データ損失防止(DLP)ポリシーは、機密データがアクセス、使用、不適切に共有されないように保護するために設計された一連のガイドラインと手順です。DLP ポリシーの主な目的は、データの保存中、移動中、使用中を問わず、データを特定、監視、保護することで、不正アクセスを防止し、データ・セキュリティを確保することです。
データ損失防止計画は、運用面から見ると不可欠ですが、法令遵守、商業契約、組織の評判にも大きな影響を与えます。
データの不適切な取り扱いは、金銭的な罰則、収益の損失、風評被害、法的措置につながる可能性があります。これは事実上、あらゆる組織にとって重要ですが、ヘルスケアや金融サービスなどの規制対象産業にとっては特に大きなリスクとなります。HIPAA、GLBA、CCPA、GDPR などの規制は、DLP ポリシーが軽減を目的としているデータプライバシーやセキュリティ・リスクに対する懸念の高まりを示しています。
データ損失防止ポリシーが重要な理由
データ侵害は、今日の高度につながっている世界ではあまりにも一般的です。ハッカーは、顧客リスト、人事記録、その他の機密情報を定期的に盗み、個人的な利益のために利用します。同様に、内部の従業員は、アクセスが比較的容易で、捕まえられないという合理的な期待があるため、データ窃盗の加害者であることがよくあります。
しかし、どのような状況であっても、データ侵害は、規制措置(罰金や罰則を含む)、悪評、収益の損失につながる可能性があります。場合によっては、データが危険にさらされたという前提だけで、規制当局が組織に罰則を科すこともあります。つまり、データ侵害が発生しなくても、重大な影響が生じる可能性があります。例えば、HIPAA では、連邦政府は、患者データを保護するために適切な措置をとらなかったことで、多くの組織を罰しています。
データ損失防止ポリシーは、基本的に、組織が収集、保存、処理するデータに対して同じ厳格な基準を適用します。優れた DLP は、保険契約のようなものです。これにより、データ侵害や同様の不正アクセスによる損害から守ることができます。
データ損失防止ポリシーの主要要素
組織を完全に保護するには、次の重要な要素を組み込んだ包括的なデータ損失防止ポリシーが必要です。
データの分類とカタログ化:機密性と重要性に基づいてさまざまなデータセットを分類し、所有するデータの正確な記録を維持することが含まれます。分類は、保護活動の優先順位付けに役立ち、最も重要なデータが最高レベルのセキュリティを確実に受け取れるようにします。一般に、公開データ、内部データ、機密データ、極秘データなどがあり、各分類にあわせた特定の取り扱いや保護手段があります。例えば、HIPAA の対象となる対象組織では、患者の「保護された健康情報」(PHI)は極秘情報とみなされるため、アクセス、保存、共有、送信のための厳格なガイドラインがあります。ほとんどの企業は、顧客リストを内部情報、機密情報とみなしています。競合他社がそれを使用して顧客を奪う可能性があるからです。データ・アセットのカタログを監視し、維持することが重要です。例えば、Pure1 のスナップショット・カタログは、データ・スナップショットの内容、場所、コンプライアンスの有無をグローバルに把握することで、コンプライアンスの維持に役立ちます。
アクセス制御:権限のある担当者のみが機密データにアクセスできるようにします。ロールベースのアクセス制御(RBAC)と最小権限の原則(PoLP)は、権限のない関係者が情報にアクセスするリスクを最小限に抑えるのに役立ちます。また、定期的な監査、継続的な監視、アクセス許可の定期的なレビューも重要です。特に、従業員が役割を変更したり、組織を離れる場合は重要です。多要素認証(MFA)は、機密情報へのアクセスを許可する前に複数の形式の検証を要求することで、セキュリティ層を追加します。
暗号化:保存時(つまり、保存場所)と転送時(つまり、データを社内外に転送または送信する場合)の両方のデータを保護します。データを暗号化することで、権限のない関係者がデータにアクセスした場合でも、データが読み取り不能になることを確認できます。暗号化は、機密性の高いファイル、電子メール、保存や送信されるその他のデータに適用する必要があります。多くの場合、規制では、業界標準のプロトコルを使用してデータを暗号化する必要があります。例えば、ピュア・ストレージの FlashArray は、AES 256 ビット暗号化を使用して保存状態のデータを保護します。FIPS 140-2 認定を受けており、NIST 準拠、NIAP/コモン・クライテリア認定、PCI-DSS 準拠でもあります。
従業員のトレーニングや意識向上プログラムは、機密データを取り巻くセキュリティの壁の弱点の 1 つに対処するために重要です。多くの場合、従業員はデータ侵害に対する防御の最前線であり、その行動はデータ・セキュリティに大きな影響を与える可能性があります。定期的なトレーニング・セッションでは、データ保護の重要性、潜在的なセキュリティ脅威の認識と対応方法、従うべき特定のポリシーと手順について、従業員を教育する必要があります。従業員は、疑わしい電子メールに関連するリスクと、ハッカーがソーシャル・エンジニアリング技術を使用してアクセスする方法を理解する必要があります。
これらの要素を組み合わせることで、データ損失や不正アクセスからデータを保護するだけでなく、関連する規制や業界標準への準拠を保証する堅牢な DLP ポリシーが形成されます。進化し続けるデジタル環境において効果的なデータ保護を維持するには、新たな脅威や技術の進歩に対応するために DLP ポリシーを定期的に更新し、監査することが不可欠です。
データ損失防止ポリシーの実践方法
DLP ポリシーの開発は、リスク評価から始めましょう。組織が保有するデータのさまざまなカテゴリ、潜在的な脅威、不正アクセス、データ侵害、偶発的なデータ損失などのさまざまなリスクの可能性と影響を特定します。現在のセキュリティ対策を評価し、対処すべきギャップや脆弱性を特定します。
次に、リスクとデータ保護要件にあった適切なテクノロジーを選択します。包括的なデータ損失防止コンプライアンス基準に対応する製品の提供を強く求めます。既存のシステムと容易に統合でき、保存状態、移動中、使用中のデータを包括的に保護するテクノロジーを選択します。
リスク評価と、データを保護するために選択した技術に基づいて、ポリシーと手順を作成します。データの分類、処理、保護方法を明確に定義します。異なる種類のデータにアクセスできる人や、どのような状況でアクセスできるかを指定するアクセス制御ポリシーを確立します。暗号化、データ転送、データ・ストレージのガイドラインを含め、一貫したセキュリティ・プラクティスを確保します。また、アクセス制御の監査、監視、定期的なレビューの基準とガイドラインも指定する必要があります。
新しい DLP ポリシーと手順について、従業員にトレーニングを提供します。定期的なトレーニング・セッションでこの情報を定期的に更新し、データ保護の重要性と、確立されたガイドラインに従う方法を確実に理解します。データ・セキュリティの維持における各従業員の役割を強調し、データを安全に取り扱う方法の実践例を提供します。
正式な DLP 計画が策定されたら、定期的に見直します。データ損失防止ポリシーを、より広範なインシデント対応やディザスタ・リカバリ/事業継続計画と統合します。
データ損失防止計画は、保険契約とよく似ており、財務、評判、法的に重大な影響を及ぼす可能性のある機密情報の開示から会社を保護します。適切に実装された DLP ポリシーは、組織のデータ資産を保護するだけでなく、ますます相互接続される世界では、パブリック・トラスト、運用継続性、法令遵守の基準も設定しています。
ピュア・ストレージのスマート・ストレージ・ソリューションは、DLP のベストプラクティスを迅速に実現します。もっと詳しく知りたいですか? データ保護の専門家に今すぐお問い合わせください。
