4月16日、チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)はネットワーク・ベースのDLP(Data Loss Prevention、情報漏えい対策)ソリューション「Check Point DLP」を発表した。
情報漏えいはユーザー自身の問題
チェック・ポイント・ソフトウェア・テクノロジーズ 代表取締役社長 杉山 隆弘氏
今回、チェック・ポイントが発表する情報漏えい対策製品であるCheck Point DLPの特徴的な機能が「UserCheck」だ。この機能を有効にすると、IT部門があらかじめ設定したポリシーに従ってネットワーク上でのデータのやりとりを監視し、情報漏洩リスクがあると判断された場合にポップアップウィンドウや電子メールでユーザーに警告を発する。これだけだとごく当たり前の機能のように思えるかもしれないが、ユニークなのは機能そのものよりもむしろ背後にある設計思想である。
Check Point DLPでは、「コンピュータはパターンマッチングは得意だが、コンテンツのコンテクストを理解することはできない」という前提に立ち、「情報漏えいはIT部門の責任ではなく、個々のユーザー全員が当事者である」と考える。一般的なDLP製品が、より高精度な検出を実現しようと努めるのに対して、Check Point DLPでは、ユーザーに情報漏えいリスクを認識させ、細心の注意を払うようにマインドセットを切り替えることを狙う。この発想を象徴しているのがUserCheckの機能ということになる。
UserCheckでは、あらかじめ設定されたポリシーに従って情報漏えいリスクありと判断された場合に、まずユーザーに対して確認を行なう。強制的に通信を遮断するといった高圧的な動作ではなく、通信を実行しようとした当事者であるユーザーに対して「情報漏えいにつながらないかどうか改めて確認せよ」と求めるのである。たとえばメール送信の場合、ポップアップウィンドウには「Send」(そのまま送信する)、「Discard」(送信を中止する)、「Review Issue」(セキュリティポリシーを表示する)という3種類のリンクが表示され、いずれかを選択することになるという。
技術的課題と利用プロセスを考えた新しいDLP
このうちReview Issueでは、IT部門が設定したセキュリティ・ポリシーが表示されるので、ユーザーは自社がどのようなセキュリティポリシーを定めているかを再確認し、そのポリシーに照らしてこのメール送信は許されるか否かを判断することが求められる。こうした動作を繰り返すことで、個々のユーザーの情報漏えいリスクに対する認識が高まり、またセキュリティポリシーの理解も深まっていくという効果が生まれる。
セキュリティを維持できるかどうかは、最後はユーザーの意識や組織運営の巧拙にかかっている、という指摘はよく聞かれるが、IT側では「それは社内教育など、ITの外側で行なわれるべき話」という考え方をしていたといってよいだろう。その上で、技術的な性能向上に注力してきたのだが、それは逆にユーザーに不便を強いる結果にもつながっている。誤判定によって、問題ないはずのメールがどうしても送信できなかったり、システムに依存する心理を醸成することでユーザーのセキュリティ意識を低下させてしまったりといった問題も指摘されているのが実情だ。Check Point DLPのアプローチは、一見「ソフトウェアによる判定精度向上の努力を放棄した」ように見える可能性もあるが、むしろ“コロンブスの卵”的な発想の転換で人とのコンピュータの責任分担の最適なバランスを見つけ出したといえるだろう。
Check Point DLPのまとめ
とはいえ、IT部門やセキュリティ担当者は何もしなくてよくなったわけではなく、適切なレベルで警告を発するためのポリシーのチューニングは必須だ。何をする場合にもつねにうるさく警告が出続けるという状況になってしまえば、ユーザーもいちいち真剣に確認しなくなってしまうだろうし、本当に危険な操作を見落とすようでは意味がない。IT部門が無条件に楽になるわけではなく、従来とは異なる発想でセキュリティ強化に取り組む必要が生じると考えるべきだろう。
その点、UserCheckによるユーザーのアクションはログに記録されるので、IT部門ではこのログを参照することでポリシー定義を見直し、より洗練していくことができる。また、ユーザー側で不適切なアクションを行なった場合の記録も残されることになるので、万一の際の証拠になるほか、不適切な情報発信を行なわない、という基本的なポリシーをユーザーに徹底するための強制力としても機能する。
なお、技術面でも「MultiSpect」と呼ばれる新技術が投入されている。これは、情報漏えいリスクを発見するための検知エンジンで、600以上のファイルフォーマットを検知できるほか、あらかじめ登録されたフォームを記憶し、同じフォームが使われているドキュメントを検出する機能も備える。ドキュメント内の複数のデータの内容を識別し、その相関を分析するなど、高度な認識処理が実行されるので、ソフトウェアとしての機能向上も実現されている。
ポリシー設定用には独自のスクリプト言語が用意されており、MultiSpecの相関分析機能を踏まえて高度なポリシー定義を行なうこともできる。製品にはあらかじめ250種以上の「ベストプラクティス・ポリシー」が用意されており、一般的な状況に対してはデフォルトで対応可能となっているが、さらに企業個々の状況に応じたカスタマイズを行なうこともできるわけだ。
2つの提供形態
製品は同社が推進する「Software Bladeアーキテクチャ」に基づくSoftware Bladeの形態と、専用アプライアンスの2タイプが用意される。
DLP Software Bladeの仕様
ハードウェアアプライアンスDLP-1の仕様
DLP Software Bladeは、年間サブスクリプション形式のライセンスで提供される。価格は、500ユーザーまで、毎時1万5000メールまで、最大スループット700Mbpsの場合で年間37万8000円、500~1500ユーザー、毎時5万メールまで、最大スループット1.5Gbpsの場合が年間89万円。1500ユーザー以上(上限なし)、毎時25万メール以上(上限なし)、最大スループット2.5Gbpsの場合で年間152万円となる。
専用アプライアンス「DLP-1」は、DLP Software Bladeに加え、運用管理用に必要となる「Network Policy Management」「Logging and Status」「SmartEvent Intro」「UserDirectory」の4種のSoftware Bladeを専用ハードウェア上に組み合わせた形で提供される。
DLP-1は規模に応じて2モデルが用意され、1000ユーザーまで、スループット200Mbps、毎時3万メールに対応する「DLP-1 2571」が230万円、5000ユーザーまで、スループット2.5Gbps、毎時35万メールに対応する「DLP-1 9571」が765万円となる。なお、DLP-1には、故障時にトラフィックをバイパスするための「バイパスNIC」をオプションで装備可能(15万円)。また、搭載されるDLP Software Bladeは年間サブスクリプション形式で提供される点は共通であり、次年度以降はDLP Software Bladeの購入が必要となる。
