なぜ、機密情報だけを効率的に保護できるのか-「Symantec DLP」の技術を紹介
 |
| コンサルティングサービス本部サービスデリバリー部 プリンシパルコンサルタントの山本秀宣氏 |
株式会社シマンテックは9月29日、情報漏えい防止製品「Symantec DLP」に関する技術説明会を開催。コンサルティングサービス本部サービスデリバリー部 プリンシパルコンサルタントの山本秀宣氏が、実際のデモも交えて、製品の特徴や優位点を解説した。
Symantec DLPは、「ストレージ」「エンドポイント」「ネットワーク」の3カ所を監視し、機密情報の適切な保護を実現するもの。特徴は「3カ所を統合的に保護できる点と、データそのものに着目する点。機密情報が漏れる“かもしれない”からといって、USBメモリの使用やノートPCの持ち出しを禁止するような、過剰で業務にマッチしない保護対策とは根本的に異なる」(山本氏)。
 |  |  |
| 「ストレージ」「エンドポイント」「ネットワーク」のデータを統合的に保護できる | トップ画面 | ポリシー画面 |
■ストレージDLP-ファイルの不適切な保護方法を改善
ストレージDLPで利用されるコンポーネントは「Network Discover」と「Network Protect」。前者でさまざまなストレージ上の機密情報を「検知」し、後者でポリシーに違反する機密情報を「保護」する。
Windows、Linux、UNIXなどのファイルサーバー、データベース、文書管理システムなどが検知対象。ファイル共有プロトコルのCIFS・ NFSでリモートスキャンするほか、未対応の検知対象にはエージェントを導入することで補う。例えば、「公開フォルダに機密情報を含むファイルが保管されている」などのポリシー違反が見つかった場合、アクセス管理・暗号化された安全なフォルダに移動し、代わりに「このファイルは安全な場所へ隔離されました。再度アクセス権が必要な場合は管理者にご一報ください」といった「マーカーファイル」を作成する。
つまり、「不用意な場所にうっかり機密情報が置かれていた」ということを防止できるのが、ストレージDLPだ。「PCIDSS要件への対応として、保存してはならないクレジットカードのセンシティブデータを検索し、存在すれば除去したりすることも可能」(同氏)という。
 |  |  |
| ストレージDLPのコンポーネント | システム構成イメージ。CIFS・NFSで機密情報の有無をリモートスキャンする | 動作イメージ。ポリシー違反のファイルは安全な場所へ自動的に移動・コピーする |
 |  |  |
| 個人情報を含んだファイルを公開フォルダに置いてしまった例。Network Discoverが検知 | どんな情報がポリシーに違反していたのかハイライト表示してくれる。この場合は、「社会保障番号を含む氏名」が引っかかっている | ファイルは安全なフォルダに移され、公開フォルダにはサイズ1KBほどのマーカーファイルのみが残される |
■エンドポイントDLP-機密情報の外部コピーなどを防止
エンドポイントDLPで利用されるコンポーネントは「Endpoint Discover」と「Endpoint Prevent」。前者でクライアントPC上の機密情報を「検出」し、後者でその操作をリアルタイムに「防止」する。
「検出」のために、クライアントPC上にエージェントを導入。このエージェントとポリシー展開サーバーの間で暗号化通信することで、機密情報の有無が精査される。例えば、機密情報のローカルダウンロード、USBメモリやCD-ROMへのコピー、印刷などを行おうとすると、ポリシーに従って「防止」し、管理者への通知などを行うのだが、「最初に機密情報をしっかりと特定するため、単なるテキストファイルはコピーや印刷を許可するなど柔軟な運用が行えるのが特長だ」(同氏)。
オフライン時でもエージェントは動作し、何らかのインシデントが検出された場合は、再度管理サーバーと再接続が行われるまで保管される。また、「ポリシーはクライアントがオンライン/オフラインで別々に決めておけるため、社内ではUSBメモリの使用を許可し、自宅では禁止するといったことも可能。社内でエージェントが未導入のクライアントPCを検出する機能も備えている」(同氏)。
 |  |  |
| エンドポイントDLPのコンポーネント | システム構成イメージ。クライアントPC上の機密情報を検出し、外部コピーなどを制御する | 動作イメージ。オフライン時でもエージェントは動作する |
■ネットワークDLP-不適切なアウトバウンドを遮断
ネットワークDLPで利用されるコンポーネントは「Network Monitor」と「Network Prevent」。前者でネットワーク上の機密情報の流れを「監視」し、後者でネットワーク上の機密情報漏えいを「防止」する。
「監視」では、メール、Web、FTPをはじめとするTCPベースのプロトコル全般に対応。万が一、機密情報がポリシーに違反してネットワーク上を流れるのならば、その手段がSMTPだろうと、Webメールだろうと、掲示板・ブログへの記事投稿であろうと「防止」できる。「この分野には、Webフィルタリングなどの技術も存在するが、不適切なインバウンド通信を遮断するそれと違って、アウトバウンド通信を制御できるのがネットワークDLPの特徴だ」(山本氏)。
 |  |
| ネットワークDLPのコンポーネント | システム構成イメージ |
 |  |  |
| 何でもないメールと、機密の設計図データを添付メールで送信してしまった場合 | 設計図を添付したメールだけ遮断され、相手には届かない。送信者には、「ただいまのメールはポリシーに違反しています。ポリシーの詳細をご確認ください」といった警告が届く。これにより社員の意識を高めることも可能 | 同じく管理者あてにも通知が届く。迅速な対応が可能だ |
■3つのデータ検出技術で高精度に機密情報を特定
 |
| 3種類のデータ検出技術 |
このようにSymantec DLPでは、何が機密情報なのかをしっかりと特定し、何でもないファイルと区別できるのが特徴だ。機密情報を特定し検出するために、「EDM(Exact Data Matching)」「IDM(Indexed Document Matching)」「DCM(Described Content Matching)」という3種類のデータ検出技術を備えている。
EDMは、顧客・人事データベースや製品価格表、自社発行クレジットカード番号一覧などの構造化データを検出する。「単に日本人にありそうな氏名データリストを使ってマッチングをかけるのではなく、データベースの実際のデータの組み合わせによって、機密情報を特定できるのが特徴」(山本氏)となる。
例えば、「社員番号」「姓」「名」「メール」のカラムがあり、「10001番に佐藤一郎」「20002番に山本二郎」というデータが格納されているとする。「社員番号」「姓」「名」「メール」のうち3つがまとまっていたら機密情報だとポリシーで定義していた場合、「10001 佐藤 一郎」「20002 山本 二郎」は機密情報、「20002 佐藤 一郎」は機密情報でない、と判定することが可能なのだ。「もし単に氏名リストを使っているのであれば、この2パターンの区別はできないはず。これがEDMの特徴で、高精度な検出が行える理由である」(同氏)。
IDMは、非構造化データを検出するもので、ファイル単位やディレクトリ単位で機密情報を特定できる。例えば、「部門外秘」フォルダ内のデータを機密情報と特定できるほか、DOC/PPT/PDF/TXTなど文書データのフィンガープリントを検出対象と比較し、ファイル名が変更されたものや一部分をコピー&ペーストした機密情報も検出できる。
最後のDCMは、記述されたデータを検出するもので、ファイル属性、キーワード、正規表現などで機密情報を定義できる。例えばクレジットカード番号を検出するのに有効だが、「単に16けたの数字をクレジットカード番号と識別したのでは、16けたの数字なら何でもクレジットカードとして識別してしまう。そうではなく、実際の採番アルゴリズムに従って羅列された16けたの数字のみ、識別できるのが特徴だ」(同氏)。
 |  |  |
| 構造化データを検出するEDM | 非構造データを検出するIDM | 記述されたデータを検出するDCM |
山本氏は「このように3つの場所を包括的にカバーしているのが、Symantec DLPの特徴だ。他社製品ではエンドポイントのみ、ネットワークのみと限定的な保護しか行えないものが多い」と競合との優位点を説明。また「DLPはデータセントリックな保護ができないと、それはDLPとは呼べない。最近は外部デバイスを制御する製品でもDLPをうたうことがあるが、それは、そこに情報漏えいを引き起こす可能性があるから、使用を禁止しましょうというメッセージでしかない。例えば、USBメモリを禁止すれば、確かに持ち出しリスクは防げるかもしれないが、普通のファイルをコピーする手段も制限してしまうことになり、業務生産性の低下を招いてしまう。そのデータが機密情報なのか否か、それをきちんと判断した上で、漏えい防止のための適切なアクションを起こせるのが、DLPである条件だ」と説明した。
2009/9/29 18:12