企業ネットワークにおける情報の持ち出し対策として、Data Loss Prevention(DLP)が広まりつつあります。
情報の持ち出しは、正規のアクセス権限を持った人によって行われることが多く、それ自体は異常な通信ではないためにEDRやIPSでは検知できません。これをカバーする機能がDLPで、機密情報等を含むファイルの動きを検知して、通知したりブロックすることができます。
しかしながら、実際にDLPを導入しようとすると「具体的にどう制御したらいいのか?」を決めるのが難しく、当社でもご相談を受けることが多いです。
そこでこの記事では、実際に設定されることの多いDLPルールの例をご紹介します。
設定はSASEソリューションである「Catoクラウド」のDLP機能に沿ってご紹介しますが、他のDLP製品においてもルール検討の参考にしていただけましたら幸いです。
なお、CatoクラウドのDLP機能の概要や設定方法については、当ブログ内にいくつかの記事がありますので、あわせてご参照ください。
DLPではどんな制御ができる?
DLPでは、あらかじめキーワードやデータ形式を指定しておき、それを含むデータのやり取りを検知して、通信を止めたり、管理者へ通知することができます。これにより、例えば「社外秘」という文言が入った資料をクラウドサービスにアップロードしようとしたら通信を止める、といったルールの設定が可能です。
どのようなデータを止めたい(または監視したい)のかの条件は、自社の業務やポリシーに沿って検討する必要がありますが、この条件決めがなかなか難しいため、参考になりそうな例をご紹介します。
DLPのよくある設定例
対象ファイルの条件
制御ルール
次に、条件に一致したファイルをどうするかを決めます。以下のような例が考えられます。
👉️持ち出しと疑われる通信は止めてしまうという設定です。
なお、最初から通信ブロックを設定すると、想定しなかった業務影響が発生する場合があるため、初めはログを残すのみとし、実際の通信状況を確認した上でブロックへの移行を検討されるようおすすめしています。
DLP設定の例
以下に、条件とルールを組み合わせた設定例をご紹介します。
- 「社外秘」「関係者外秘」「Confidential」のいずれかのキーワードを含むファイルについて
- 自社テナントのOneDriveに対しては、制限なし
- その他すべてのクラウドサービスへは、対象ファイルのアップロードをブロックする
- その他すべてのクラウドサービスへは、対象ファイルのダウンロードはログに残す
👉️実際によくある設定です。社外秘情報の持ち出しを防ぐ意図です。
- Eメールアドレスを30個以上含むファイルについて
- すべてのクラウドサービスへのアップロード・ダウンロードをログに残し、管理者へ通知する
👉️Eメールアドレスを多く含むファイルは、個人情報リストの可能性があるため監視するという設定例です。
- 100MB以上のファイルについて
- 自社テナントのboxに対しては、制限なし
- その他すべてのクラウドサービスへのアップロードをログに残す
👉️大きなサイズのファイルのアップロードは、データの持ち出しの可能性があるため、記録しておくという設定例です。
いかがでしょうか。このように実際のルールを見てみると、DLPでできることがイメージしやすいかと思います。
DLPは本当に有効なのか?
ところで、DLPの設定をしっかりと行えば、情報の持ち出しは防げるのでしょうか?
答えは残念ながらNoです。
持ち出し方法は他にも無数にあります。例えば機密情報を表示した画面をスマートフォンで撮影したり、単純に手帳に書き写したり、やりようはいくらでもあり、全てを防ぐことはできません。
しかしながら、DLPの導入には以下の効果があります。
- DLPで監視することで、持ち出しの一部に素早く気づける。早々に対処を行うことで、情報の拡散を防ぐことができる。
- DLPのログを取っておくと、万が一情報流出が起こった場合にログから流出元を特定できる可能性がある。
- DLPが導入されている旨を周知することが、持ち出しに対する抑止力となる。
DLPはそれ単独で完璧なソリューションではなく、不正の”機会”を減らすための対策の一つであるということに留意する必要があります。
CatoクラウドのDLP機能
最後に、CatoクラウドのDLP機能についてご紹介します。
CatoクラウドのDLPはオプションでのご提供となっており、ご利用にはCASBオプション+DLPオプションのご契約が必要です。また、TLS Inspection機能が有効になっている必要があります。
DLP条件
様々な方法での条件指定に対応しています。
- プリセットのデータカタログ
- Catoにあらかじめ設定されていて、すぐに条件として使えるものです。
- 日本のマイナンバーや、世界共通のクレジット番号、世界各国のID形式などが収録されており、指定するだけで条件として利用することができます。
- キーワード登録・辞書登録
- 自社専用のキーワードや、キーワード辞書を作成して利用できます。もちろん日本語にも対応しています。
- 正規表現
- 正規表現による文字列指定も可能です。
- Microsoftの機密度ラベル
- M365と連携することで、ユーザ定義のラベルにも対応できます。
- 機械学習による条件作成
- 識別させたいデータを複数与え、学習させて条件を作成でききます。
- Exact Data Matching
- 実際のデータを読み込ませて、それに完全一致するデータを見つける機能です。
- 例えば、従業員管理台帳をDLPエンジンに読み込ませて、実際の従業員番号と氏名の組み合わせを記録することができます。※データはハッシュ化されて安全にアップロード・保存されます
DLPルール
条件に合致するファイルについて、各種クラウドサービスへのアップロード・ダウンロードを、許可・ブロック・ログに残すなど、柔軟なルール作成が可能です。
ユーザ単位やグループ単位でのルールや、接続元の国、端末の条件などに基づくルールも作成できます。
また、本記事で設定例としてご紹介したルールは、すべてCatoクラウドのDLP機能で実現可能な内容です。先程の例の1つめですと、以下の設定となります。
- Security > Data Types & Profiles > Data Types > User Defined で Dictionaryを作成する
- Security > Data Types & Profiles > DLP Profiles で、上記のDictionaryを指定しプロファイルを作成する
- Security >App & Data Inline にて、CASB機能で自社テナントのみ Microsoft Loginを許可する設定をする
- 上記のルールよりも下に、OneDriveへのDownload/UploadをAllowするルールを設定する
- 上記のルールよりも下に、Any Cloud Applicationに対し、指定のDLP Profilesに合致するUploadをBlockするルールを設定する
- 上記のルールよりも下に、Any Cloud Applicationに対し、指定のDLP Profilesに合致するDownloadをMonitorするルールを設定する
Cato管理画面での実際の操作方法等につきましては、Catoクラウドのナレッジベース をご参照ください。
CatoクラウドのDLPの制約
Catoクラウドではこの制御をPoP上で行うため、以下のような端末ローカルでの操作を制御することはできません。
- ❌️ 端末からUSBメモリへのコピーを禁止
- ❌️ プリンタでの印刷を禁止
- ❌️ スクリーンショットを禁止
また、ファイルサイズやファイルタイプ等によりDLPの動作に制約があります。こちらも詳しくは Catoクラウドのナレッジベース をご確認ください。
最後に
本記事を通して、DLPの活用イメージを持っていただけましたら幸いです。
また、CatoクラウドのDLP機能は、現在も鋭意機能拡充中です。こういった制御はできる?など導入・運用のお悩みがありましたら、ぜひSCSKへご相談ください。