検索
連載

情報漏えい防止(DLP)プログラムを成功させる5つのステップGartner Insights Pickup(257)

5つのステップでデータを精緻化、展開し、積極的かつ効果的に制御する。

[Laurence Goasduff, Gartner] PC用表示 関連情報
Share
Tweet
LINE
Hatena

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

要約

  • 情報漏えい防止(DLP)の導入の35%以上が失敗している
  • DLPの導入は困難と思われがちであり、一貫性のないDLPポリシーは、通常のビジネス活動を阻害する可能性がある
  • 5つのステップのアプローチにより、効果的にデータを制御、保護できる

 多くの場合、情報漏えい防止(DLP)の導入を担当するITリーダーは、導入過程でさまざまな問題に直面する。どのように始めればよいか分からない場合、次のように自問しているかもしれない。

 「どこから着手するべきか」
 「どのデータがビジネスにとって重要なのか」
 「これらのデータはどこにあるのか」
 「データの所有者は誰か」

 DLPプログラムは情報セキュリティを向上させ、ビジネス情報をデータ侵害から保護することを目的としている。単なるツールではなく、定義されたプロセス、十分な知識と訓練に裏打ちされた人材、効果的な技術を組み合わせたアプローチだ。

 だが、DLPは全ての攻撃を阻止することも、ビジネスプロセスの不備によるリスクを軽減することもできない。「DLPプログラムはリスクを減らす取り組みであり、リスクをなくす取り組みではない」と、Gartnerのディレクターアナリストのアンソニー・カルピーノ(Anthony Carpino)氏は説明する。「DLPを技術ではなくプログラムやプロセスとして扱い、具体的なステップを踏むことで、導入の成功につながる」

ステップ1:プログラムのスコープを決定

目標:データとビジネス慣行を綿密に分析し、DLPによって混乱を招くことなく、実際の課題に対処できるようにする。

 まず、データリスクを特定し、対応の優先順位を付けて、データリスク許容度などを明確にし、自社のニーズを理解する。次に、知的財産(IP)など、自社が保護すべきデータを特定し、データとアプリケーションの所有者を確認する。

 データフローのマッピングにより、データがどこから来て、どこに保存され、どこへ移動するかを特定する。例えば、サーバからダウンロードされたデータやデスクトップに保存されたデータ、Webブラウザ経由で送信されたデータ、クラウドアプリにアップロードされたデータにはデータフローがある。DLPツールを用いて、これら全てのポイントでデータを検出してブロックする。最後に、DLPプログラムをサポートし、推進するために、適切なセキュリティおよび情報ポリシーを策定する。


(出所:Gartner DLP導入を成功させるフレームワークの5つのステップ)

ステップ2:意識向上とガバナンスの活動を開始

目標:全ての関係者に次のことを伝えるための計画を立てる。すなわち、データに関して何が行われているか、その理由は何か、そのベネフィットは何か、関係者にとってどのような影響が考えられるか。

 データの取り扱いに関するビジネス慣行を特定し、改善する。例えば、受け入れられているプロトコルやプログラム、データ処理手順のリストを作成したり、法務チームや調達チームと協力し、情報漏えいに関する要件を契約に盛り込んだりする。DLPは、常にビジネスニーズの変化を踏まえて継続していく必要があるため、オープンなコミュニケーションも維持しなければならない。コラボレーションプラットフォームを使って調査を行い、メッセージを伝え、ユーザーが質問できるようにする。

ステップ3:初期アーキテクチャを設計

目標:DLPのユースケース(検出とコンテキストの要件)を各実行ポイントにマッピングする。

 必要な制御を行うDLPツールの種類を特定する。1つのベンダーやソリューションが、自社に必要なDLPの全ての側面をカバーできるとは限らない。そのため、データフローのマッピング作業で特定した複数のユースケースで、データを保護できるベンダーを選択する。また、選択する前にPoC(概念実証)として、各ソリューションを徹底的にテストし、ビジネス要件を満たしているかどうかを確認することは有益だ。

ステップ4:依存関係への対処を開始

目標:早い段階で特定した依存関係の一部について、改善を進める

 DLPプログラムによる情報漏えいの検出は、技術上および手続き上のさまざまな依存関係によって混乱することがある。DLPの効果は、これらの依存関係への対処にかかっている。

 例えば、ID管理を考えてみよう。規定で、ユーザーがデータアクセスを無制限で許可されている場合、DLPによる情報漏えいの防止効果はあまり期待できない。正当なビジネスニーズがある場合に限定して、データアクセスを許可する必要がある。また、自社のデータ分類に基づいて、ファイル共有やクラウドストレージ、データベース、NAS(ネットワーク接続型ストレージ)機器といった保存場所にある機密データを発見し、データの権限や機密性、場所の組み合わせを最適化する。

ステップ5:導入、運用、進化

目標:小さく始め、段階的に展開する。DLPの実施は混乱を招くことがあるからだ。

 ポリシーをテストして改良し、誤検出やビジネスへの影響を減らせるように、最初の導入は「モニタリングのみ」とする。各段階で影響を受けるユーザーとコミュニケーションを取り、データに関して何が、いつ、なぜ行われるのかを知らせる。

 運用モードに移行したら、継続的デリバリーの改善とデータリスクに対するDLPの影響の測定を、ともにサポートする運用指標を特定する。これらの指標には、解決されたインシデントの数やDLPによって機密データをブロックした回数が含まれるかもしれない。

 DLPは“設定したら終わり”というプログラムではない。そのため、ビジネスプロセスやデータの種類の変更に伴ってDLPポリシーを微調整できるように、リソースを割り当てる必要もある。

出典:Build a Successful Data Loss Prevention Program in 5 Steps(Gartner)

筆者 Laurence Goasduff

Director, Public Relations


Copyright © ITmedia, Inc. All Rights Reserved.

[an error occurred while processing this directive]
ページトップに戻る