情報漏えい防止技術の導入で準備すべきこと――トレンドマイクロが解説

トレンドマイクロは、情報漏えいの発生を未然に防ぐ「DLP」技術の導入に必要となる企業側での準備事項を説明した。

[國谷武史，ITmedia]

横川氏

　トレンドマイクロは6月16日、情報漏えい対策技術「Data Loss Prevention（DLP）」の導入にあたって必要な取り組みを解説する記者向けセミナーを開催した。導入効果を得るためには、保護する情報の整理やルールの見直しが欠かせないとしている。

　DLP技術は、情報セキュリティルールやアクセス権限などに基づいて、重要なデータの移動などを監視し、情報漏えいの発生を抑止する。実際には、データ暗号化やログ監視、アクセス管理、認証などのさまざまなセキュリティ対策技術を連係させることで機能するソリューションとなる場合が多い。

　同社ソリューションビジネス推進部の横川典子氏によれば、情報漏えい対策技術の主流は暗号化とログ管理であり、データの悪用防止や漏えいの事実を確認する目的で導入されている。「しかし、いずれも漏えいした後の対策であり、漏えい自体を防止するものではない」（横川氏）と説明する。

　同氏はまた、「2008年に実施したアンケートでは、情報漏えいの経験が9％、未経験が78％、不明が13％だった。特に不明と答えた企業には情報漏えいのリスクが潜んでいる可能性が高い」と話し、DLPの必要性を訴えた。

効果のないセキュリティルールを見直す

宇崎氏

　コンサルタントSEグループのシニアアナリスト、宇崎俊介氏はDLPの導入に際して、すでに策定されたセキュリティルールの見直しと保護するデータの特定、整理が不可欠だと指摘する。

　「いくら全社規模で素晴らしいと評価されるルールを作っても実態が伴わない場合が多い。うっかりミスによる漏えいを防ぐ意味でも、現場レベルで重要データを保護する意識を高めていくべきだろう」（同氏）

　まず、重要と判断するための基準やリスクを組織全体で見直し、再度設定する。次に現場業務のフローに基づいて実際にデータを重要度別に仕分ける。これらの作業は、人事異動や組織再編、新規事業の構築時に実施するのが望ましい同氏はアドバイスする。

　保護対象とするデータの特定や、保護する内容（アクセス制限や移動の制限）がある程度概観できるようにし、DLPを導入後は定期監査などを行って、効果を高めるために改善していく運用が望ましいとしている。

　「まずは開発や品質管理、サポート、人事といった部門から導入し、順次全社展開していくといいだろう。可能であればセキュリティ事故の発生を防いでいるという導入効果を評価する枠組みも検討していただきたい」（同氏）

トレンドマイクロがDLP導入で推奨するセキュリティルールの見直し方法

　重要データを特定する作業は、事業規模や業務プロセス、企業文化などのさまざまな要因から簡単に行えない場合も多く、結果的にDLPの導入に至るケースがまだ少ないのが実情だという。宇崎氏は、「ビジネスプロセスの見直しは負担が伴うが、DLP技術は事前準備を適切に行えば効果の高いソリューションになることを知っていただきたい」と話している。

過去のセキュリティニュース一覧はこちら

関連ホワイトペーパー

DLP(Data Loss Prevention) | トレンドマイクロ