今日、データはこれまで以上に利用可能で、転送可能で、機密性が高くなっています。 データ漏洩を防止する最善の方法は、データ損失防止(DLP)ソリューションを実装することです。 DLPは、組織を終了する前にデータを識別して保護することができる自動化された企業ポリシーを適用します

専用のDLPツール、電子メールサーバー、汎用セキュリテ これらのテンプレートを使用すると、データ損失ポリシーで保護する組織コンテンツを定義するDLPポリシーを簡単に作成できます。 たとえば、DLPは、ポリシーによって識別されるコンテンツが外部の個人に送信されたり、変更されたり、削除されたりしないようにすることができます。この記事では

を学びます:

  • データ損失防止ポリシーとは何ですか?
  • データ損失防止ポリシーを持つことが重要な理由
  • 成功したDLPポリシーを作成するためのベストプラクティス
  • 一般的なエンタープライズツール用のデー:
    • Microsoft Exchange
    • Symantec DLP
    • IBM Endpoint Protection(IBM BigFix)

データ損失防止ポリシーとは何ですか?

データ損失防止(DLP)は、組織の情報を保護し、エンドユーザーがネットワーク外に機密データを漏らすのを防ぎます。 ネットワーク管理者は、DLPツールを使用して、エンドユーザーが共有およびアクセスしたデータを追跡します。 DLPツールはデータを保護および分類できますが、データ損失防止ポリシーは組織がこれらのツールをどのように実装すべきかを概説しています。

DLPソフトウェアは、組織の機密データと必須データを分類します。 ソフトウェアは、定義済みのポリシーパックまたは組織によって定義されたポリシーの違反を分離します。 PCI-DSS、HIPAA、GDPRなどの規制遵守は、一般的にこれらのポリシーを形成します。 ソフトウェアが違反を特定すると、DLPは暗号化、警告、およびその他の措置を講じて、エンドユーザーが誤ってまたは悪意を持ってデータを公開するのを止

データ損失防止ツールは、エンドポイントアクティビティをスキャンし、クラウド内のデータを監視して、保存中、使用中、移動中のデータを保護します。 また、組織ネットワーク上のデータストリームをフィルタリングデータストリームもあります。 組織はDLPレポート機能を使用して、監査要件とコンプライアンス要件を確実に遵守し、組織内の異常な活動と弱点の領域を分離することができます。 これは、インシデント対応とフォレンジックを支援します。

データ損失防止ポリシーを持つことが重要な理由

データセキュリティは、組織に対する敵対的な攻撃を防止します。 従業員は、分散した組織データを共有およびアクセスするための多くの方法を持っているため、不注意なデータ損失が喫緊の課題となっています。

従業員、ビジネスパートナー、請負業者は、会社のデータを盗んだり、誤って漏洩したりすると、組織に脅威を与える可能性があります。 従業員は、例えば、継続的な従業員のサイバー教育の必要性を強調するソーシャルエンジニアリング攻撃の犠牲になる可能性があります。 これらの種類の脅威または内部者の脅威はビジネスに大きい危険を今日示す。

データストレージは遠隔地を介してアクセスしやすくなり、クラウドサービスでは、悪意のある個人が保護されていない携帯電話やラップトップからデータにアクセスできるようになりました。

データ損失防止ポリシーを持つ主な理由は3つあります。

1. コンプライアンス
組織ポリシーは、政府および業界規制当局SOX、HIPAA、PCI DSSなどによって指定された必須のコンプライアンス基準によって導かれます。 これらの基準は、組織が個人識別情報(PII)およびその他の機密データをどのように保護すべきかを概説しています。

DLPポリシーはコンプライアンスの第一段階であり、監査の正確な報告を提供するのに役立ちます。 通常、DLPツールは、特定の業界の共通規格の要件に合わせて設計されています。

2. 知的財産
企業秘密または組織戦略や顧客リストを含むその他の無形資産は、物理的資産よりも価値が高い可能性があります。 この種の情報を失うことは、財政的および風評被害、不正流用を引き起こす可能性があり、罰則および法的措置をもたらす可能性があります。

3. データの可視性
デジタル化に向けた動きが高まっているため、サーバー、ラップトップ、ネットワーク共有、クラウドストレージ、データベース、USBドライブなどのデバイ

DLPポリシーは、利害関係者やエンドユーザーが機密情報をどのように使用するかを組織が学習するのに役立ちます。 組織は、どのデータが存在するか、どこに存在するか、誰がそれを使用するか、そしてどのような目的のために情報をよりよく保護することができます。

成功したDLPポリシーを作成するためのベストプラクティス

絶対的な保護はありませんが、ベストプラクティスは組織が成功したデータ保護ポリシーを実

  • 保護が必要なデータの特定—脆弱性とリスク要因に基づいてデータを分類、優先順位付け、および解釈することにより、保護が必要な情報を確認します。
  • 仕入先を評価する方法を理解する—情報に基づいた購買決定を行うための関連する質問を持つフレームワークを確立する。
  • 関係するすべての関係者の役割を指定する—データの誤用を防ぐために、すべての個人の役割を概説します。
  • データ移動の監視—データがどのように使用されるかを理解し、データを危険にさらす行動を特定します。 この知識を使用して、データ損失のリスクを軽減し、適切なデータ使用を確実にするポリシーを開発します。
  • リーダーシップを含む—管理バイインはDLPの成功に不可欠です。 彼らは組織レベルで適用することができない限り、ポリシーは何の価値もありません。 部門長は、企業文化に沿ったデータ損失防止ポリシーを作成する必要があります。
  • 従業員を教育する—私たちは、従業員をデータ損失防止の弱いリンクとして見る傾向がありますが、幹部はしばしば教育を優先しません。 Investは、データのユーザーと利害関係者がポリシーとその重要性を理解するのを支援しています。
  • メトリクスを使用して成功を判断する—インシデントの数、偽陽性の割合、平均応答時間などのメトリクスを使用してDLPの成功を測定します。 データ損失防止の指標は、ポリシーの効率性と投資収益率を確認するのに役立ちます。

データ損失防止テンプレート

データ損失防止ポリシーテンプレートは、DLPデータ識別子と論理演算(And、Or、Except)を使用して条件ステートメントを作成します。 特定の条件ステートメントを満たすデータまたはファイルのみが、DLPポリシーの範囲内に含まれます。

たとえば、DLPポリシーは、次の条件をすべて満たしている場合、ファイルが機密の”雇用契約”カテゴリに属することを指定できます:

  • はMicrosoft Wordファイル(ファイル属性)
  • であり、特定の法的用語(キーワード)
  • とID番号(正規表現で定義)が含まれている必要があります)

Microsoft ExchangeのDLPポリシー

Microsoft Exchangeは、Exchangeサーバーを介して保存および送信される組織データを保護するのに役立つデータ損失防止(DLP)ポリシーテンプレートを提供しています。Pci-DSS(payment card industry data security standard)、Gramm-Leach-Bliley act(GLBA)データ、および米国の個人識別情報(U.S.PII)の管理に役立ちます。 DLPポリシーは、従来のメールフロールールの全範囲を支援し、DLPポリシーを確立した後にさらにルールを追加できます。

Microsoft Exchange DLPテンプレートを作成するための前提条件:

  • exchangeサーバーをセットアップする–詳細については、このTechNetの記事を参照してください。
  • ユーザーアカウントと管理者アカウントを設定し、トランスポートパイプラインを確認します(外部の電子メールクライアントに電子メールを送信できる 詳細については、ここの文書を読んでください。
  • セキュリティチームまたは関係当局からDLPポリシーを作成する許可を受けます。
  • DLPには、Exchange Enterprise Client Accessライセンス(CAL)が必要です。
  • 特定のメールボックスが社内Exchangeにあり、一部のメールボックスがExchange Onlineにあるハイブリッド環境では、DLPポリシーはExchange Onlineにのみ適用されます。

Exchangeで使用可能なDLPテンプレートの例:

ポリシーテンプレート テンプレートが検出および保護に使用される情報の例
PCI Data Security Standard(PCI DSS) デビットカードまたはクレジットカード番号
英国データ保護法 国民保険番号
米国健康保険法(HIPAA) 社会保障番号と健康情報
可搬性および説明責任法(HIPAA) 米国 個人を特定できる情報(PII)、例えば、社会保障番号または運転免許証番号。
フランスデータ保護法 健康保険カード番号
カナダ個人情報保護法(PIPA) パスポート番号と健康情報
Australia Privacy Act クレジットカード、SWIFTコードを含むオーストラリアの財務データ
日本個人情報(PII)データ 運転免許証とパスポート番号

Exchange serverによって提供されるすべてのテンプレートを参照してください。

Exchange管理センター(EAC)を使用してテンプレートからDLPポリシーを作成する方法):

1. EACで、Compliance Management>Data Loss Preventionに移動し、”追加”をクリックします。

ソース:マイクロソフト

2. テンプレートから新しいDLPポリシーを作成するページが表示されます。 ポリシー名、説明を入力し、テンプレートを選択し、ポリシーを有効にするかどうかにかかわらず、ステータスを設定します。 デフォルトのステータスは、通知なしのテストです。

3. [保存]をクリックします。

Symantec Data Loss PreventionのDLPポリシー

Symantec Data Loss Preventionには、組織データの保護に使用できるポリシーテンプレートが用意されています。 環境とシステム間でポリシーを共有することで、ポリシールールと例外をテンプレートとしてインポートおよびエクスポートできます。

ポリシーテンプレート 選択された例 説明の例
米国の規制執行 HIPAAおよびHITECH(PHIを含む) は、米国の健康保険の携帯性および説明責任法(HIPAA)を施行しています。)
一般データ保護規則 一般データ保護規則(デジタルId) デジタルidに接続された個人を特定できる情報を保護します
国際規制当局 カルディコット レポート
顧客と従業員のデータ保護 従業員のデータ保護 従業員のデータを検出
機密または機密データ保護 暗号化されたデータ は、異なる方法を使用して暗号化の使用を検出します
ネットワークセキュリティ強制 パスワードファイル パスワードファイル形式を検出します
制限されたファイル は、次のようなファイルタイプを検出します。 会社から発送することが不適切
ポリシーテンプレートのインポートとエクスポート ポリシーテンプレートのインポートとエクスポート ポリシーテンプレートをEnforceサーバーとの間でインポート ポリシーテンプレートは、環境間で共有したり、従来のポリシーをアーカイブしたり、既存のポリシーをバージョン管理したりすることができます。

すべてのSymantec DLPテンプレートは、上記のカテゴリに分類されています。

Symantec Data Loss PreventionのテンプレートからDLPポリシーを作成するには:

  1. テンプレートからポリシーを追加します。 このヘルプ記事を参照してください。
  2. 使用するテンプレートを選択します。 [Manage>Policies>Policy List>New Policy–Template List]画面では、すべてのポリシーテンプレートが一覧表示されます。
  3. 次へをクリックしてポリシーを設定します。
  4. データプロファイルの選択(プロンプトが表示された場合)、ポリシー名または説明の編集(オプション)、ポリシーグループの選択(必要な場合)、ポリシールールま
  5. ポリシーを保存してエクスポートします。

IBM Endpoint Manager(IBM BigFix)のDLPポリシー

IBM Endpoint Managerは、IBM BigFixと改名され、データ損失防止もカバーするエンドポイント用のエンドツーエンドのセキュリティ-ソリューションです。 IBM BigFixのコア保護モジュール(CPM)は、事前定義されたテンプレートを提供します:

  • GLBA:Gramm-Leach-Billey法
  • SB-1386:米国上院法案1386
  • HIPAA:医療保険の携帯性と説明責任法
  • PCI-DSS:ペイメントカード業界のデータセキュリティ基準
  • 米国PII: 米国個人を特定できる情報

テンプレートはXMLファイルとして提供され、テンプレートを適用するためにインポートできます。 BigFixでは、DLPデータ識別子を設定すると、独自のテンプレートを作成することもできます。

IBM BigFixで事前に構築されたDLPテンプレートをインポートして使用する方法:

  1. Endpoint Protection>Configurations>Data Protection>DLP Settings Wizard>Template Managementに移動します。
  2. 新しい画面表示で、テンプレートの名前、説明を入力し、データ識別子を選択します。
    許可または禁止するコンテンツの検索に新しい式を追加したり、ファイル属性のリストを作成したり、キーワードリストを作成したりできます。 各定義には論理演算子が必要です。
  3. 保存をクリックします。

詳細については、IBMのこのサポート記事を参照してください。

高度なセキュリティ分析でDLPを補完する

DLPソリューションは、データフローを監視し、既知の脅威から組織を保護することができます。 しかし、攻撃や悪意のあるインサイダーは、常にシステムを侵害し、データを盗むための新しい方法を見つけます。 これは、USER and Event Behavioral Analytics(UEBA)と呼ばれる新しいタイプのセキュリティツールで解決できます。

UEBAツールは、ユーザー、アプリケーション、ネットワークデバイスの動作のベースラインを確立します。 彼らは、機械学習アルゴリズムを使用して、所定の規則やパターンを持たずに、エンティティまたはエンティティのグループの異常な活動を識別します。 これは、DLPポリシールールに一致しなかったデータ関連のインシデントについて警告することによってDLPを補完します。

インサイダーや未知の脅威からのデータ侵害から保護できるUEBAシステムの例については、Exabeam Advanced Analyticsの詳細をご覧ください。

DLPについてもっと知りたいですか?
これらの記事を見てみましょう:

  • DLPとは何ですか、そしてあなたの組織でそれを実装する方法は?
  • データ損失防止ツール
  • セキュリティ侵害:あなたが知っておくべきこと

コメントを残す

メールアドレスが公開されることはありません。

lg