Enterprise Watch
最新ニュース

データ損失防止(DLP)を無駄な投資にしないコツ-シマンテックが説明


シマンテック、コンサルティングサービス本部のテルミ・ラスカウスキー氏
 「情報流出を防止するDLP(データ損失防止)ソリューションに注目が集まっているが、単に導入するだけでは意味がない」。そう指摘するのは、シマンテック、コンサルティングサービス本部のテルミ・ラスカウスキー氏だ。買収した旧VontuのDLP製品を展開する同社は、記者向けラウンドテーブルを開催。導入にあたっての検討ポイントを説明した。DLP導入を無駄な投資としないために、企業が最初にすべきこととは何であろうか。

 DLPとは「Data Loss Protection」の略で、企業内で情報流出を防ぐためのソリューションを指す。これに付随するものとして最近では、「Insider-Threat Protection(インサイダー脅威防止)」「Outbound Content Management(アウトバウンドコンテンツ管理)」といった言葉も生まれている。「これらからもうかがえるように、最近の情報流出はインサイダー(社員)のミスなどを原因としていることが多く、いかに企業内で情報を保護するかが、あらためて重要なテーマとなっている」(ラスカウスキー氏)。

 そこでDLPが注目されているのだが、ラスカウスキー氏は、「導入の前にやるべきことがある。それをしないで導入しても、まったく意味のないものになる」と指摘。

 DLPとは、「重要な情報」が「許可なし」に「組織の外に流出する」のを防ぐものだ。では、そもそも重要な情報とは何であろうか。許可とは誰の許可のことなのか。組織の外とはどこのことなのか。

 例えば、個人情報と一口にいっても、単体では問題にならず、ある情報とある情報が組み合わさって初めて問題となる場合がある。では、何が組み合わさると問題なのか。また組織の外というけれど、VPNでリモートアクセスしているとき、その人は外にいるのか内にいるのか。DLPをうまく機能させるためには、「判断の難しいこれらグレーな問題を、企業のポリシーとして事前に決めなくてはいけない」(同氏)というのだ。

 これらの問題を解決せずにDLPを導入すると、「重要でない情報でアラームがあがったり、重要な情報でアラームがあがらなかったりする。アラームが多くなりすぎて、管理者がさばききれないという事態になりかねないし、また製品によっては、ユーザーがメールを書いている最中に、この情報は含んではダメ、これは承認が必要などのメッセージがポンポンあがることもある。結果、ユーザーからの苦情が頻発し、運用を停止せざるを得なくなってしまう」(同氏)。


コーポレートガバナンスに基づいて情報を分類し、保管されている場所を特定する

推奨する情報分類のプロセス
 ではこうならないため、具体的に企業は最初に何をすべきなのか。

 「まずコーポレートガバナンス(企業統治)に基づいて、ITガバナンスを徹底すべきだ。ITガバナンスは、ビジネス目標を達成するために、ITをいかに活用すべきかを定義すること。このビジネス目標という視点でもって、重要なデータとは何かを決定していくことが最初のステップとなる」(同氏)。

 つまり、情報の分類を行うわけだ。何が重要な情報なのか分からなければ、それがどこに格納されているかも分かるわけがない。

 分類プロセスとしては、1)状況を把握するためのアセスメント、2)ポリシーの策定、3)BIA(ビジネスインパクト分析)、4)分類の作成、5)役割と責任の決定、6)オーナーの洗い出し、7)情報やアプリへの分類適用、8)継続的な監視とインシデント対応の8つのステップを推奨。「特に4)の分類は細かすぎてはいけない。シンプルさが重要となる」(同氏)としている。

 DLP製品を導入するということは、つまるところ8)の実現だ。その前にやらなくてはいけないことが7項目。DLP導入を無駄な投資にしないためには、これらを事前に行って、文書としてきちんと作成しなくてはいけない。また8)においては、確実にリスクを低減するため、組織に合わせたインシデント対応フローの設計が重要だとしている。

 とはいえ、企業が単独でこうした事前準備を行うのは難しい。そこでシマンテックでは、DLPコンサルティングサービスを豊富に用意している。

 ユーザー企業の方針策定・技術評価フェーズにおいては、戦略策定支援として、「情報漏えいリスク評価サービス」「企業ポリシー策定支援サービス」「Vontu製品技術検証」などを提供。構築・展開フェーズにおいては、導入支援として、「Vontuシステム設計・導入サービス」「Vontuポリシー策定サービス」「Vontu運用管理トレーニング」などを提供。リスク低減フェーズにおいては、運用支援として、「DLP+Vontuインシデント対応支援(代行)サービス」「DLP+Vontuポリシー定期更新サービス」「DLP+Vontuインフラ運用支援サービス」などを提供する。さらにこれら全フェーズを通して、継続的なプロジェクト管理の支援や情報提供などを行っている。



URL
  株式会社シマンテック
  http://www.symantec.com/ja/jp/

関連記事
  ・ 「機密情報の扱いは慎重に」、従業員の意識も向上させるSymantecのDLP製品(2008/09/19)


( 川島 弘之 )
2008/09/26 11:48

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.