なぜ出口対策が必要なのか

出口対策とは何か

出口対策とは、「重要なデータが外に『組織の意図によらず』流出してしまうことを防ぐための対策」のことです。
出口対策の例として、「データを自動で重要度などに基づき分類し、分類されたデータに対しての操作を可視化し、制御することによりエンドポイントからの情報漏洩を防ぐ」といった、エンドポイントの出口対策があります。
また、プロセスに対してホワイトリストやブラックリストで制限することで、強固な出口対策を実施することもできます。
このように、出口対策は不正なアクセスやソフトウェアに「企業内のLANに侵入『される』」ことを前提にした対策といえます。

今日のセキュリティ対策は「入口対策」に加えて「出口対策が必要」

img
サイバー攻撃/セキュリティ侵害
  • ・標的型攻撃
  • ・DDos攻撃
  • ・フィッシングメール
  • ・ソーシャルエンジニアリング
  • など
入口対策
  • ・ファイアウォール
  • ・VPN
  • ・ウィルス対策ソフト
  • ・侵入検知システム
  • など
出口対策
  • ・ログ監視・管理
  • ・フォレンジック(不正調査)
  • ・バックドア通信検知・阻止
  • ・データ漏洩防止
  • ・データ暗号化
  • ・検疫ネットワーク
  • など

出口対策なぜ必要なのか

これまでのセキュリティは「入口対策」をメインに、いかに不正な通信やプログラムが、企業内のLAN(ネットワーク)に入り込むことを防止するのか、という点に注力してきました。
しかし、不正アクセスが巧妙化し、IPA(独立行政法人情報処理推進機構)やセキュリティ専門家が「入口対策では100%不正アクセスをブロックするといったことが不可能である」と指摘しています。
セキュリティ先進国のアメリカの大企業ではすでに10年以上も前からなんらかの形で導入されています。
日本では2017年5月末に改正個人情報保護法が施行されました。これまで対象外とされてきた5000件未満の情報を取り扱う事業者も、その法的対象として含まれることになります。日本においても、出口対策が重要となっています。

どうやって出口対策を行なうのか

出口対策を行なうには、以下の3ステップで進めることが大切です。

STEP1保護すべきデータの特定とその重要度の分類(ふるいわけ)

企業にとって重要なデータ(マイナンバーのような個人情報データ、顧客情報、各種ノウハウ等の機密情報)を洗い出します。
さらに、各情報について重要度を分類・ランク付けします。

STEP2データの分析

STEP1で抽出したデータについて「取り扱うのは誰か」「どのフォルダに普段入っているのか」「どのくらいの頻度で利用されるものか、特定の時期(月次・年次)のみ利用されるものなのか」といった分析をします。

STEP3データの保護

  • アクセスコントロール
    特定のデータについて、「閲覧」「加工」「コピー」「削除」するなどの権限を細かく設定します。
  • 分析
    具体的なデータへのアクセスや傾向をまずは把握し、「どのような対策をとればいいのか」といったことを検討します。
  • 破棄
    データを廃棄する際のルール・手順を決め廃棄を行ないます。例えば、不要になったPCを破棄する場合には、その中にデータが残っていないかどうか確認し、必要な場合は物理的にハードディスクを破壊するなどの措置を行ないます。
  • 無効化
    第三者のデータ閲覧を防ぎます。例えば、「特定のデータがフォルダの外に出た瞬間に自動的にデータの暗号化がされる」といった設定を行ないます。

出口対策に関する製品

出口対策に関する製品にはさまざまなタイプの製品があります。
製品の特性を理解して購入する必要があります。

ネットワーク型(主に出口対策をUTM/IPSなどのネットワーク機器で行なうもの)

ネットワーク型の出口対策は、UTM(統合脅威管理)やIPS(侵入防止装置)と呼ばれる機器を企業ネットワークの中に導入して行ないます。
以下のような手順で企業を脅威から防ぎます。

  • 企業ネットワークと外を流れる通信のパターンを逐次分析する。
  • 特定の通信パターンに該当する一連のやり取りを見つけると、それを脅威とみなす。
  • 脅威とみなした通信をブロックすることや、セキュリティ管理者へ通報を行なう。

ネットワーク型商品は、各種PC端末へ、エージェントと呼ばれるソフトを入れる必要がない、サンドボックスやプロキシ製品との連携が可能というメリットがあります。
ただし、企業LANとインターネットをつなぐ出口に置く必要があるため、「通信量が膨大になると、それだけ高性能の機器が必要になる」「UTM/IPSを経由しない通信を把握することはできず、ファイルのアクセスコントロールなどもできない」というデメリットがあります。

エンドポイント型(主に出口対策をPCなどの端末で行なうもの)

エンドポイント型の出口対策は、各PCなどの端末にエージェント(ソフト)をインストールし、各端末を管理する管理サーバと連携をしながらデータの一連のやり取りを監視します。エンドポイント型の製品は、以下のようなメリットがあります。

  • 各PC端末がどのような動きをしているのか、また違反した行為が発生したような場合にどのようなアクションをとるのか、細やかな制御を行なうことができる。
  • ユーザへのメッセージ発信や、その行為が本当に正しいのかどうか、説明を求めるダイアログを出すことができる。
  • クロス・ヘッドでは、エンドポイント型の出口対策製品を扱っています。
img
Digital Guardian
内部犯行やサイバー攻撃などあらゆる最新脅威から機密データを守ります。
詳細はこちら
img
デジタルガーディアンクラウド
機密情報をエンドポイントで守る最先端出口対策ソリューションのクラウド版です。
詳細はこちら

ディスカバリ型(隠れているデータを発見し分析を行なうもの)

ディスカバリ型は、専用サーバから、各PC端末やファイルサーバなど、データを保管している機器に対して、スキャンを行い、埋もれているデータを発見、分析します。
スキャンを行なう場所により、LAN型とクラウド型に分かれます。
LAN型はスキャンするサーバを会社のネットワークの中に配置して実施します。
クラウド型は、スキャンするサーバをクラウド内に配置して実施します。

出口対策はやはり米国が先に進んでいるため、製品の中には英語だけのメニュー表示なども一部あるようです。そのため、日本語などのローカライズができているか? といったことも製品選定のポイントになるでしょう。

まずは自社が保護すべきデータのタイプや規模、ネットワーク型出口対策なのか、エンドポイント型出口対策なのか、といったところを踏まえて、 ベンダーを選定するといった作業が必要になります。

出口対策についてもっと知りたい場合

クロス・ヘッドでは、重要なデータの詐取や紛失を防ぐためのツールやプロセスなどをまとめたE-book『Digital Guradian DLP_徹底ガイド』を公開しています。

また、以下のような質問がございましたら、クロス・ヘッドへお気軽にお問い合わせください。

  • 出口にはどのような種類が多いか?
  • 出口に流れるデータはどのようなものが多いか?
  • 何を重要データとして定義するか?
  • どういった運用をすべきか?
To Top