LASSIC Media らしくメディア
DLP(情報漏洩防止)システム|機密データを守る要件と外注
LASSIC IT事業部|元請(プライムベンダー)としてセキュリティ基盤の開発・運用を受託
この記事のポイント
- DLP(情報漏洩防止/Data Loss Prevention)とは、機密データを不適切に共有させないための実践であり、Microsoftはこれをポリシーの定義と適用によって「識別・監視・自動保護」する仕組みだと説明しています。
- DLPの核は、(1)機密データの分類・識別、(2)エンドポイント・ネットワーク・クラウド・メールでの検知とブロック、(3)ポリシー設計、(4)誤送信・持ち出しへの例外運用の4点にあります。監視・相関のSIEMやSaaS可視化のCASBとは役割が異なります。
- 外注では、保護対象データの分類方針、検知エンジン(パターン/機械学習)の精度調整、ブロック時の業務影響の抑え方、シミュレーションモードでの段階導入を担える体制かどうかが確認の軸です。
目次
情報漏洩が止まらない——機密データの持ち出し・誤送信という経営リスク
顧客の個人情報、設計図や価格表といった営業秘密、財務データ——。これらの機密データは、いまや社内サーバーだけでなく、クラウドストレージや従業員の端末、メールの添付ファイルへと広がっています。守るべき範囲が広がるほど、意図せぬ漏洩の経路も増えていきます。
漏洩は外部からの攻撃だけで起きるわけではありません。悪意のない従業員がファイルを取り違えて誤送信するケース、退職を控えた担当者が資料を私物の媒体へコピーするケースなど、内部を起点とした流出も無視できないのです。独立行政法人情報処理推進機構(IPA)が公開する「組織における内部不正防止ガイドライン」も、退職者による持ち出しや現職従業員の誤操作といった内部経路への備えを重視し、10の観点・33項目の対策を整理しています*5。
こうした課題に対して、漏洩そのものを未然に止める役割を担うのがDLP(情報漏洩防止/Data Loss Prevention)システムです。本稿では、DLPが何をする仕組みなのか、監視を担うSIEMやSaaS可視化を担うCASBとどう役割が分かれるのか、そして開発を外注する際にどこを確認すべきかを、公式情報に基づいて整理していきます。読者として想定するのは、セキュリティ基盤の発注を検討するIT部門の意思決定層の方々です。
DLP(情報漏洩防止)システムとは、機密データを分類し検知・ブロックする仕組み
DLPとは、財務データ・知的財産・クレジットカード番号・医療記録・社会保障番号といった機密情報を、それを持つべきでない相手へ不適切に共有させないための実践を指します*1。Microsoft Purviewの公式ドキュメントは、この実践をDLPポリシーの定義と適用によって実現し、機密情報を「識別・監視・自動的に保護(identify, monitor, and automatically protect)」するものだと説明しています*1。
ここで重要なのは、DLPが単純な文字列スキャンではないという点です。公式ドキュメントは「ディープコンテンツ分析(deep content analysis)」という表現を用い、キーワードの一致、正規表現の評価、内部関数による検証、主要データの近傍にある副次データの一致、さらに機械学習アルゴリズムなどを組み合わせて、ポリシーに合致する内容を検出すると述べています*1。単語が含まれるかどうかだけでなく、それが機密情報として意味を持つ文脈かどうかまで踏み込んで判定するわけです。
保護の対象となる場所も広範に定義されています。Microsoft 365のExchange・SharePoint・OneDrive・Teamsのチャットやチャネル、Word・Excel・PowerPointといったOfficeアプリ、Windows 10/11とmacOS(直近3バージョン)の端末、Microsoft以外のクラウドアプリ、オンプレミスのファイル共有まで含まれます*1。対象となるデータの状態も、保存中(data at rest)・使用中(data in use)・移動中(data in motion)の3つにまたがるのが特徴です*1。
では、条件に合致したときにDLPは何をするのでしょうか。公式ドキュメントが挙げる保護アクションには、次のようなものがあります*1。
- ユーザーへポリシーヒント(policy tip)のポップアップを表示し、不適切な共有の可能性を警告する
- 共有をブロックしたうえで、上書き(override)と理由の記録を許可する
- 上書きを認めず、共有そのものをブロックする
- 保存中のデータについては、機密項目をロックして隔離用の検疫(quarantine)場所へ移動する
- Teamsチャットでは、機密情報そのものを表示させない
これらの「合致条件」と「実行アクション」をひとまとめにした設定を、公式ドキュメントは「ルール(rule)」と呼びます*1。金融データや医療・健康データ、各国のプライバシーデータに対応した定義済みテンプレートから始める方法もあれば、機密情報の種類(後述のSIT)や秘密度ラベルを使って独自に設計することも可能です*1。導入初期には、アクションを実際には適用しない「シミュレーションモード(simulation mode)」で影響を評価してから、より制限的なモードへ移行する運用が推奨されています*1。いきなりブロックを有効にせず、まず影響範囲を見極めるという考え方です。
DLPとSIEM・CASBの違い——監視・可視化と「漏洩そのものの防止」の役割分担
DLPを検討する際に混同されやすいのが、SIEMやCASBとの違いです。当サイトでも別途取り上げているこれらは、いずれもセキュリティ基盤を構成する要素ですが、担う役割は重なりません。ここで整理しておきましょう。
SIEM(Security Information and Event Management)は、各種機器やアプリのログを集約し、相関分析によって異常や攻撃の兆候を検知・監視する仕組みです。いわば「何が起きているか」を横断的に見張る役割を担います。ただしSIEMは、ログを収集して気づきを得ることが主眼であり、機密ファイルの持ち出しをその場で止めるための仕組みではありません。
CASB(Cloud Access Security Broker)は、クラウドサービスの利用を可視化・制御する仕組みです。Microsoftの「Defender for Cloud Apps」は、シャドーIT(Shadow IT)の発見やクラウドアプリ利用状況の可視化といった「基本的なCASB機能(Fundamental cloud access security broker functionality)」を提供すると公式に説明されています*4。CASBは、どのSaaSが誰にどう使われているかを把握し、リスクを評価する点に強みがあります。なお同製品はDLP機能も併せ持ち、Microsoft Purviewと統合して機密情報を保護する構成も取れると記載されています*4。この事実は、DLPが単体製品の名称というより、複数の場所にまたがって機能する「規律(discipline)」であることを示しています。
これに対してDLPは、機密データそのものを分類・識別したうえで、メール・端末・クラウド・印刷といった出口で検知し、必要ならブロックまで踏み込みます*1。「監視して気づく(SIEM)」「クラウド利用を可視化する(CASB)」に対し、DLPは「機密データが外へ出る行為を止める」ことに主眼を置く、と捉えると役割の境界が見えやすくなります。3者を比較すると次の通りです。
| 観点 | DLP | SIEM | CASB |
|---|---|---|---|
| 主な目的 | 機密データの漏洩防止*1 | ログの相関分析による監視・検知 | クラウド利用の可視化・制御*4 |
| 着目する対象 | データそのもの(中身の機密性)*1 | イベント・ログの流れ | SaaS/クラウドアプリの利用状況*4 |
| 典型的なアクション | 警告・ブロック・検疫*1 | アラート・可視化・調査 | アプリ検出・リスク評価・アクセス制御*4 |
3者は競合するものではなく、補完し合う関係にあります。実際、DLP機能はCASB製品にも組み込まれ得ますし、DLPが記録した監視ログはSIEMへ集約して調査に使うこともできます*1*4。要件定義の段階で「どの層に何を任せるか」を先に整理しておくと、機能の重複投資を避けやすくなるでしょう。
DLPの機能要素——分類・識別、検知・ブロック、ポリシー設計
DLPシステムの中身を、機能要素に分解して見ていきます。ここを理解しておくと、外注時の要件定義でどこに工数がかかるかを判断しやすくなります。
機密データの分類・識別——何を守るかを機械が見分ける
DLPの出発点は、守るべきデータを見分けることです。Microsoft Purviewは、項目を識別する手段として「ユーザーによる手動」「パターン認識による自動(機密情報の種類)」「機械学習」の3つを挙げています*3。このうちパターン認識を担うのが「機密情報の種類(Sensitive Information Type、以下SIT)」です。SITは、社会保障番号・クレジットカード番号・銀行口座番号などを検出する、パターンベースの分類器だと定義されています*3。
SITのパターンは、主要素(primary element)・補助要素(supporting element)・信頼度(confidence level)・近接性(proximity)で構成されます*3。主要素には正規表現やキーワードリスト、関数などを指定でき、補助要素は判定の裏づけとなる証拠として信頼度を高める働きを持ちます*3。信頼度は高・中・低の3段階で、証拠が多いほど高く、誤検知と検知漏れのバランスを調整する指標です*3。日本語を含む2バイト文字(ダブルバイト文字セット)にも対応していると明記されています*3。分類の精度が低いと、無関係なファイルが大量に引っかかったり、逆に守るべきデータを取りこぼしたりします。ここのチューニングこそがDLP導入の要になります。
エンドポイント・ネットワーク・クラウド・メールでの検知とブロック
分類したデータが「出ていく」場面を捕まえるのが、検知・ブロックの機能です。端末上の操作を対象とするのがエンドポイントDLP(Endpoint DLP)で、Windows 10/11・macOS(直近3バージョン)・Windows Server 2019以降に監視と保護を拡張します*2。監視・制御できる操作として、公式ドキュメントは次のような行為を列挙しています*2。
- USBリムーバブルメディアへのコピー(Copy to USB removable device)
- ネットワーク共有へのコピー(Copy to a network share)
- クリップボードへのコピー(Copy to clipboard)
- 印刷(Print)
- 制限付きクラウドサービスドメインへのアップロード、または許可されていないブラウザーからのアクセス
- 許可されていないBluetoothアプリ経由でのコピー・移動
これらの操作は、いずれも「監査(audit)」「警告(warn)」「ブロック(block)」のいずれかで扱えると記載されています*2。メールやSaaSへの共有についても、Exchange・SharePoint・OneDrive・Teamsといった場所ごとにアクションを設定できます*1。たとえば公式は、財務部門の端末からクレジットカード番号を含む項目が外へ出るのを止めたい場合、対象ユーザーと端末にスコープしたポリシーを作り、SITとして「Credit Card」を検出するルールを置き、各操作のアクションをブロックに設定する、という設計例を示しています*2。
ポリシー設計と例外運用——誤検知と業務停止のバランスを取る
検知とブロックの強さは、ポリシー設計で決まります。厳しくしすぎれば正当な業務まで止まり、緩めれば漏洩を見逃します。だからこそ、前章で触れたシミュレーションモードでの段階導入が公式に推奨されているわけです*1。まずアクションを適用しない状態で影響を観測し、対象範囲・条件・機密情報の定義を調整してから、本番の制限モードへ切り替えます*1。
例外運用の設計も欠かせません。ブロックを基本としつつ、業務上の正当な理由があるときはユーザーが理由を記録して上書きできるようにする——公式が挙げる「ブロックしたうえで上書きと理由記録を許可する」アクションは、この例外運用にあたります*1。すべてを一律に禁止するのではなく、正当な業務を妨げずに漏洩リスクだけを抑える設計が、現場に定着するDLPの条件になります。DLPの導入は計画・準備・本番展開という段階を踏むプロセスであり、技術の設定だけでなく、業務プロセスの見直しや利用者への周知も含まれると公式は述べています*1。
DLPシステム構築を外注する際に確認したい4つの点
DLPは製品を入れれば終わりという性格のものではありません。自社の機密データを見分ける分類設計と、業務を止めないポリシー調整に、導入の成否がかかっています。外注を検討する際は、次の4点を委託先と確認しておくとよいでしょう。
第一に、保護対象データの分類方針を一緒に設計できるかどうかです。どのデータを機密とみなし、どのSITや秘密度ラベルで見分けるのか。ここが曖昧なままだと、検知が的外れになります*3。自社の業務データに合わせてSITをチューニングし、日本語データにも対応できる知見があるかを確認しておきたいところです*3。
第二に、対象とする場所の広さと優先順位づけです。エンドポイント・メール・クラウド・オンプレミスのどこから着手するか、対象を絞って段階導入する設計を描けるかを見ます*1*2。すべてを同時に守ろうとすると、運用も検証も破綻しかねません。
第三に、ブロック時の業務影響をどう抑えるかです。シミュレーションモードで影響を観測し、誤検知を減らしてから制限モードへ移す進め方を、委託先が標準の手順として持っているかを確認します*1。例外運用や上書きの設計まで踏み込めるかも、現場定着の分かれ目になります。
第四に、既存のSIEMやCASBとの連携です。DLPの監視ログを既存の監視基盤へ集約し、役割分担を崩さずに組み込めるか*1*4。前章の役割整理を踏まえた設計提案ができる相手かどうかが、重複投資を避けるうえで効いてきます。
これらは複数の専門領域にまたがるため、分類設計からポリシー調整、既存基盤との連携までを一貫して担える体制が前提になります。現状のデータ管理状況を診断したうえで、内製と外注の切り分けを検討することが実務的です。
まとめ:DLP(情報漏洩防止)システムで押さえる3つの要点
本稿では、DLP(情報漏洩防止)システムの仕組みと外注時の確認点を、公式情報をもとに整理しました。要点は3つに集約できます。第一に、DLPは機密データを分類・識別し、メール・端末・クラウド・印刷といった出口で検知・ブロックする仕組みであり、公式には「識別・監視・自動保護」を担う実践と定義されています*1。第二に、監視・相関のSIEM、SaaS可視化のCASBとは役割が異なり、DLPは「漏洩そのものの防止」に主眼を置きます*1*4。第三に、導入の成否は分類設計とポリシー調整にかかっており、シミュレーションモードでの段階導入と例外運用の設計が現場定着の鍵になります*1。これらを担える体制を持つ委託先かどうかが、外注の分かれ目です。
よくある質問
DLPとSIEM・CASBは何が違うのですか。どれか一つ入れれば足りますか。
役割が異なるため、単純な置き換え関係にはありません。SIEMはログの相関分析による監視・検知、CASBはクラウド利用の可視化・制御を担うのに対し、DLPは機密データそのものを分類し、出口で検知・ブロックする「漏洩防止」に主眼を置きます*1*4。3者は補完関係にあり、DLPの監視ログをSIEMへ集約する構成も取れます*1。要件定義でどの層に何を任せるかを先に整理することをおすすめします。
DLPを導入すると、正当な業務まで止まってしまわないか心配です。
その懸念に応えるため、公式ドキュメントはアクションを実際には適用しない「シミュレーションモード」での段階導入を推奨しています*1。まず影響を観測して誤検知を減らし、対象範囲や条件を調整してから制限モードへ移します*1。加えて、ブロックしたうえで理由を記録して上書きを許可するといった例外運用も設定でき、業務を妨げずにリスクだけを抑える設計が可能です*1。
DLPはどんな機密データを見分けられるのですか。日本語にも対応しますか。
Microsoft Purviewでは、社会保障番号・クレジットカード番号・銀行口座番号などを検出するパターンベースの分類器「機密情報の種類(SIT)」を使って識別します*3。正規表現やキーワード、信頼度・近接性を組み合わせて判定し、日本語を含む2バイト文字にも対応すると明記されています*3。自社の業務データに合わせたSITのチューニングが、検知精度を左右します。
USBへのコピーやメール添付での持ち出しも止められますか。
エンドポイントDLPは、USBリムーバブルメディアへのコピー、ネットワーク共有へのコピー、印刷、クリップボードへのコピー、クラウドへのアップロードといった操作を監視でき、監査・警告・ブロックのいずれかで扱えます*2。メールやSharePoint・OneDrive・Teamsでの共有も、場所ごとにアクションを設定できます*1。対象OSはWindows 10/11とmacOS(直近3バージョン)などです*2。
DLP構築を外注する場合、何を基準に委託先を選べばよいですか。
保護対象データの分類方針を一緒に設計できるか、対象とする場所を絞って段階導入できるか、シミュレーションモードでブロック時の業務影響を抑える手順を持っているか、既存のSIEM・CASBとの役割分担を崩さず連携できるか——この4点を確認するとよいでしょう*1*2*3*4。複数領域にまたがるため、分類からポリシー調整、既存基盤連携までを一貫して担える体制が前提になります。
著者:テレリモ総研編集部 鈴木 亮佑
ご不明な点はお問い合わせフォームからもご連絡いただけます。
- *1 出典:Microsoft「Learn about data loss prevention」(Microsoft Purview ドキュメント)(https://learn.microsoft.com/en-us/purview/dlp-learn-about-dlp)
- *2 出典:Microsoft「Learn about Endpoint data loss prevention」(Microsoft Purview ドキュメント)(https://learn.microsoft.com/en-us/purview/endpoint-dlp-learn-about)
- *3 出典:Microsoft「Learn about sensitive information types」(Microsoft Purview ドキュメント)(https://learn.microsoft.com/en-us/purview/sit-sensitive-information-type-learn-about)
- *4 出典:Microsoft「Overview – Microsoft Defender for Cloud Apps」(Microsoft Defender for Cloud Apps ドキュメント)(https://learn.microsoft.com/en-us/defender-cloud-apps/what-is-defender-for-cloud-apps)
- *5 出典:独立行政法人情報処理推進機構(IPA)「組織における内部不正防止ガイドライン」(https://www.ipa.go.jp/security/guide/insider.html )