#1 はじめに
こんにちは、エーピーコミュニケーションズ 0-WANの島田です。今回は DLP についてご紹介します。
#2 概要
DLP: Data Loss Prevention という名前の通り、データの漏洩を防止する機能を指します。同じ略称の別名として Data Leak Prevention とも呼ばれます。
基本的には、Webサイトへデータをアップロードしようとする通信の制御を担います。あらかじめどのようなデータを対象とするか、どれだけ検知された場合にブロックするか、といった検知基準を定義することができます。ポリシーで定義された内容と一致するか、データの中身を見て識別するため、DLPを使用するには SSL Inspection が必要です。また、PCからUSBメモリへのコピーなど、インターネットを介さないチャネルにもポリシーを適用する Endpoint DLP というものも存在します。
DLPを活用することで、例えばクレジットカードの不必要な利用やカード番号の漏洩を防止することができます。「本社」にいる「経理部従業員」のみ、クレジットカードの利用を許可するといった社内ルールがあるとすれば、それに沿ったポリシーを設定することで、「社外」や「他部署」からの利用を制限することが可能です。
#3 DLP Dictionaries & Engines とポリシーの設定
ZscalerのDLPでは、ファイル形式や部署などの条件よりもさらに細かい検知パターンを指定することができます。設定の流れとしては、Dictonaries → Engines の2つを定義した後、Engines をDLPのポリシーで指定する形になります。
DLP Dictionaries
DLP Dictionariesでは、DLPで検知するデータのパターンを定義しています。図中に Source Code, Social Security Numbers (US) といった項目がある通り、各 Dictionary にはDLP検知するデータの書式や番号のレンジなどがあらかじめ組み込まれています。各国に対応した Dictionaries が幅広く用意されており、日本向けにもマイナンバーカードの Dictionary が初期状態で定義されています。また、自分で文字列のパターンなどを定義した Dictinary を個別に作成することも可能です。
DLP Engines
DLP Enginesでは、Dictionaries の組み合わせや検知回数を定義しています。例えば、HIPAAの項目では (Medical Information > 0 AND Social Security Numbers (US) > 5) といったように、医療情報と社会保険番号に対応する Dictinaries とその検知回数が指定されています。このような Engine を作成していくことで、検知したいパターンを細かく指定していくことが可能です。
DLP Policies
あとは実際にポリシーを設定するのみです。URL Filtering などと同様に部署や Risk Profile などを指定する他、DLP Engine も指定することもできるのがDLPの特長です。
#4 終わりに
様々な企業でゼロトラスト化が進んでいる昨今、DLPの導入も検討されるケースが増えています。せっかく付属している機能ですので、是非使いこなしていただければと思います。今回もお読みいただきありがとうございました!
0-WANについて
私たち0-WANは、ゼロトラスト製品を中心とした、マルチベンダーでのご提案で、お客様の経営課題解決を支援しております。
ゼロトラストってどうやるの?製品を導入したけれど使いこなせていない気がする等々、どんな内容でも支援いたします。
お気軽にご相談ください。
問い合わせ先、0-WANについてはこちら。
