ゼロトラストセキュリティにおいて、データはあらゆる場所に存在し、常に移動しています。クラウドサービスの普及により、従業員は社内システムだけでなく、SaaSアプリケーション、個人デバイス、外部コラボレーションツールを通じてデータにアクセスするようになりました。この環境では、従来の境界型セキュリティでは対応できない情報漏洩リスクが発生します。
本記事では、ゼロトラスト時代の情報漏洩対策について以下の内容を解説します。
- DLP(Data Loss Prevention)の概念と動作原理
- エンドポイントDLP・ネットワークDLP・クラウドDLPの違い
- CASB(Cloud Access Security Broker)の4つの柱
- シャドーITの可視化と制御
- DLPとCASBの連携による包括的なデータ保護
- Microsoft Defender for Cloud AppsとMicrosoft Purview DLPの実装
この記事を読むことで、情報漏洩リスクを理解し、DLP・CASBによる効果的な対策を設計できるようになります。
前提知識
本記事を理解するために、以下の知識があることを前提としています。
- ゼロトラストの基本原則を把握している
- データ分類と秘密度ラベルの概念を理解している
- クラウドサービス(SaaS)の基本的な仕組みを知っている
ゼロトラストの基本原則についてはゼロトラストセキュリティ入門 - 基本原則と7つの柱を理解するを、データ分類についてはゼロトラストにおけるデータ保護 - 分類・暗号化・アクセス制御を先に読むことをお勧めします。
期待される学習成果
本記事を読み終えると、以下のことができるようになります。
- DLPの3つの適用ポイント(エンドポイント、ネットワーク、クラウド)を説明できる
- DLPポリシーの設計原則と検知パターンを理解できる
- CASBの4つの機能領域(可視性、コンプライアンス、データセキュリティ、脅威防御)を把握できる
- シャドーITのリスクと対策を説明できる
- DLPとCASBを組み合わせた包括的なデータ保護戦略を設計できる
情報漏洩の脅威とゼロトラストアプローチ
情報漏洩は、組織にとって最も深刻なセキュリティリスクの一つです。2025年のIBMのレポートによると、データ侵害の平均コストは488万ドルに達し、検知までの平均日数は194日とされています。さらに、漏洩の約34%が内部関係者(悪意のある内部者または過失)によるものです。
情報漏洩の主な経路
現代の組織では、情報漏洩が発生する経路が多様化しています。
flowchart TB
subgraph leakage["情報漏洩の主な経路"]
direction TB
subgraph internal["内部からの流出"]
email["メール添付"]
usb["USBデバイス"]
print["印刷"]
clipboard["コピー&ペースト"]
end
subgraph cloud["クラウド経由"]
saas["SaaSアプリへのアップロード"]
personal["個人クラウドストレージ"]
ai["生成AIへの入力"]
collab["外部コラボレーション"]
end
subgraph external["外部攻撃"]
phishing["フィッシング"]
malware["マルウェア"]
credential["認証情報窃取"]
end
internal --> data["機密データ"]
cloud --> data
external --> data
end特に注目すべきは、クラウド経由の情報漏洩です。従業員がIT部門の承認なく利用する「シャドーIT」と、ChatGPTなどの生成AIサービスへの機密情報入力は、新たなリスク領域として急速に拡大しています。
ゼロトラストにおけるデータ保護戦略
ゼロトラストでは、「Never Trust, Always Verify」の原則をデータ保護にも適用します。これは、データがどこにあっても、誰がアクセスしても、常に保護と検証を行うことを意味します。
flowchart LR
subgraph strategy["ゼロトラスト データ保護戦略"]
classify["データ分類<br/>機密度の特定"]
label["ラベリング<br/>自動/手動タグ付け"]
protect["保護<br/>暗号化・アクセス制御"]
dlp["DLP<br/>流出防止"]
casb["CASB<br/>クラウド制御"]
monitor["監視<br/>継続的な検証"]
classify --> label
label --> protect
protect --> dlp
protect --> casb
dlp --> monitor
casb --> monitor
endこの戦略において、DLPは「機密データの不正な流出を検知・防止する」役割を、CASBは「クラウドサービス利用における可視性と制御を提供する」役割を担います。
DLP(Data Loss Prevention)の基礎
DLP(Data Loss Prevention:データ損失防止)は、組織の機密データが不正に外部へ流出することを防ぐためのセキュリティ技術です。DLPは、データの内容を深く分析し、ポリシーに基づいて流出を検知・ブロックします。
DLPの3つの適用ポイント
DLPは、データの状態に応じて3つの適用ポイントで機能します。
| 適用ポイント | 対象データ | 主な検知場所 | 代表的なソリューション |
|---|---|---|---|
| エンドポイントDLP | 使用中のデータ(Data in Use) | PC、モバイルデバイス | Microsoft Purview Endpoint DLP、Symantec DLP Endpoint |
| ネットワークDLP | 転送中のデータ(Data in Motion) | ゲートウェイ、プロキシ | Palo Alto Enterprise DLP、Forcepoint DLP |
| クラウドDLP | 保存中のデータ(Data at Rest) | SaaS、IaaS、PaaS | Microsoft Defender for Cloud Apps、Netskope |
flowchart TB
subgraph dlptypes["DLPの3つの適用ポイント"]
subgraph endpoint["エンドポイントDLP"]
direction TB
pc["PC/Mac"]
actions1["コピー、印刷、<br/>スクリーンショット、<br/>USBへの保存"]
pc --> actions1
end
subgraph network["ネットワークDLP"]
direction TB
gateway["ゲートウェイ"]
actions2["メール送信、<br/>Webアップロード、<br/>ファイル転送"]
gateway --> actions2
end
subgraph clouddlp["クラウドDLP"]
direction TB
cloud["クラウドサービス"]
actions3["ファイル共有、<br/>外部コラボレーション、<br/>API連携"]
cloud --> actions3
end
endDLPの検知メカニズム
DLPは、複数の検知技術を組み合わせて機密データを識別します。
コンテンツ検査技術
DLPが採用する主要なコンテンツ検査技術は以下の通りです。
| 検知技術 | 説明 | 適用例 |
|---|---|---|
| キーワードマッチング | 特定のキーワードや語句を検索 | 「社外秘」「Confidential」などの文字列 |
| 正規表現 | パターンマッチングによる検出 | クレジットカード番号、電話番号 |
| データ識別子(SIT) | 事前定義されたデータパターン | マイナンバー、パスポート番号 |
| Exact Data Matching(EDM) | 実データとの完全一致 | 顧客データベースとの照合 |
| Document Fingerprinting | 文書構造のフィンガープリント | 契約書テンプレート、設計図 |
| 機械学習 | AIによる分類と検出 | 財務諸表、医療記録 |
感度情報タイプ(Sensitive Information Types)
Microsoft Purview DLPでは、350種類以上の事前定義された感度情報タイプ(SIT)が提供されています。日本向けのSITには以下のようなものがあります。
- 日本のマイナンバー(個人番号)
- 日本の運転免許証番号
- 日本のパスポート番号
- 日本の銀行口座番号
- 日本の在留カード番号
これらのSITは、単純なパターンマッチングだけでなく、チェックサム検証や周辺キーワードの確認など、複数の検証ロジックを組み合わせて誤検知を低減しています。
DLPポリシーの設計
効果的なDLPポリシーを設計するには、以下の要素を考慮する必要があります。
flowchart TB
subgraph policydesign["DLPポリシー設計のフロー"]
identify["1. 保護対象データの特定<br/>機密データの棚卸し"]
classify["2. 分類と優先順位付け<br/>リスクレベルの評価"]
define["3. ポリシールールの定義<br/>条件とアクションの設定"]
simulate["4. シミュレーションモード<br/>影響の評価"]
deploy["5. 段階的な展開<br/>監査→警告→ブロック"]
tune["6. 継続的なチューニング<br/>誤検知の低減"]
identify --> classify
classify --> define
define --> simulate
simulate --> deploy
deploy --> tune
tune --> define
endポリシールールの構成要素
DLPポリシーは、以下の要素で構成されます。
| 構成要素 | 説明 | 設定例 |
|---|---|---|
| スコープ | ポリシーの適用範囲 | 全ユーザー、特定部門、特定デバイス |
| 条件 | 検知のトリガー条件 | クレジットカード番号10件以上 |
| 例外 | 検知から除外する条件 | 財務部門からの送信は除外 |
| アクション | 条件一致時の処理 | ブロック、警告、監査ログ |
| 通知 | 関係者への通知 | ユーザーへのポップアップ、管理者へのアラート |
段階的な展開アプローチ
DLPの導入では、業務への影響を最小限に抑えるため、段階的なアプローチが推奨されます。
flowchart LR
subgraph deployment["DLPポリシーの段階的展開"]
audit["フェーズ1<br/>監査モード<br/>検知のみ、<br/>ブロックなし"]
warn["フェーズ2<br/>警告モード<br/>ユーザーへ警告、<br/>オーバーライド可"]
block["フェーズ3<br/>ブロックモード<br/>ポリシー違反を<br/>ブロック"]
audit -->|"誤検知の分析"| warn
warn -->|"例外の調整"| block
endMicrosoft Purview DLPでは、この段階的展開を「シミュレーションモード」として提供しています。シミュレーションモードでは、実際のブロックは行わず、ポリシー一致の結果のみを記録します。これにより、本番環境への影響を評価しながら、ポリシーを最適化できます。
CASB(Cloud Access Security Broker)の基礎
CASB(Cloud Access Security Broker)は、組織とクラウドサービスプロバイダーの間に位置し、クラウド利用における可視性、コンプライアンス、データセキュリティ、脅威防御を提供するセキュリティソリューションです。
Gartnerが2012年に定義したCASBは、クラウドファースト時代のセキュリティに不可欠なコンポーネントとなっています。2025年現在、CASBはSASE(Secure Access Service Edge)やSSE(Security Service Edge)の重要な構成要素として位置づけられています。
CASBの4つの柱
CASBは、以下の4つの主要機能(柱)で構成されます。
flowchart TB
subgraph casbpillars["CASBの4つの柱"]
direction TB
visibility["1. 可視性<br/>(Visibility)"]
compliance["2. コンプライアンス<br/>(Compliance)"]
datasec["3. データセキュリティ<br/>(Data Security)"]
threat["4. 脅威防御<br/>(Threat Protection)"]
end
visibility --> discover["シャドーIT検出<br/>利用状況分析<br/>リスク評価"]
compliance --> audit["規制要件対応<br/>監査ログ<br/>ポリシー評価"]
datasec --> protect["DLP連携<br/>暗号化<br/>アクセス制御"]
threat --> detect["マルウェア検出<br/>異常行動検知<br/>インシデント対応"]1. 可視性(Visibility)
CASBの可視性機能は、組織内で利用されているすべてのクラウドサービスを発見し、利用状況を把握します。
| 機能 | 説明 | メリット |
|---|---|---|
| シャドーIT検出 | 未承認のクラウドサービス利用を発見 | リスクの可視化、統制の強化 |
| アプリカタログ | 数万のクラウドアプリのリスク評価データベース | 承認判断の効率化 |
| 利用状況分析 | ユーザー、データ、アクティビティの分析 | 異常検知、コンプライアンス証跡 |
| リスクスコアリング | セキュリティ、コンプライアンス、法的リスクの評価 | アプリ選定の指標 |
Microsoft Defender for Cloud Appsでは、35,000以上のクラウドアプリに対するリスク評価データベースを提供し、90以上のリスク指標に基づいてアプリを評価します。
2. コンプライアンス(Compliance)
CASBは、クラウド環境における規制要件への準拠を支援します。
- GDPR(EU一般データ保護規則): EU市民の個人データ処理に関する規制
- HIPAA: 医療情報の保護に関する米国の規制
- PCI DSS: クレジットカード情報の取り扱いに関する基準
- 個人情報保護法: 日本における個人情報の取り扱いに関する法律
CASBは、これらの規制に対応したポリシーテンプレートを提供し、違反の検出と是正を支援します。
3. データセキュリティ(Data Security)
CASBのデータセキュリティ機能は、クラウド上の機密データを保護します。
flowchart LR
subgraph datasecurity["CASBのデータセキュリティ機能"]
scan["ファイルスキャン"]
classify["データ分類"]
dlp["DLPポリシー適用"]
encrypt["暗号化"]
access["アクセス制御"]
scan --> classify
classify --> dlp
dlp --> encrypt
dlp --> access
end具体的な保護機能には以下のものがあります。
- クラウドストレージ内の機密ファイルの検出
- 外部共有リンクの制御
- ダウンロード制限(非管理デバイスからのアクセス制限)
- 秘密度ラベルの自動適用
4. 脅威防御(Threat Protection)
CASBは、クラウド環境における脅威を検出し、対応します。
| 脅威タイプ | 検出方法 | 対応アクション |
|---|---|---|
| マルウェア | ファイルスキャン、サンドボックス分析 | ファイル隔離、アクセスブロック |
| アカウント侵害 | 異常なログイン検出、不可能な移動検知 | セッション終了、MFA要求 |
| 内部脅威 | UEBA(ユーザー行動分析) | アラート、調査開始 |
| データ流出 | 大量ダウンロード検出、異常な共有 | ダウンロードブロック、管理者通知 |
CASBの導入モード
CASBには、2つの主要な導入モードがあります。
flowchart TB
subgraph modes["CASBの導入モード"]
subgraph apimode["API型(Out-of-Band)"]
api["クラウドサービスAPI"]
apicasb["CASB<br/>(APIコネクタ)"]
api <-->|"REST API"| apicasb
end
subgraph proxymode["プロキシ型(Inline)"]
user["ユーザー"]
proxycasb["CASB<br/>(プロキシ)"]
cloud["クラウドサービス"]
user --> proxycasb
proxycasb --> cloud
end
end| 導入モード | 特徴 | メリット | デメリット |
|---|---|---|---|
| API型 | クラウドサービスのAPIと連携 | 導入が容易、保存データのスキャン | リアルタイム制御が限定的 |
| プロキシ型 | トラフィックを中継 | リアルタイム制御、詳細な可視性 | 導入が複雑、遅延の可能性 |
多くの組織では、両モードを組み合わせて使用します。API型で既存のクラウドデータをスキャンし、プロキシ型でリアルタイムのアクセス制御を行う構成が一般的です。
シャドーITの脅威と対策
シャドーIT(Shadow IT)とは、IT部門の承認や管理なしに従業員が利用するITサービスやアプリケーションのことです。クラウドサービスの普及により、シャドーITは急速に拡大しています。
シャドーITの現状
業界調査によると、組織内で利用されているクラウドアプリの数は平均で1,000以上に達し、そのうち約80%がIT部門に把握されていないシャドーITとされています。特に以下のカテゴリでシャドーIT利用が多く見られます。
| カテゴリ | 代表的なアプリ | 主なリスク |
|---|---|---|
| ファイル共有 | Dropbox、Google Drive(個人版) | 機密データの外部流出 |
| コラボレーション | Slack、Discord(個人版) | 情報の分散、管理不能 |
| 生成AI | ChatGPT、Claude、Gemini | 機密情報の学習データ化 |
| 開発ツール | GitHub(個人版)、Pastebin | ソースコードの漏洩 |
| ノート・メモ | Notion、Evernote | 知的財産の外部保存 |
生成AIサービスとデータ漏洩リスク
2022年以降、ChatGPTをはじめとする生成AIサービスの普及により、新たな情報漏洩リスクが顕在化しています。従業員が業務効率化のために生成AIを利用する際、意図せず機密情報を入力してしまうケースが増加しています。
flowchart TB
subgraph airisk["生成AIによる情報漏洩リスク"]
user["従業員"]
ai["生成AIサービス"]
risk1["機密情報の入力"]
risk2["学習データとして取り込み"]
risk3["他ユーザーへの出力"]
user -->|"コード、顧客情報、<br/>財務データを入力"| ai
ai --> risk1
risk1 --> risk2
risk2 --> risk3
endMicrosoft Purview DLPでは、2025年のアップデートでEdge for Businessと連携した生成AIサービスへの情報入力を制御する機能が追加されています。これにより、ChatGPT、Google Gemini、DeepSeekなどへの機密情報入力をブロックまたは警告できます。
シャドーIT対策の実装
効果的なシャドーIT対策は、「発見」「評価」「制御」「教育」の4段階で実施します。
flowchart LR
subgraph shadowit["シャドーIT対策の4段階"]
discover["1. 発見<br/>利用アプリの可視化"]
assess["2. 評価<br/>リスク分析"]
control["3. 制御<br/>ポリシー適用"]
educate["4. 教育<br/>意識向上"]
discover --> assess
assess --> control
control --> educate
educate --> discover
end1. 発見:クラウドディスカバリー
CASBのクラウドディスカバリー機能を使用して、組織内で利用されているすべてのクラウドサービスを特定します。
- ファイアウォール/プロキシログの分析
- エンドポイントエージェントからの収集
- ネットワークトラフィックの監視
- IdP(Identity Provider)との連携
2. 評価:リスクスコアリング
発見したアプリケーションを以下の観点で評価します。
| 評価観点 | 評価項目 |
|---|---|
| セキュリティ | データ暗号化、認証方式、脆弱性対応 |
| コンプライアンス | 各種認証取得(SOC 2、ISO 27001等) |
| 法的リスク | データ所在地、利用規約、GDPR対応 |
| ビジネスリスク | ベンダーの財務健全性、SLA |
3. 制御:アプリケーションポリシー
評価結果に基づいて、アプリケーションを以下のように分類し、適切な制御を適用します。
| 分類 | 説明 | 適用ポリシー |
|---|---|---|
| 承認済み(Sanctioned) | 組織が正式に承認 | フルアクセス、監視 |
| 監視対象(Monitored) | 利用を許可するが監視が必要 | DLP適用、利用状況ログ |
| 非承認(Unsanctioned) | 利用を禁止 | アクセスブロック |
4. 教育:セキュリティ意識向上
技術的な制御だけでなく、従業員教育も重要です。
- シャドーITのリスクに関する啓発
- 承認済みアプリケーションの周知
- 新しいアプリケーション利用申請プロセスの整備
- DLPポリシーの目的と対象の説明
DLPとCASBの連携
DLPとCASBは、それぞれ単独でも効果的ですが、連携することでより包括的なデータ保護を実現できます。
統合アーキテクチャ
flowchart TB
subgraph integration["DLPとCASB統合アーキテクチャ"]
subgraph data["データソース"]
endpoint["エンドポイント"]
email["メール"]
onprem["オンプレミス<br/>ファイルサーバー"]
end
subgraph dlpengine["DLPエンジン"]
classify["データ分類"]
policy["ポリシー評価"]
action["アクション実行"]
end
subgraph casbengine["CASBエンジン"]
discover["アプリ検出"]
control["アクセス制御"]
protect["データ保護"]
end
subgraph cloud["クラウドサービス"]
saas["SaaS"]
iaas["IaaS"]
paas["PaaS"]
end
subgraph unified["統合ダッシュボード"]
alert["アラート管理"]
report["レポート"]
investigate["調査ツール"]
end
data --> dlpengine
dlpengine --> casbengine
casbengine --> cloud
dlpengine --> unified
casbengine --> unified
end連携シナリオ
DLPとCASBの連携により、以下のような高度なシナリオを実現できます。
シナリオ1:クラウドストレージの機密ファイル保護
sequenceDiagram
participant User as ユーザー
participant CASB as CASB
participant DLP as DLP
participant SharePoint as SharePoint
User->>SharePoint: ファイルをアップロード
SharePoint->>CASB: アップロード通知
CASB->>DLP: コンテンツスキャン要求
DLP->>DLP: 機密情報を検出
DLP->>CASB: 検出結果を返却
CASB->>SharePoint: 秘密度ラベル適用
CASB->>SharePoint: 外部共有をブロック
CASB->>User: ポリシー通知シナリオ2:非管理デバイスからのアクセス制御
sequenceDiagram
participant User as ユーザー(個人デバイス)
participant CASB as CASB
participant DLP as DLP
participant OneDrive as OneDrive
User->>CASB: OneDriveにアクセス
CASB->>CASB: デバイス状態を確認(非管理)
CASB->>OneDrive: アクセス許可(閲覧のみ)
User->>CASB: ファイルダウンロード要求
CASB->>DLP: ファイルの秘密度を確認
DLP->>CASB: 「機密」ラベル付き
CASB->>User: ダウンロードをブロック
CASB->>User: Web版での閲覧を許可シナリオ3:生成AIへの情報入力制御
sequenceDiagram
participant User as ユーザー
participant Edge as Edge for Business
participant DLP as DLP
participant ChatGPT as ChatGPT
User->>Edge: ChatGPTにアクセス
Edge->>DLP: インライン監視を有効化
User->>Edge: テキストを入力
Edge->>DLP: 入力内容をスキャン
DLP->>DLP: 顧客情報を検出
DLP->>Edge: ブロック指示
Edge->>User: 警告ポップアップ表示
Edge->>User: 送信をブロックMicrosoft環境での実装
MicrosoftはDLPとCASBの機能を統合的に提供しています。主要なコンポーネントは以下の通りです。
Microsoft Purview DLP
Microsoft Purview DLPは、Microsoft 365環境における包括的なDLPソリューションです。
対応する場所(Location)
| 場所 | 保護対象 |
|---|---|
| Exchange Online | メール、添付ファイル |
| SharePoint Online | サイト、ドキュメントライブラリ |
| OneDrive for Business | 個人のクラウドストレージ |
| Microsoft Teams | チャット、チャネルメッセージ |
| エンドポイントデバイス | Windows 10/11、macOS |
| Power BI | ダッシュボード、レポート |
| オンプレミスリポジトリ | ファイルサーバー、SharePoint Server |
ポリシー設定例
以下は、クレジットカード情報の外部送信を防止するDLPポリシーの設定例です。
|
|
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Appsは、Microsoftが提供するCASBソリューションです。
主要機能
| 機能 | 説明 |
|---|---|
| Cloud Discovery | ファイアウォール/プロキシログを分析し、シャドーITを検出 |
| アプリコネクタ | 主要SaaSとAPI連携し、詳細な可視性を提供 |
| 条件付きアクセス制御 | アプリごとのアクセスポリシーを適用 |
| 情報保護 | Microsoft Purview Information Protectionと連携 |
| 脅威検出 | UEBAによる異常行動検知、マルウェアスキャン |
アプリコネクタ対応サービス
Microsoft Defender for Cloud Appsは、以下のSaaSサービスとAPI連携可能です。
- Microsoft 365(Exchange、SharePoint、OneDrive、Teams)
- Google Workspace
- Salesforce
- Box
- Dropbox
- ServiceNow
- Workday
- AWS
- Azure
条件付きアクセスアプリ制御
条件付きアクセスアプリ制御は、Microsoft Entra ID条件付きアクセスと連携し、リアルタイムのセッション制御を提供します。
flowchart TB
subgraph appcontrol["条件付きアクセスアプリ制御"]
user["ユーザー"]
entra["Microsoft Entra ID"]
mdca["Defender for Cloud Apps"]
app["SaaSアプリ"]
user -->|"1. アクセス要求"| entra
entra -->|"2. 条件付きアクセス評価"| entra
entra -->|"3. MDCAにリダイレクト"| mdca
mdca -->|"4. セッション監視開始"| app
subgraph controls["適用可能な制御"]
monitor["アクティビティ監視"]
block["ダウンロードブロック"]
protect["ファイル保護"]
warn["リアルタイム警告"]
end
mdca --> controls
end統合による効果
Microsoft Purview DLPとDefender for Cloud Appsを統合することで、以下の効果が得られます。
| 統合ポイント | 効果 |
|---|---|
| 秘密度ラベルの共有 | DLPで適用したラベルをCASBが認識し、一貫した保護を適用 |
| 統一されたポリシー管理 | Microsoft Purviewポータルから一元管理 |
| アラートの統合 | Microsoft 365 Defenderポータルで統合的に調査 |
| インシデント相関 | DLP違反とCASB検知を関連付けて分析 |
ベストプラクティスと導入ステップ
DLPとCASBを効果的に導入するためのベストプラクティスと推奨ステップを紹介します。
導入前の準備
1. データの棚卸しと分類
DLP/CASB導入前に、保護すべきデータの特定と分類が必要です。
flowchart TB
subgraph inventory["データ棚卸しプロセス"]
identify["データの特定<br/>どこにどんなデータがあるか"]
owner["オーナーの特定<br/>誰が管理責任を持つか"]
classify["分類の実施<br/>機密度レベルの割り当て"]
document["文書化<br/>データカタログの作成"]
identify --> owner
owner --> classify
classify --> document
end2. ステークホルダーの特定と合意形成
DLP/CASBプロジェクトには、以下のステークホルダーの関与が必要です。
| ステークホルダー | 役割 |
|---|---|
| 情報セキュリティ部門 | 技術的な実装、運用 |
| 法務・コンプライアンス | 規制要件の確認、ポリシー承認 |
| 人事部門 | 従業員のプライバシー考慮 |
| 各事業部門 | 業務プロセスへの影響評価 |
| 経営層 | 予算承認、方針決定 |
3. 成功指標の定義
導入効果を測定するためのKPIを事前に定義します。
| 指標 | 測定内容 |
|---|---|
| 検知件数 | DLPポリシー一致の件数 |
| 誤検知率 | 正当な業務が誤ってブロックされた割合 |
| 対応時間 | アラートから対応完了までの時間 |
| シャドーIT数 | 未承認アプリの利用数の推移 |
| インシデント件数 | 実際のデータ漏洩インシデント数 |
段階的な導入ロードマップ
DLP/CASBの導入は、以下の段階で進めることを推奨します。
flowchart LR
subgraph roadmap["導入ロードマップ"]
phase1["Phase 1<br/>可視化<br/>(1-2ヶ月)"]
phase2["Phase 2<br/>監視<br/>(2-3ヶ月)"]
phase3["Phase 3<br/>制御<br/>(3-6ヶ月)"]
phase4["Phase 4<br/>最適化<br/>(継続)"]
phase1 --> phase2
phase2 --> phase3
phase3 --> phase4
endPhase 1:可視化(1-2ヶ月)
- CASBによるクラウドディスカバリーの実施
- 現状のデータフローの把握
- リスクの高いアプリケーションの特定
- データ分類フレームワークの策定
Phase 2:監視(2-3ヶ月)
- DLPポリシーのシミュレーションモード展開
- アラートの分析と誤検知の評価
- ポリシーのチューニング
- インシデント対応プロセスの整備
Phase 3:制御(3-6ヶ月)
- DLPポリシーのブロックモード移行
- CASBによるアプリケーション制御の適用
- 例外処理プロセスの運用開始
- 従業員教育の実施
Phase 4:最適化(継続)
- 継続的なポリシーの見直し
- 新しい脅威への対応
- 自動化の推進
- 成熟度の向上
よくある課題と対処法
DLP/CASB導入時によく発生する課題と対処法を紹介します。
| 課題 | 原因 | 対処法 |
|---|---|---|
| 誤検知が多すぎる | ポリシーが広すぎる | 条件の絞り込み、例外の追加 |
| 業務への影響 | 正当な業務がブロックされる | シミュレーションモードでの十分な検証 |
| ユーザーからの反発 | 監視への抵抗感 | 目的の説明、透明性の確保 |
| アラート疲れ | 大量のアラート | 優先度付け、自動化、チューニング |
| カバレッジの不足 | 一部のデータが保護されない | 段階的な展開、ギャップ分析 |
まとめ
本記事では、ゼロトラスト時代のデータ保護に不可欠なDLPとCASBについて解説しました。
DLP(Data Loss Prevention)は、エンドポイント、ネットワーク、クラウドの3つのポイントで機密データの流出を検知・防止します。コンテンツ検査技術と段階的な展開アプローチにより、業務への影響を最小限に抑えながら効果的な保護を実現できます。
CASB(Cloud Access Security Broker)は、可視性、コンプライアンス、データセキュリティ、脅威防御の4つの柱で、クラウドサービス利用における統制を提供します。特にシャドーITの検出と制御は、現代の組織にとって重要な機能です。
DLPとCASBを連携させることで、オンプレミスからクラウドまで一貫したデータ保護を実現できます。Microsoft環境では、Purview DLPとDefender for Cloud Appsの統合により、包括的なソリューションを構築できます。
導入にあたっては、データの棚卸し、ステークホルダーとの合意形成、段階的なアプローチが成功の鍵となります。まずは可視化から始め、監視、制御、最適化と段階を踏んで成熟度を高めていくことをお勧めします。