「『暗号化』や『アクセス制御』だけで、本当に情報漏洩を防止できるのか?」

 企業において、情報漏洩対策や内部統制に向けた仕組み作りやシステム構築などを進めていくと、必ずと言って良いほど、このような疑問に突き当たる。

 実際、大きく報道されるような過去の情報漏洩事件を振り返ってみると、顧客情報を扱う担当者が情報を盗み出したり、教育担当者がその教材を第三者に渡すなど、情報を扱う正当な権利を持った人物の手によって事件が発生しているケースが多い。

 暗号化やアクセス制御は、情報を扱う権利を持たない人物に対しては確かに効果を発揮する。しかし、その一方で、正当な権利を持っている人に対して、情報が無防備にさらされてしまっているケースが多いのも事実だ。

 もちろん、それに対しても、すでに対策をしているという企業も少なくない。たとえば、意識改革や教育といった対策があるだろう。情報に対する社内の意識を高め、いかに情報を扱うべきかを教育する。その上で、人の目や操作記録などのシステムによる監視体制などを強化するなどの対策が多くの企業で行なわれている。

 しかしながら、たとえば顧客情報を扱う担当者がその情報の一部を操作ミスなどによってうっかり送信してしまったとしたら……、資料などでの度重なる引用によって機密情報であるという意識が薄れて外部に情報を公開してしまったとしたら……、いかに情報に対する意識を高めたとしても、情報がその網目をくぐり抜けていってしまうことは十分に考えられる。つまり、対策の対策、改善の改善と、既存の情報漏洩対策の穴を埋めていくことは非常に重要な取り組みである一方で、その終わりもなかなか見えないわけだ。

 では、どうすれば情報漏洩に対する根本的な対策ができるのか? その有力な答えとなりそうなソリューションがマカフィーから登場した「McAfee Data Loss Prevention(以下DLP)」だ。詳しくは後述するが“タグ”や“フィンガープリント”によってデータそのものの流出を制限するという、言わば情報漏洩の第2ステージとも言える画期的な考え方を採用した製品だ。

「McAfee Data Loss Prevention」のアーキテクチャ(構成図)

 

「DLP Host」は、“タグ”という概念によりデータそのものを管理対象に設定することで、情報漏洩につながるような操作を禁止することができる

 マカフィーのDLPソリューションは、大きく分けて2つの製品から構成されている。1つはクライアントにインストールして利用する形態の「DLP Host」、そしてもう1つはネットワークのゲートウェイとして稼働するハードウェアタイプの「DLP Gateway」だ。

 まずは、DLP Hostだが、これは“タグ”という概念によってデータそのものを管理対象に設定することで、情報漏洩につながるような操作を禁止することができるソリューションだ。

 具体的な例を見てみよう。たとえば、経理部が扱う情報が外部に漏洩するのを防止したいとする。この場合、まず経理部が利用しているサーバーの共有フォルダなどを管理対象として設定する(後述するePOによって統合管理する)。すると、このフォルダに保存されたデータに自動的に“タグ”が設定される。

 続いて、このタグが付けられたデータをどのように保護するのかというルールを設定する。たとえば、情報漏洩につながる操作を禁止したいのであれば、印刷のブロック、メールでの送信をブロックするといった具合だ。

 このような設定をすることで、このタグとルールをクライアントにインストールしたDLP Hostが常に監視するようになる。そして、実際に対象となるデータに対して印刷やメールでの送信などといった操作が行なわれそうになると、メッセージを表示して、その操作を禁止するというわけだ。

 “タグ”という概念が少々わかりにくいかもしれないが、マカフィー株式会社 マーケティング本部 プロダクトマーケティング部の吉沢建哉氏によると「ファイルに対して見えないように付加される管理情報のようなもの」とのことだ。

 これまでの情報漏洩対策は、特定のデータへの「アクセス」やデータの持ち運びを可能にするUSBメモリの「利用」など、データに対する「操作」を制限するのが一般的であった。これに対して、McAfeeのDLPソリューションは、操作はもちろんのこと、どのデータを保護するかという「対象」をデータ単位で設定することができる。つまり、保護対象とするデータとそうでない通常のデータを区別し、そのデータに対してどのようなルールを設定するかを判断するための情報が“タグ”というわけだ。

 

〜 「DLP Host」による検知 〜
メール送信制限

重要ファイルの一部をコピーして

メール本文に貼り付け

送信しようとすると

DLPが検知してブロックする

 このタグという概念の特徴は、非常に柔軟なシステム運用ができる点にある。

 たとえば、一般的な情報漏洩対策ではしばしば全面的に禁止されてしまうUSBメモリの利用もDLP Hostなら安全性を保ちつつ利用することが可能だ。漏洩しては困るデータはタグによって区別されているので、このようなデータがUSBメモリにコピーされようとすればDLP Hostによって確実に禁止される。一方、タグによって保護対象としていないデータに関しては、USBメモリに問題なくコピーすることができる。

 つまり、DLPの概念はこう考えるとわかりやすい。「重要なデータはきちんと保護し、そうでないデータは今まで通りに使えるようにする」と。この点について、同社の吉沢氏は「特定のデータのみを確実に保護できるため、セキュリティと利便性との両立が実現できる」と、その特徴を述べている。

 また、制限できる操作の適用範囲が広いのもDLP Hostの特徴だ。前述したファイルのコピー、文書の印刷、メールの送信を制限することができるだけでなく、文書のコピー&ペーストまでも制限することが可能だ。

 たとえば、タグが付けられた重要ファイルのテキスト情報をコピーして別のファイルとして保存すると、DLP Hostによってタグの情報が追跡され、新たに作成されたファイルにも自動的にタグが付けられる。同様に、重要ファイルからコピーしたテキスト情報をWebメールなどを利用して送信しようとすると、そのペースト内容がDLP Hostによって検知され、その送信が禁止される。

 このほか、ファイルの圧縮や別ファイルでの保存、改ざんによる情報流出なども検知できるようになっており、保護したいデータの形態が変わったとしても、それをきちんと追跡できるようになっているわけだ。

 もちろん、保護対象のデータそのものを指定できない場合でも問題ない。吉沢氏によると、DLP Hostのタグにはいくつかの種類があり、そのうちのコンテンツベースタグという機能を利用すると、データの出現パターンを指定して、その漏洩を検知することができるという。

 たとえば、顧客のクレジットカード番号を管理している場合、「xxxx-xxxx-xxxx-xxxx」という4桁の数字が4回出現するというパターンをあらかじめ登録し、そのパターンが出現する閾値を設定しておく。こうすると、クレジットカード番号をテキストファイルなどに抽出して送信しようとしたときなどに、その中から出現パターンを検知し、漏洩を未然に防ぐことができるというわけだ。

■タグ名 ■タグの機能
ロケーションベースタグ 管理する共有フォルダを設定し、そこにあるファイルにタグを付ける
コンテンツベースタグ 定義されたテキストと一致する内容に対してタグを付ける
アプリケーションベースタグ 定義されたアプリケーションから創出されるファイルに対してタグを付ける
マニュアルタグ 任意のローカルファイルに対してタグを強制的に付ける

 

 このようにDLP Hostは、セキュリティと利便性を両立させながら、大切な情報の漏洩を高い精度で防止することができる非常に有効性の高いソリューションと言える。しかしながら、これだけでは対策は万全とは言えない。なぜなら、DLP Hostがインストールされていないクライアントが存在する可能性があるからだ。

 通常、DLP Hostは「ePolicy Orchestrator(以下ePO)」と呼ばれる管理サーバーによって集中管理されており、その設定はもちろんのこと、クライアントへの配布もサーバーから一括して行なうことが可能となっている。しかしながら、LinuxやMacOS XなどのDLP Hostが対応していないOSはこの限りではない。また、Windowsの場合でも社外から持ち込まれたゲストPCなども、DLP Hostでの監視対象外となってしまう。

 そこで登場するのがDLPソリューションのもうひとつの柱とも言えるDLP Gatewayだ。ネットワークに接続するハードウェアとなっており、ネットワーク上を流れるデータを監視して、そこに漏洩してはならない重要なデータが含まれていないかをチェックすることができる。

「DLP Gateway」はフィンガープリンティングによる検出が可能となっており、完全一致するデータはもちろん、部分一致での検出も可能

 具体的にはフィンガープリンティングによる検出が可能となっている。あらかじめ重要なファイルが保存されたフォルダを指定して、そこに含まれるデータのフィンガープリント情報を作成しておく。そして、たとえばメールの本文や添付ファイルなど、ネットワーク上を流れるデータの中に、このフィンガープリントが含まれているかどうかをチェックする。完全一致するデータはもちろんのこと、部分一致での検出も可能なため、このようなデータがインターネットなどの社外へと送信されることを未然に防止できるというわけだ。

 フィンガープリントだけでなく、テンプレートを使用した検出も可能となっており、前述したDLP Hostの場合と同じように、クレジットカード番号のパターンが閾値以上含まれる場合に、そのデータの送信を禁止するといったことも可能となっている。

 この技術は同社が提供する統合セキュリティアプライアンスの逆方向のサービスと考えるとわかりやすい。たとえば、スパムメール対策では、外部から届くメールの中にスパムメールにありがちな特徴を見つけて、その判断を行なうが、この技術を内部から外部に向けて送信されようとするデータへと応用したのがDLP Gatewayということになる。

 なお、現状、DLP Gatewayはスパム対策やウィルス対策などのアプライアンスとは別のハードウェアとして提供されるが、吉沢氏によると将来的には1台のハードウェアで、これらすべての対策がまとめて行えるようになることも想定しているとのことだ。

 

 マカフィーのDLPソリューションの特徴は、これまでに紹介した機能面が優れているだけではない。実際の導入が比較的容易なのも大きなメリットだ。

 吉沢氏によると、「DLP Hostで情報漏洩の発生経路のうち全体の8割ほどの対策が可能で、残りの2割を埋めるのがDLP Gatewayとなります」というように、より精度の高い情報漏洩対策をするとすれば、やはりDLP HostとDLP Gatewayを同時に導入するのが理想だ。

 とは言え、コストの問題、現状利用している情報漏洩対策との組み合わせなどの関係で、すべてのソリューションを一括して導入できないケースもあることだろう。この点について吉沢氏に話を伺ったところ、いくつかの導入シナリオを紹介していただいた。
■DLP導入例 ■DLP導入効果
1) DLP Hostの先行導入 これから情報漏洩対策を行なうのであれば、幅広い対策が可能なDLP Hostから先行して導入。将来的にDLP Gatewayの併用を考慮する
2) DLP Gatewayの追加導入 他ベンダーの情報漏洩対策などを導入済みの場合は、それに追加する形でDLP Gatewayの導入が効果的。既存の情報漏洩対策をDLP Gatewayで強化できる
3) DLP Gatewayのみの導入 中小企業などのように専任の管理者が存在しない場合でも、DLP Gatewayなら設置して簡単な設定をするだけで利用が可能。クライアント側の変更も不要で手間がかからない

 注目は2)のシナリオだろう。現状、情報漏洩対策をまったく行なっていない企業の方が少ないことを考えると、既存のシステムとの併用を考慮せざるを得ない。しかし、ネットワーク監視型のDLP Gatewayであれば、既存のクライアント環境やサーバー環境などに依存せずに、DLPの精度高いソリューションを併用することができる。

 なお、DLP製品の管理を行なうためのePOサーバーでは、ウィルス対策ソフトの管理なども同時に可能となっているが、これは同社製の製品だけでなく、他ベンダーの製品にも対応している。このため、DLP GatewayやDLP Hostの導入に伴って、ePOサーバーでの管理を行なう際、クライアントにマカフィー以外のセキュリティ対策ソフトがインストールされている場合でも、同時に管理することが可能となっている。

 もちろん、管理できる項目などに制限は存在するため、DLPソリューションの導入に伴って、ウィルス対策などもマカフィー製品に統一するのに越したことはないが、これならライセンス期限が残っている他社製品を併用しなければならない場合でも共存が可能というわけだ。

 

マカフィー株式会社 マーケティング本部
プロダクトマーケティング部 吉沢建哉氏

 最後に吉沢氏に、DLPソリューションを運用する際のコツについて伺ってみたところ、導入後というより、導入前の設計が重要とのことであった。

 これまでに紹介してきたように、DLP HostもDLP Gatewayも導入してしまえば、その後の手間をあまりかけずに情報漏洩を防止することができる。もちろん、誰がどのデータにアクセスし、どのようなデータの漏洩が防止されたのかなどのログをきちんと解析することは重要だが、日々の運用の手間はかからない。

 むしろ重要なのは、タグをどのデータに設定するのか、どのような行為を禁止し、どのレベルの行為ならログの記録だけで済ませるのか、そもそも漏洩しては困るデータはどれで、それがどこにあるのかを明確にすること、つまり管理ポリシーを明確にすることだという(吉沢氏)。

 マカフィーでは、このような管理ポリシーに基づくDLP導入計画策定や設定を支援するコンサルティングサービスなども行っており、何から手を付けて良いかがわからないようなケースにも対応できるようになっている。情報漏洩対策を検討している場合は、まずはマカフィーに相談してみるのが近道と言えそうだ。

 なお、同社ではDLPソリューションに加えて、ウィルス対策、スパイウェア対策、不正侵入防止対策などの統合的なセキュリティサービスが提供されているが、今年10月にSafeBoot社の買収計画を発表したことで、暗号化やアクセス制御の分野にもその活動を広げつつある。将来的には、さらに多くの統合されたサービスを利用可能になり、より統合的なセキュリティ対策が実現できそうだ。

■関連情報

■プロフィール

清水理史
製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できるブロードバンドインターネット Windows XP対応」ほか多数の著書がある。自身のブログはコチラ