データを見ずにコントロールするのはDLPではない - シマンテック

シマンテックは、米シマンテックが2007年に買収したVontu社の情報漏えい対策(DLP:Data Loss Prevention)に関する技術説明会を開催した。

シマンテック コンサルティングサービス本部 プリンシパルコンサルタントの山本秀宣氏は「データを見ずにコントロールするのはDLPではない」と語り、一律にデータの持ち出しを禁止するのでなく、データの内容によって判断する同社の製品の優位性をアピールした。

山本氏は、個人情報保護法の制定以降情報漏えい対策は強化されているが、一方で運用管理者に高い運用負荷を与えていると同時に、ユーザーの利便性を阻害しているという、現状の情報漏えい対策の問題点を指摘。

この問題の解決には、データそのものに着目し、機密データのライフサイクルを直接コントロールして、セキュリティと利便性のバランスをとることが必要だとした。

3つの分野でソリューションを提供

同社のDLP製品では、ストレージ、エンドポイント、ネットワークの3つの分野でソリューションを提供しており、これらを管理プラットフォームによって1つコンソールで一元的に管理できるのが特徴となっている。

ストレージDLPでは、ファイルサーバ、データベース、電子メール、Webサイトのデータを定義されたポリシーにしたがってチェックする。もし、誰もがアクセスできるようなフォルダに機密データが置かれポリシーに反しているような場合は、データが自動的に安全なフォルダに移動される。また、保存期間を過ぎたデータを自動的に削除したり、クレジットカード番号など、保存してはいけないデータがあった場合は、自動的に削除する機能も有するという。

山本氏によれば、最近はテストデータ作成の手間を省くため、本番データを開発・テスト系で利用し、そこから情報漏えいするケースが増えており、これらにストレージDLPを利用するのが有効であるとした。

エンドポイントDLPは、クライアントPCの情報漏えいを防ぐソリューション。最近関心の高いUSBメモリによる漏えいのほか、プリンタ・FAXへの出力、ブラウザやメール送信による情報漏えいを防止する。このソリューションでは、ポリシー違反の際、管理者にメールを送信したり、ログを出力したりするが、同時にユーザー画面に警告を促すポップアップ画面も出力する。山本氏によれば、この画面はユーザーに違反を自覚させる教育的効果もあるとした。

エンドポイントDLPでは、各クライアントにエージェントと呼ばれるプログラムがインストールされチェックされるが、エージェントがインストールされていないPCが接続された場合、それをチェックすることもできるという。

ネットワークDLPでは、メール、Web、FTPなどネットワーク上の情報の流れを監視し、機密情報を含む通信をリアルタイムでブロックするほか、Webメールの利用、掲示板やブログへの書き込みを制御する。

3つのデータ検出技術

データそのものに着目する同社のDLPにとって、キーテクノロジーになるのがデータを検出技術だ。同社の製品では「EDM」「IDM」「DCM」という3つのデータ検出技術を利用しているという。

EDM(Exact Data Matching)は、RDBのような行単位でデータを管理している構造化されたデータを検出するための技術。各行を構成する項目全体または一部が含んでいるかどうかを判断してチェックする。

IDM(Indexed Document Matching)は、文書、プレゼンテーション、CADデータ等の非構造化データをチェックする技術。DOC、PDF、TXTなど文書データはフィンガープリントを取りチェックするほか、GIF、MPG、AVIなどのバイナリデータは、MD5ハッシュを比較してチェックするという。

文書データのチェックでは、ある文字列の30%以上がマッチしていたらポリシー違反とみなすなど、10%刻みで検出精度を設定することが可能だという。

DCM(Described Content Matching)は、ファイル種別、ファイル名、ファイルサイズのほか、メールアドレス、ドメイン、ユーザー名などをチェックする。また、IPアドレスなどパターンに規則性があるものは、それもチェックする。クレジットカード番号では単に桁数だけでなく、公開されている並びのアルゴリズムもチェックするという。