの公開など、一般的な設定ミスを探します。
クラウドデータ損失防止 FAQ
データ漏洩防止には、機密情報を不正アクセス、漏洩、盗難から保護するための戦略、プロセス、技術が含まれます。効果的なデータ漏洩防止には、ネットワーク、アプリケーション、データレベルの保護対策を含む、階層的なセキュリティ・アプローチが必要です。
データ漏えいの防止には、アクセス制御、データの暗号化、侵入防御システム、継続的な監視、タイムリーなセキュリティ更新などが重要です。
データアクセスガバナンスとは、組織内の機密データに対するアクセス制御、アクセス許可、ポリシーを体系的に管理することを指します。一元化されたきめ細かなアプローチを実装することで、組織はユーザーアクセスを監視・規制し、許可されたユーザーだけが重要な情報にアクセス、変更、共有できるようにすることができます。
データアクセスガバナンスは、インサイダーの脅威を軽減し、データセキュリティを強化し、規制コンプライアンス要件を遵守する上で極めて重要な役割を果たします。データアクセスガバナンスの主な構成要素には、アイデンティティとアクセス管理、役割ベースのアクセス制御、ユーザー活動の継続的な監査と監視が含まれます。
データ・プライバシー・コンプライアンスとは、個人データや機密データの収集、保存、処理、共有に関する法律、規制、業界標準を組織が遵守することを指します。
コンプライアンス要件は、一般データ保護規則(GDPR)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、 カリフォルニア州消費者プライバシー法(CCPA)など、管轄、分野、関係するデータの種類によって異なります。
データ・プライバシーのコンプライアンスを達成するためには、組織は厳格なデータ保護対策を実装し、個人のプライバシー権を尊重し、データ取扱実務の透明性を維持する必要があります。定期的な監査、従業員トレーニング、インシデント対応計画は、データ・プライバシーに関するコンプライアンス違反を防止し、軽減するのに役立ちます。
データセキュリティリスク評価とは、組織の機密データに対する潜在的なリスクを特定、評価、優先順位付けする体系的なプロセスです。評価の目的は、データ保護インフラの脆弱性と弱点を明らかにし、組織が適切な保護措置を実装して脅威を軽減できるようにすることです。
データセキュリティリスク評価のステップには、範囲の定義、資産の特定、脅威と脆弱性の決定、潜在的リスクの影響評価、改善策の優先順位付けなどが含まれます。
