DLPとIRMの組み合わせによるセキュリティ対策
前回の投稿で、Data Loss Prevention製品がどんな目的の為に使用出来る製品なのか、概要を説明させていただきました。また、その記事の中で、DLP製品は単体で使用して全てのデータを保護するようには設計されていないというようにもお伝えいたしました。
今回は、IRM( Information Rights Management )製品とData Loss Preventionを組み合わせて使用することによって、どのようなメリット(相互補完)があるなのか、お伝えいたします。
また、今回は製品比較のために、以下の製品で比較します。
IRM:Azure Informaiton Protection
DLP:Digital Guardian
■IRM製品とDLP製品の相違点
IRM | DLP | |
主な導入の目的 | 重要情報漏洩対策(内部犯・外部犯への対策) | 重要情報漏洩対策(内部犯・外部犯への対策) |
目的を実現するための手段 | 機密情報そのものを暗号化し、保護する | 機密情報が流出する経路を遮断し、保護する |
デメリット | ユーザーによる暗号化処理が必要なため、ユーザーが暗号化処理を忘れた場合、無保護の状態となる。 | 機密情報を外部に持ち出すすべがなく、業務上持ち出しが必要となる事態に対応が できない。 |
メリット | 万が一ファイルが漏洩しても、ファイル自体が暗号化されている為、決してファイルを開くことができない。 | 機密情報が含まれるデータを自動的に判別し、WEBやメール・外部メディアをはじめとする経路を自動的に遮断する。 |
→これらの製品にはそれぞれ単体で使用した場合には弱点がある。この弱点を補完するために、IRMとDLPの2つの製品を同時に導入した場合は次の表のような関係になる。
■DLPとIRMの同時導入により、高度なITセキュリティ統制が可能に
IRM&DLP | |
主な導入の目的 | 重要情報漏洩対策(内部犯・外部犯への対策) |
目的を実現するための手段 | 機密情報そのものを暗号化し、さらに機密情報が流出する経路を遮断し保護する。 |
デメリット | 単体導入時と比較すると導入・運用のコストが高くなる。 |
メリット | IRM機能により、ファイルそのものを暗号化し、さらにDLP機能によって重要情報の流出経路を自動的に遮断することによって、高度なITセキュリティ統制が可能になる。 |
■想定される情報漏洩ケース及び、IRM&DLP製品による抑止効果
No | 内容 | 効果 |
ケース1 | ユーザーがうっかり機密情報の暗号化処理を忘れた場合。 | 暗号化されていないファイルであっても、DLP機能によって自動的に重要情報を全てのネットワーク経路から遮断し、保護をする。 |
ケース2 | 機密情報ファイルを特殊な事情で社外のユーザーへ共有しなければならなくなったとき | DLPの設定により、暗号化されたファイルのみ、外部共有が可能にすることによって、機密ファイルを暗号化すれば外部への共有が可能に。 |
ケース3 | ハッカーからの攻撃を受けて社内の端末がウイルス感染した場合。 | ウイルスによって、重要情報が含まれたファイルを外部に持ち出そうとしても、DLPによって経路が遮断される。万が一、DLP製品では遮断しきれない、未知の方法で機密情報ファイルを盗み出されたとしても、ファイル自体が暗号化されている為、決してファイルを開くことができない。 |
今回は比較がしやすいように製品機能を抜粋していますが、AIP自体にもDLP機能(情報検索と分類)はありますし、デジタルガーディアンのソリューション単体で機密情報を外部に共有する手段が全くないかといえば、そうではありません。
セキュリティについては、どんな機能を、どんな目的で、どの程度まで求めるかによって、適切な製品の構成や組み合わせ方が変わってきますから、まずはセキュリティを強化するにあたり、その背景にある目的をしっかり定める事がファーストステップかなと思います。