変化するサイバー脅威に立ち向かうデータ損失防止（DLP）で実現する、新しい時代のデータセキュリティ戦略

現代の企業を取り巻くサイバー攻撃の脅威は拡大の一途をたどり、従来のセキュリティアプローチだけでは不十分であると言わざるを得ません。これまでオフィスに限定されていた働く場所が、リモートワークやハイブリッドワークの普及により多様化し、必要なリソースへのアクセスニーズも変化しています。

さらに、セキュリティ対策が不十分なWi-Fiや個人デバイスからのアクセス、大規模言語モデル（LLM）のトレーニングへの機密データ利用の防止、データプライバシー規制の厳格化など、企業は新たな課題に直面しています。

このような複合的な課題に対応するソリューションとして、データ損失防止（DLP）ソリューションの重要性が高まっています。DLPは、機密データの漏洩を防ぎ、不正な第三者への流出経路をブロックすることで、データ漏洩の防止、コンプライアンスの合理化、そして単一管理ポイントからのセキュリティ制御を可能にします。

本稿では、データセキュリティ戦略の考え方とDLP導入までのステップについて解説し、企業・組織の重要なデータを守りつつ、ビジネス拡大につながるヒントをお伝えしていきます。

効果的なデータセキュリティ戦略を構築するためには、組織が保有するデータに関する5つの問いすべてに答えられる必要があります。

• 機密データとは何か？
• 機密データはどこにあるのか？
• 機密データにアクセスできるのは誰か？
• 機密データはどのように使用されるのか？
• なぜ機密データにアクセスできるのか？

データセキュリティ戦略は、「最小特権の原則（PoLP：Principle of Least Privilege）」に基づいて構築されるべきです。これは、ユーザーが職務遂行に必要な情報のみにアクセスできるべきであるという考え方です。

組織内のデータの状態は、「移動中のデータ」、「使用中のデータ」、「保存中のデータ」、「クラウド上のデータ」の4つの用語で表されます。これらのデータをすべて特定、分類、説明することが、DLP導入の強固な基盤となります。

DLP導入の起点は、一般的な手順をそのまま辿るのではなく、その組織の優先事項に基づいて決定されるべきです。将来のロードマップを描きながらも、目の前の課題に迅速に対応することが、正しいセキュリティ戦略であると言えるでしょう。

では、実際にDLPを導入し、データをアクティブな保護体制に迅速に移行するにはどのようにすればよいのでしょうか。

Forcepointでは、次の8つのステップでDLP導入を進めることを推奨しています。

DLP導入の最初のステップは、達成したいゴールと具体的なユースケース（重要な知的財産（IP）の保護、データ侵害の阻止、コンプライアンス維持など）を明確に設定することです。まずは、想定されるシナリオ、対象データの種類、情報漏洩が発生しうるチャネル、既存のセキュリティ対策を含む情報リスクプロファイルの作成から始めます。 DLP技術スタックには、PreciseIDによるフィンガープリンティング技術、LLM合成データでトレーニングされたAI分類、300種類以上の事前定義済みデータ型を検出するNLPスクリプト、メタデータに対応した分類、900種類を超える真の実ファイル形式検出、正規表現、1,000件以上の事前定義済みキーワードやフレーズなど、多岐にわたる機能が含まれます。

プロジェクトの成功には、プロジェクトマネージャー、アーキテクト、エンジニア、データセキュリティ専門家などのコアチームの役割と責任を明確にすることが不可欠です。導入スケジュールは、既存のタイムラインに合わせて策定し、段階的な展開、監視とテスト、ナレッジ移転などのフェーズを割り当てます。

セキュリティインシデント発生時の対応手順を定めた「インシデントワークフロー計画」を策定します。深刻度が低いインシデントには、ユーザーや管理者への自動通知やコーチングで対応し、影響の大きいインシデントにはインシデントアナリストの介入を定義します。

実際のデプロイメントでは、まずDLPをパッシブモードで実行し、ポリシー設定の不備による過度なブロックを防ぎ、その影響を確認します。この段階でのDLP制御の主な役割は監視であり、ブロック対象は深刻度の高いインシデントに限定されます。インストール、構成設定、本番トラフィックへの段階的切り替え、微調整と最適化のプロセスを順に進めます。段階的な展開は、特定のチャネル、部門、または地域から開始する最良のアプローチです。

DLPポリシーの微調整が完了したら、次は脅威に対するアクティブなブロック機能を段階的に展開します。業務への影響を最小限に抑えるため、最も重要なデータ転送から優先的に開始します。ブロックされたインシデントを継続的に監視し、ポリシーを調整することで、正当な業務活動が妨げられないようにします。 自動化を進めることで、インシデント対応時間を短縮し、管理者の負担を軽減できます。Forcepointのリスク適応型プロテクションのようなソリューションは、ユーザーの行動リスクスコアに基づいて個々のユーザーに最適なセキュリティを動的に設定し、誤検知を減らしつつ、真の脅威に的を絞ることを可能にします。

DLP導入のROIを測定するため、デプロイ後のインシデントを追跡し、リスク低減の効果を示すレポートを作成します。関連インシデントのグループ化、リスク低減期間の一貫性保持、自動応答と人間による応答の区別が、正確な分析につながるヒントとなります。 そして、DLP運用において最も重要な継続すべき事柄は従業員のトレーニングです。机上演習、管理部門向けトレーニング、オンライン知識ベース、意識向上トレーニングなど、多角的な教育が不可欠です。

DLPの展開は、残りのデータタイプ（使用中データ、保存されているデータ）やチャネル（ウェブ、電子メール、クラウドSaaSアプリ、エンドポイント）まで適用して初めて完了します。既存のDLPポリシーを他のチャネルにも適用することで、組織内のすべてのデータ送信手段に包括的な保護を迅速に適用できます。効率的な保護範囲の拡大には、CASB (Cloud Access Security Broker) や SWG (Secure Web Gateway) といった各チャネル用ツールの導入が有効です。

データの検出と分類は、継続的なDLP活動にとって重要な基盤です。データセキュリティ態勢管理（DSPM）ソリューションの機能を活用することで、DLPソリューションの効率を大幅に向上できます。DSPMはデータを正確に検出・分類し、誤検知を低減することで、管理者がインシデント対応や監査、ワークフロー調整に集中できる環境を提供します。また、冗長・些細・古い（ROT）データの最小化やデータ主権の確保、最小特権の原則（PoLP）の実施を支援し、監査プロセスの迅速化やデータガバナンスポリシーの実施を容易にします。

「データのリスク」は「ビジネスのリスク」に他なりません。データのライフサイクル全体にわたるアプローチを通じて、両方のリスクを最小限に抑えることが可能です。私たちForcepointでは、このアプローチを「Data Security Everywhere」と呼んでいます。その基本原則は以下の5つです。

発見：
機密データを発見・検出し、組織全体をスキャンしてデータ重複などを特定します。

分類：
高精度でデータを分類し、ポリシーと報告の一貫性を保ち、DLPにデータ漏洩を阻止する能力を付与します。

優先順位：
セキュリティを最も強化すべき場所を優先し、保護範囲を拡張して追加のチャネルやアプリにも適用します。

保護：
あらゆる知的財産と規制対象データを保護し、データ漏洩を防止し、規制要件へのコンプライアンスを維持します。

監視：
リスクを監視し、ポリシーを動的に適用して内部脅威を阻止し、誤検知によるタイムロスを削減します。

DLP（リスク適応型プロテクションによる強化）とDSPMの組み合わせは、組織全体のデータリスクを最小化する戦略の要であり、ユーザーやデバイスがネットワークにアクセスするすべての場所で、包括的なデータセキュリティの強固な基盤を提供します。

本コラムで紹介した内容について、より詳しく紹介したホワイトペーパー「8ステップで実現するDLP導入ガイド」