DLP(Data Loss Prevention)とは?
正規のIDを持つ社員による社内情報の持ち出しや、攻撃者がランサムウェア等を利用して情報を持ち出そうとする行為から、情報漏えいを防止したい、という状況の時に利用されるのがDLP(Data Loss Prevention)と呼ばれる技術です。
DLPそのものは、10年以上前から存在していたものの、日本では導入が進んでいなかったこともあり最近再び脚光を集めています。
本記事では、DLPについて解説します。
■DLP(Data Loss Prevention)とは?
DLPとは、Data Loss Preventionの略であり、機密情報として分類したデータの漏洩や消失を防ぐための技術です。正規のユーザによる「悪質な情報漏洩」だけでなく、ヒューマンエラーによる「うっかり情報漏洩」を防止するのにも有効です。
歴史は古く、DLPという言葉が市場に登場したのが2006年、そして2007年に初期のブームがあったとされています。[1]
■黎明期のDLP、それほど市場に浸透しなかった
DLPは古くから存在していたと書きましたが、セキュリティを長く担当されてた方にとってDLPは「あまり良い印象が無い」という方も少なく無いのでは無いでしょうか。
2000年代の黎明期のDLPには以下のような特徴がありました。
-
アプライアンス前提であり導入が大変
DLPを実行したい箇所にアプライアンス製品を設置する必要ありました。例えば、ファイルサーバ用、メールサーバ用、インターネット経路用等、システム毎等にDLPアプライアンスを設置する必要がありました。更に当時のスペックでは一台で処理出来る能力にも限界があり、大企業等でDLPを実行しようとすると大量のアプライアンスを導入する必要がありました。 -
設計が大変
DLPを運用するためには機密文書の定義等が必要です。また機密文書を検知するための正規表現等も作成する必要がありました。勿論幾つかの事前定義されたテンプレートもありましたが当時は事前登録数も140個程度であり、独自の正規表現等を作成する必要がありました。[1:1]
こういったDLPの設計が難しく、設計を請け負うコンサルティングサービスも登場しましたが、このコンサルティングサービス自体が高額であったため、DLP導入のハードルを大きく上げていました。 -
導入と運用にかかる労力とコストの割には費用対効果が低い
導入も大変、設計、運用も大変。では、それに見合った効果が期待出来たのか?残念ながら黎明期のIT環境では、その労力に見合う費用対効果は無いと判断した企業が大半でした。
2000年代の企業のインフラを考えると今のようにクラウドサービスもスマートフォンも存在していません。インターネットへ接続するための回線速度も現代のように1Gbpsを超えていて当たり前という時代ではなく、下り最大3.6Mbpsで高速と言われていた時代です。[2]企業のデジタル化も今ほど浸透していませんでした。このような状況下でインターネットにどれだけの情報が漏洩するだろうか?
勿論、それでも大規模な情報漏えい事故等は当時も存在したわけですが、大多数の企業はDLPを導入するより他の対策の優先度を高めるという判断をしていました。
こういった当時の状況を知る人にとっては「DLPは・・・」という反応になってしまうという方も少なくないでしょう。
■2025年、DLPが求められる背景
しかし、再び脚光を集めるDLP。黎明期と比較してどのような変化があったのでしょうか?そこには技術的な課題克服や、時代背景の変化、サイバー攻撃の進化が挙げられます。
1. 技術的な課題克服
黎明期のDLPはアプライアンス導入が前提であり、大量のアプライアンスを導入する必要がありました。しかし、2025年では黎明期には存在しなかったクラウドベースのDLPも登場しDLPの技術的な課題が大きく改善されました。
-
アプライアンス導入が必須では無くなった
現代のDLP技術の大半はクラウドベースで提供されていたり、エージェント型で動作するのが大半です。アプライアンスが必要なケースもありますが必須ではなく、既存環境に大幅な変更を加えることなく、DLPを実行することが出来るようになりました。 -
豊富な事前定義済みテンプレート
クラウドベースで実行されるDLPの場合、アプライアンスのように機器のスペックに左右されることが無くなったため、事前定義されたテンプレートが数千を超えるレベルになっており、顧客が自分で正規表現を書くなどの負担を和らげることが出来るようになりました。
2. 時代背景の変化
DLP黎明期の2000年代と2025年ではITの進化や企業を取り巻く環境、法令対応等大きな変化が見られています。
-
インターネット回線の高速化
下り3.6Mbpsで高速と言われていた時代とは異なり、2025年では個人宅でも100Mbps以上のインターネット接続サービスを利用しているケースも珍しくありません。インターネットへ接続する環境が大幅に改善され、インターネットに大容量のデータをアップロードすることが可能になりました。 -
クラウドサービスの普及
ドキュメントを作成するオフィス系のクラウドサービスや大容量のデータを保存するクラウドストレージを企業が活用するのが当たり前となり、重要なデータがクラウド上に保管され、簡単に共有出来る時代になりました。
その結果、原則全てのデータが社内に有るのが当たり前だった2000年代とは異なり、社外のクラウド上に存在するデータ量の方が多い時代となり、共有も容易となったため「様々な場所に分散して保管されるデータ」を管理する仕組みが必要となりました。 -
DXの促進によるデータ保有量の増加
世界中で作成、キャプチャ、コピー、消費されると予想されるデータの量は2010年では2ゼタバイトと言われていましたが、2025年には181ゼタバイトに到達すると予想されています。[3]
このような飛躍的なデータ量の増加の要因の一つに、企業におけるDXの推進が挙げられます。
生活者がスマートフォンを中心とした生活スタイルに移行した結果、スマートフォンから簡単に購入、体験出来る商品やサービスを提供する企業の業績が向上するようになりました。このような社会の変化を背景に、企業がデジタルシフトを推進しているため、企業内で生成されるデータや、保有するデータ量が増加しています。 -
法制度の罰則の強化
企業に対する個人情報保護強化に関して世間からの強い要望があり、個人情報保護に関する罰則が強化されています。これは日本だけではなく世界の先進国で共通のトレンドです。
現在の日本の個人情報保護法においては、法人企業の場合1億円以下の罰金、行為者については懲役刑となる可能性があります。
引用:個人情報保護委員会事務局「現行制度と検討の方向性について」より
3. サイバー攻撃の進化
現代の企業にとって最も脅威となっているのがランサムウェアです。ランサムウェアの被害に遭遇すると大規模なシステムトラブルに繋がることもあります。ランサムウェア攻撃の特徴的な点は「二重恐喝」が多い点にあります。[4]
二重恐喝とは、企業・団体が保有する機密情報や個人情報を盗み出し、暗号化したデータを復号するための身代金を要求するのに加え、支払われない場合には盗んだデータを公開するという脅迫行為を行う手口です。
こういった「情報を盗み出す」行為に対して、DLPを活用することで平時から機密情報や個人情報が企業内のどこに存在するのかを把握したり、外部に持ち出そうとする行為を検出、ブロックするといったことが期待されています。
企業が大量にデータを保有する時代となり、それらを厳守させよとする法制度が整い、それを狙う攻撃者が居る。このような社会の変化で情報漏えい対策としてのDLPが再び注目を集めるようになっています。
我が社にDLPは必要か?
自社にDLPが必要か?以下のような質問に回答出来る仕組みがあるなら不要と考えても良いでしょう。もし、仕組みが存在していないなら検討することを推奨します。
Q1.自社内の機密データがどこに保存されているかシステム的に把握出来ている
Q2.正規の権限を持つ社員が転職のタイミングで情報を持ち出す行為をシステム的に止める仕組みがある
Q3.ランサムウェア攻撃を受けた時に、機密データの盗難を防ぐ仕組みがある
Q4.社員が生成AI等に自社の機密データを質問する行為を予防する仕組みがある
Q5.外部媒体への書き込みを禁止する仕組みが存在する
Q6.機密データをうっかりどこかに共有しようとする行為を検出、防止する仕組みがある
Discussion