DLPは内部情報漏洩対策や、対策に必要となるツールの総称です。DLPを導入するためにはコスト面や機能面など、いくつかの注意が必要となります。そこで、具体的な選定方法についてまとめています。
内部情報漏洩対策に有効なDLP
DLPは組織の内部から情報が漏洩することを防ぐためにITツールであり、組織内のさまざまなシーンにおいて適切な情報の取り扱いをサポートします。「Data Loss Prevention」が正式名称であり、本来は内部からの情報漏洩対策そのものを指していましたが、それらを実現するためのツールもDLPと呼ばれています。
DLPの主な役割は、「機密情報の定義と選定・機密情報の監視・機密情報の利用制限」という3つ。さらにツールとしてのDLPは、使用される場所によって3つに大別され、個人用端末に対策を施す「エンドポイントDLP」、共有ファイルサーバや顧客データベースなどに適用する「ストレージDLP」、企業内LANなど一定の範囲に流れる情報をモニタリングする「ネットワークDLP」が代表的な存在です。
これらを必要に応じて選定、組み合わせていくことで、独自に情報漏洩対策をおこなうよりもスムーズかつ効率的にセキュアな状態を構築できることになります。
DLP導入の具体的な選定方法は?
DLP導入においては、主に専門のベンダーが提供しているパッケージなどを適用することになるでしょう。ではこれらを導入するには、どのような視点で選定すれば良いのでしょうか。
まず、導入時のコストです。DLP導入にあたっては、自ら独自に情報漏洩対策を行うよりもコスト面で有利であることが大切です。内部情報漏洩対策には専門の人材やノウハウ、組織を挙げての取り組みが必要になるため、これらを実施するよりも一括でツールを導入したほうが容易に体制を構築できるという点がメリットといえるでしょう。そのため、あまりにも高額な導入費用を要するDLPは、コスト面から鑑みて導入のメリットが薄れてしまいます。
次に、DLP導入後における運用のしやすさです。DLPは暗号化やアクセス制限、ネットワークの監視などを含むため、システムに多少なりとも影響を及ぼすことがほとんどでしょう。つまり、導入後は組織内部の人間に一定のトレーニングが必要になることがあります。高度な暗号化技術を備えたDLPであっても、それをインストールした端末が著しく性能を低下させたり、複雑な手順が必要だったりすると、組織全体のパフォーマンスが落ちてしまうことになりかねません。DLPの選定方法として、適用対象のシステムにどの程度影響を与えるかという視点が必要になるでしょう。
最後に、DLP自体の柔軟性があります。どんなOS、ソフトウェアとも衝突を起こさず、粛々と役割を実行してくれる「縁の下の力持ち」としての動きができるよう、インストール対象に制限がないかなどを確認する必要があります。できるだけ柔軟性が高く、環境が異なる複数のシステムに導入したとしても、一定の効果を得られるDLPが望ましいでしょう。
導入実績や事例のヒアリングも重要
DLPの選定にあたっては、ベンダーへヒアリングを行うことも有効です。これまでどのような業種にどれだけの規模で導入してきたのかを質問することで、ツールとしての力をうかがい知ることができます。自社内に近い環境への導入実績があれば、安心して導入することができるでしょう。
また、事前に業務プロセスや業務上必要となるソフトウェアを洗い出し、適用可能かどうかを確認しておくことも大切です。
DLPは「転ばぬ先の杖」
情報漏洩インシデントは、実際に発生してしまってからではどんな対策も効果が薄いもの。事故が起きていないときだからこそ、しっかりと導入・運用をしておくことが大切です。
[PR]提供:マイナビニュース TECH+