このページの本文へ

機密データに着目したユニークな情報漏えい対策とは?

網羅的情報漏えい対策「Symantec DLP」の技術を披露

2009年09月30日 08時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

9月29日、シマンテックは同社の情報漏えい対策ソフト「Symantec Data Loss Prevention」に関する技術説明会を行なった。昨年、日本で投入されてから約1年近くが経ったが、初めての製品の詳細を紹介する機会となった。

シマンテックが考えるDLPは
ファイルコピーやデバイスを禁止しない

株式会社シマンテック コンサルティングサービス本部 プリンシパルコンサルタント 山本秀宣氏

 シマンテックのSymantec Data Loss Prevention(以下、Symantec DLP)は、2007年に買収したボンツー(Vontu)の情報漏えい対策ソフトで、米国で高いシェアを誇っている。説明会ではシマンテック コンサルティングサービス本部 プリンシパルコンサルタント 山本秀宣氏が情報漏えい事件の現状とSymantec DLPの概要について説明した。

 情報漏えいは、ワールドワイドで見ても実に深刻な問題。不況の中で、「人を辞めさせる時には、いっしょに情報も出てしまいます。USBメモリやDVDなど身近なデバイスで持ち出してしまうことも多い」(山本秀宣氏)というのが現状だ。これに対して機密データの検出と保護を実現するのが、Symantec DLPである。

厳しい経済状況が情報漏えいのリスクを増大させているという

 他の情報漏えい対策との違いを「デバイスではなく、Symantec DLPでは格納しているデータに着目しています。検出した機密データをトラッキングし、コントロールするのがSymantec DLP。単にファイルコピーを止めたり、USBメモリを禁止するのは、我々が考えるDLPではありません。セキュリティと利便性のバランスをとるためにDLPが活用できます」(山本氏)と表現する。

Symantec DLPの検出と保護技術

 Symantec DLPはデータが保管されている「ストレージ」、ユーザーが利用する「エンドポイント」、そして移動する際に通過する「ネットワーク」という3つを対象としており、それぞれに機密データの検出と保護を行なう2つのコンポーネントが用意されている。これらはWindowsやLinux上で動作するので、ネットワーク上のマシンに各コンポーネントを配置する。

Symantec DLPはストレージ、エンドポイント、ネットワークと3つの分野を網羅する

 たとえば、ストレージに関していえば、「Symantec DLP Network Discover」がファイルサーバやデータベース、メールサーバ、Webサイトから機密データを検出。一方で漏えいを防止するのは「Symantec DLP Network Protect」というコンポーネントで、不用意に公開されている機密情報を安全な場所に自動的に移動する。そして、これらのコンポーネントを統合管理するためのコンソールとして「Enforce Platform」という製品が別途用意されている。

 Symantec DLPでは、機密に該当するデータを検知するための条件を設定した検知ルール、そして通知やブロック、移動など検出した際のレスポンス・ルールの2つをDLPポリシーとして作成し、Enforceサーバ、検知サーバに保持する。このDLPポリシーを元に機密データを検知し、保護を実現するわけだ。

 機密データの検出に関しては、記述されたデータをキーワードやファイル形式で検出する方法と、機密情報自体のID(フィンガープリント)で検出する方法の2つと、しきい値や「and/or」など組み合わせてポリシーを作成できる。

 前者の記述データの検出には、DCM(Described Contents Matching)という技術が利用され、高い検出精度を実現している。たとえば、クレジットカード番号などを検出する際には、単に16桁の数字を検出するだけでは、誤検知が乱発されてしまう。そこでSymantec DLPのDCMを使うと、数字の並びだけではなく、公開されている数字のアルゴリズムまで認識して検出を行なえる。

構造化データから機密データを検出するEDM文章の一部分だけでもマッチするデータを検出できるIDM

 また、データベースのような構造化データから検出するためにはEDM(Exact Data Matching)が用いられる。EDMでは名前、姓、メールアドレス、社員番号のうち、3つを組み合わさったことではじめて検出するといった柔軟な処理が可能。また、IDM(Indexed Document Matching)という技術では、完全一致しているだけではなく、部分的にマッチしているデータも検出。たとえば、本番ファイルに比べて30%編集されたファイルなども検出可能だ。もちろん、バイナリデータに関しては、ファイルのハッシュ値をベースに比較し、完全一致するデータを検出することができる。

デモを行なったシマンテック スペシャリストセールス DLPソリューションチーム セキュリティースペシャリストの跡部靖夫氏

 説明会では、シマンテック コンサルティングサービス本部 サービスデリバリー部 プリンシパルコンサルタントの跡部靖夫氏により、実際の検知・保護処理のデモも行なわれた。具体的には「個人情報のファイルが不用意に公開されないよう、ファイルサーバから自動的に移動」、「設計書を外部に送信する際に警告をエンドユーザーに通知」、「デスクトップに残していけないファイルの対処をエンドユーザーに依頼」、「USBメモリやWebメールを用いた機密情報の漏えいを阻止」など。

 エンドポイントを中心とする他のベンダーと異なる網羅感を重視するSymantec DLP。ポリシー設定はなかなか難しいイメージがあるが、検出技術の精度の高さやポリシーに合わせて選択できるアクションの豊富さは大きな魅力だ。

■関連サイト

カテゴリートップへ

ピックアップ