dlpとは何ですか。 データ漏洩防止-DLP。 インシデント対応アルゴリズムを検討する
最もファッショナブルなIT用語でさえ、適切かつ可能な限り正確に使用する必要があります。 少なくとも消費者を誤解させないために。 自分をDLPソリューションメーカーとして分類することは間違いなくファッショナブルになっています。 たとえば、最近のCeBIT-2008展示会では、「DLPソリューション」という碑文が、世界であまり知られていないウイルス対策サーバーやプロキシサーバーだけでなく、ファイアウォールのメーカーのスタンドにもよく見られました。 次のコーナーでは、企業のDLPソリューションの誇り高いスローガンを掲げたある種のCDイジェクター(CDドライブのオープンを制御するプログラム)を見ることができると感じることがありました。 そして、奇妙なことに、これらのメーカーのそれぞれは、原則として、製品のそのような位置付けについて多かれ少なかれ論理的な説明をしていました(当然、ファッショナブルな用語から「gesheft」を取得したいという願望に加えて)。
DLPシステムメーカーとその主要プレーヤーの市場を検討する前に、DLPシステムの意味を定義する必要があります。 このクラスの情報システムを定義する多くの試みがありました:ILD&P-情報漏えいの検出と防止(「情報漏えいの識別と防止」、この用語は2007年にIDCによって提案されました)、ILP-情報漏えい保護(「情報漏えいに対する保護」 」、Forrester、2006)、ALS-漏洩防止ソフトウェア(「漏洩防止ソフトウェア」、E&Y)、コンテンツの監視とフィルタリング(CMF、Gartner)、侵入防止システム(侵入防止システムと同様)。
しかし、2005年に提案されたDLP-データ損失防止(またはデータ漏洩防止、データ漏洩からの保護)という名前は、一般的に使用される用語として確立されました。「機密データを内部の脅威から保護するためのシステム」というフレーズ。 同時に、内部の脅威は、関連するデータや権限にアクセスする法的権利を持つ組織の従業員による(意図的または偶発的な)悪用として理解されます。
DLPシステムに属するための最も一貫性のある一貫した基準は、この市場の年次調査中にForresterResearchによって提唱されました。 彼らは、システムをDLPとして分類できる4つの基準を提案しました。 1。
マルチチャネル。 システムは、データ漏洩の可能性のあるいくつかのチャネルを監視できなければなりません。 ネットワーク環境では、これは少なくとも電子メール、Web、およびIM(インスタントメッセンジャー)であり、メールトラフィックやデータベースアクティビティをスキャンするだけではありません。 ワークステーションで-ファイル操作の監視、クリップボードの操作、および電子メール、Web、IMの制御。 2.2。
統一された管理。 システムには、情報セキュリティポリシー、分析、およびすべての監視チャネルにわたるイベントのレポートを管理するための統一された手段が必要です。 3.3。
アクティブな保護。 システムは、セキュリティポリシーの違反を検出するだけでなく、必要に応じてそれを実施する必要があります。 たとえば、疑わしいメッセージをブロックします。 四。
これらの基準に基づいて、Forresterは2008年にレビューと評価を行う12のソフトウェアベンダーを選択しました(これらはアルファベット順に以下にリストされており、括弧内にDLP市場に参入するためにこのベンダーが買収した会社の名前が付いています)。
- コードグリーン;
- InfoWatch;
- マカフィー(オニグマ);
- オーケストリア;
- レコネックス;
- RSA / EMC(Tablus);
- Symantec(Vontu);
- トレンドマイクロ(Provilla);
- Verdasys;
- Vericept;
- Websense(PortAuthority);
- ワークシェア。
現在までに、上記の12のベンダーのうち、InfoWatchとWebsenseのみがある程度ロシア市場に参入しています。 残りはロシアではまったく機能しないか、DLPソリューション(トレンドマイクロ)の販売を開始する意向を発表したばかりです。
DLPシステムの機能を考慮して、アナリスト(Forrester、Gartner、IDC)は、保護オブジェクトの分類(監視対象の情報オブジェクトのタイプ)を導入します。 このような分類により、最初の概算として、特定のシステムの範囲を評価できます。 監視オブジェクトには3つのカテゴリがあります。
1.データインモーション(データインモーション)-電子メールメッセージ、インターネットページャー、ピアツーピアネットワーク、ファイル転送、Webトラフィック、および通信チャネルを介して送信できるその他の種類のメッセージ。 2.保存データ(保存データ)-ワークステーション、ラップトップ、ファイルサーバー、専用ストレージ、USBデバイス、およびその他の種類のデータストレージデバイスに関する情報。
3.使用中のデータ(使用中のデータ)-現在処理中の情報。
現在、私たちの市場には、DLPシステムのいくつかの特性を備えた約20の国内および海外の製品があります。 上記の分類の精神に基づくそれらに関する簡単な情報を表に示します。 1と2。表にもあります。 1は、「集中型データストレージおよび監査」などのパラメーターを導入しました。これは、システムがデータを単一の保管場所(すべての監視チャネル用)に保存して、さらに分析および監査できることを意味します。 この機能は、さまざまな立法行為の要件だけでなく、顧客の間での人気(実施されたプロジェクトの経験による)のために、最近特に重要になっています。 これらの表に含まれるすべての情報は、それぞれの会社の公開ソースおよびマーケティング資料から取得されます。
表1と表2のデータに基づいて、今日、ロシアには3つのDLPシステムしかないと結論付けることができます(InfoWatch、Perimetrix、およびWebSenceから)。 また、最近発表されたJet Infosystemsの統合製品(SKVT + SMAP)も含まれています。これは、複数のチャネルをカバーし、セキュリティポリシーを統一的に管理するためです。
言及されたメーカーのほとんどは販売量、顧客数、保護されたワークステーションを開示しておらず、マーケティング情報のみに限定されているため、ロシアにおけるこれらの製品の市場シェアについて話すことはかなり困難です。 現時点での主なサプライヤーは次のとおりです。
- 2001年から市場に出回っているDozorシステム。
- 2004年以降に販売されたInfoWatch製品。
- WebSense CPS(2007年にロシアおよび世界中で販売され始めました)。
- Perimetrix(2008年末に自社製品の最初のバージョンがWebサイトで発表された若い会社)。
結論として、DLPシステムのクラスに属しているかどうかは、製品を悪化させたり改善したりすることはありません。これは分類の問題であり、それ以上のものではありません。
会社 | 製品 | 製品の特徴 | |||
---|---|---|---|---|---|
「動いているデータ」(動いているデータ)の保護 | 使用中のデータの保護 | 保存データの保護 | 一元化されたストレージと監査 | ||
InfoWatch | I.W.トラフィックモニター | はい | はい | いいえ | はい |
I.W. CryptoStorage | いいえ | いいえ | はい | いいえ | |
周囲 | SafeSpace | はい | はい | はい | はい |
ジェットインフォシステム | Dozor Jet(SKVT) | はい | いいえ | いいえ | はい |
Dozor Jet(SMAP) | はい | いいえ | いいえ | はい | |
スマートライン株式会社 | DeviceLock | いいえ | はい | いいえ | はい |
SecurIT | ズロック | いいえ | はい | いいえ | いいえ |
SecrecyKeeper | いいえ | はい | いいえ | いいえ | |
SpectorSoft | スペクター360 | はい | いいえ | いいえ | いいえ |
LumensionSecurity | サンクチュアリデバイスコントロール | いいえ | はい | いいえ | いいえ |
websense | Websenseコンテンツの保護 | はい | はい | はい | いいえ |
Informzaschita | セキュリティスタジオ | いいえ | はい | はい | いいえ |
Primetek | インサイダー | いいえ | はい | いいえ | いいえ |
AtomParkソフトウェア | スタッフコップ | いいえ | はい | いいえ | いいえ |
SoftInform | SearchInformServer | はい | はい | いいえ | いいえ |
会社 | 製品 | DLPシステムに属する基準 | |||
---|---|---|---|---|---|
マルチチャネル | 統合管理 | アクティブプロテクション | コンテンツとコンテキストの両方の説明 | ||
InfoWatch | I.W.トラフィックモニター | はい | はい | はい | はい |
周囲 | SafeSpace | はい | はい | はい | はい |
「ジェットインフォシステム」 | 「DozorJet」(SKVT) | いいえ | いいえ | はい | はい |
「DozorJet」(SMAP) | いいえ | いいえ | はい | はい | |
スマートライン株式会社 | DeviceLock | いいえ | いいえ | いいえ | いいえ |
SecurIT | ズロック | いいえ | いいえ | いいえ | いいえ |
SmartProtectionLabsソフトウェア | SecrecyKeeper | はい | はい | はい | いいえ |
SpectorSoft | スペクター360 | はい | はい | はい | いいえ |
LumensionSecurity | サンクチュアリデバイスコントロール | いいえ | いいえ | いいえ | いいえ |
websense | Websenseコンテンツの保護 | はい | はい | はい | はい |
「Informzaschita」 | セキュリティスタジオ | はい | はい | はい | いいえ |
Primetek | インサイダー | はい | はい | はい | いいえ |
「AtomParkソフトウェア」 | スタッフコップ | はい | はい | はい | いいえ |
「SoftInform」 | SearchInformServer | はい | はい | いいえ | いいえ |
「Infodefense」 | 「インフォペリメーター」 | はい | はい | いいえ | いいえ |
DLPシステムを最大限に活用するのに役立つさまざまなマーカーを提供しています。
DLPシステム:それは何ですか
DLPシステム(データ損失/漏洩防止)を使用すると、会社のネットワーク通信のすべてのチャネル(メール、インターネット、インスタントメッセージングシステム、フラッシュドライブ、プリンターなど)を制御できることを思い出してください。 情報を収集してサーバーに転送する従業員のすべてのコンピューターにエージェントが配置されているため、情報漏えいからの保護が実現されます。 情報は、SPANテクノロジーを使用してゲートウェイを介して収集される場合があります。 情報が分析された後、システムまたはセキュリティ担当者がインシデントについて決定を下します。
つまり、あなたの会社はDLPシステムを実装しています。 システムを効果的に機能させるには、どのような手順を実行する必要がありますか?
1.セキュリティルールを正しく構成する
100台のコンピュータにサービスを提供するシステムで、「契約」という単語とのすべての対応を修正するルールが作成されたと想像してください。このようなルールは、実際のリークが失われる可能性のある膨大な数のインシデントを引き起こします。
さらに、すべての企業がインシデントを追跡する従業員のスタッフ全体を維持する余裕があるわけではありません。
ルールの有用性を高めるために、ツールを使用して効果的なルールを作成し、それらの作業の結果を追跡できます。 すべてのDLPシステムには、これを実行できる機能があります。
一般に、この方法では、蓄積されたインシデントのデータベースを分析し、ルールのさまざまな組み合わせを作成します。これにより、理想的には1日あたり5〜6件の非常に緊急のインシデントが発生します。
2.定期的に安全規則を更新します
インシデント数の急激な減少または増加は、ルールを調整する必要があることを示しています。 その理由は、ルールの関連性が失われた(ユーザーが特定のファイルへのアクセスを停止した)か、従業員がルールを学習し、システム(DLP-トレーニングシステム)で禁止されているアクションを実行しなくなったことが原因である可能性があります。 ただし、実際には、1つのルールを学習すると、隣接する場所で漏洩の潜在的なリスクが増大することが示されています。
また、企業の仕事の季節性にも注意を払う必要があります。 年度中に、会社の業務の詳細に関連する主要なパラメータが変更される可能性があります。 たとえば、小型機器の卸売業者の場合、春には自転車が、秋にはスノースクーターが関係します。
3.インシデント対応アルゴリズムを検討します
インシデント対応にはいくつかのアプローチがあります。 DLPシステムをテストして実行する場合、ほとんどの場合、変更について通知されません。 事件の参加者は観察されるだけです。 臨界量が蓄積されると、セキュリティ部門または人事部門の代表者がそれらと通信します。 将来的には、ユーザーとの作業はセキュリティ部門の代表者に翻弄されることがよくあります。 ミニコンフリクトがあり、チームにはネガティブな蓄積があります。 それは、会社に関連する従業員の意図的な妨害行為に流出する可能性があります。 規律の要件とチーム内の健康的な雰囲気の維持との間でバランスを取ることが重要です。
4.ブロッキングモードの動作を確認します
システム内のインシデントへの対応には、修正とブロックの2つのモードがあります。 手紙を転送したり、添付ファイルをフラッシュドライブに添付したりするすべての事実がブロックされている場合、これはユーザーに問題を引き起こします。 多くの場合、従業員は一部の機能のロックを解除する要求でシステム管理者を攻撃し、管理者もそのような設定に不満を持っている可能性があります。 その結果、DLPシステムと会社はネガティブを受け取り、システムは信用を失い、マスクが解除されます。
5.営業秘密制度が導入されているかどうかを確認します
特定の情報の機密を保持することを許可し、また、その情報を知っている人は、その開示について完全な法的責任を負うことを義務付けています。 企業で運用されている企業秘密制度の下で重大な情報漏えいが発生した場合、違反者は98-FZの「企業秘密について」に従って裁判所を通じて実際の道徳的損害の額を回復することができます。
DLPシステムはそれらにうまく対処するように設計されているため、これらのヒントが企業の意図しないリークの数を減らすのに役立つことを願っています。 しかし、複雑な情報セキュリティシステムと、意図的な情報漏えいには特別な注意が必要であるという事実を忘れてはなりません。 DLPシステムの機能を補完し、意図的なリークのリスクを大幅に削減できる最新のソリューションがあります。 たとえば、開発者の1人が興味深いテクノロジーを提供しています。機密ファイルに不審にアクセスされることが多いと、Webカメラが自動的にオンになり、記録が開始されます。 不運な誘拐犯がモバイルカメラを使って積極的にスクリーンショットを撮った様子を記録することができたのはこのシステムでした。
オレグ・ネチューキン、情報システムセキュリティエキスパート、Kontur.Security
28.01.2014 セルゲイ・コラブルフ
エンタープライズレベルの製品の選択は、技術スペシャリストや意思決定者にとって簡単な作業ではありません。 データ漏洩防止(DLP)データ損失防止システムの選択はさらに困難です。 統一された概念システムの欠如、定期的な独立した比較研究、および製品自体の複雑さにより、消費者はメーカーにパイロットプロジェクトを注文し、多数のテストを独自に実施して、独自のニーズの範囲を決定し、それらをシステムの機能と相関させる必要があります。テスト済み
そのようなアプローチは確かに正しいです。 バランスの取れた、場合によっては苦労して得た決定でさえ、さらなる実装を簡素化し、特定の製品の運用における失望を回避します。 ただし、この場合の意思決定プロセスは、数年ではなくても、何ヶ月も遅れることがあります。 さらに、市場の絶え間ない拡大、新しいソリューションおよびメーカーの出現により、実装する製品を選択するだけでなく、適切なDLPシステムの予備的な候補リストを作成する作業がさらに複雑になります。 このような状況では、DLPシステムの最新のレビューは、技術スペシャリストにとって間違いなく実用的な価値があります。 特定のソリューションをテストリストに含める必要がありますか、それとも複雑すぎて小規模な組織に実装できませんか? ソリューションを10,000人の従業員の会社に拡張できますか? DLPシステムはビジネスクリティカルなCADファイルを制御できますか? オープンな比較は、徹底的なテストに取って代わるものではありませんが、DLP選択プロセスの初期段階で発生する基本的な質問に答えるのに役立ちます。
メンバー
ロシアの情報セキュリティ市場で最も人気のある(2013年半ばの時点でAnti-Malware.ru分析センターによる)InfoWatch、McAfee、Symantec、Websense、Zecurion、JetInfosystemの各企業のDLPシステムが参加者として選ばれました。
分析には、レビューの準備時に市販バージョンのDLPシステムを使用し、製品のドキュメントと公開レビューを行いました。
DLPシステムを比較するための基準は、さまざまな規模や業界の企業のニーズに基づいて選択されました。 DLPシステムの主なタスクは、さまざまなチャネルを介した機密情報の漏洩を防ぐことです。
これらの企業の製品の例を図1-6に示します。
![]() |
図3ノートンライフロック製品 |
![]() |
図4.InfoWatch製品 |
![]() |
図5.Websense製品 |
![]() |
図6.マカフィー製品 |
動作モード
DLPシステムの2つの主要な動作モードは、アクティブとパッシブです。 アクティブ-通常はメインの操作モードであり、機密情報を外部メールボックスに送信するなど、セキュリティポリシーに違反するアクションをブロックします。 パッシブモードは、誤検知の割合が高い場合に設定を確認および調整するために、システム構成の段階で最もよく使用されます。 この場合、ポリシー違反は記録されますが、情報の移動に対する制限は課されません(表1)。
![]() |
この側面では、検討されたすべてのシステムが同等であることが判明しました。 各DLPは、アクティブモードとパッシブモードの両方で動作できるため、お客様に一定の自由を与えることができます。 すべての企業がブロックモードですぐにDLPの運用を開始する準備ができているわけではありません。これには、ビジネスプロセスの中断、管理対象部門の従業員の不満、および経営陣からの請求(正当なものを含む)が伴います。
テクノロジー
検出技術により、電子チャネルを介して送信された情報を分類し、機密情報を識別することが可能になります。 今日、いくつかの基本的なテクノロジーとその種類があり、本質的には似ていますが、実装が異なります。 それぞれのテクノロジーには長所と短所の両方があります。 さらに、さまざまなクラスの情報を分析するには、さまざまなタイプのテクノロジーが適しています。 したがって、DLPソリューションのメーカーは、最大数のテクノロジーを自社の製品に統合しようとしています(表2を参照)。
一般に、これらの製品は、適切に構成されている場合、機密情報の認識の高い割合を提供する多数のテクノロジーを提供します。 DLP McAfee、Symantec、およびWebsenseは、ロシア市場への適合性がかなり低く、形態論、音訳分析、マスクされたテキストなどの「言語」テクノロジーのサポートをユーザーに提供できません。
制御されたチャネル
各データ伝送チャネルは、リークの可能性のあるチャネルです。 オープンチャネルが1つでも、情報フローを制御する情報セキュリティサービスのすべての努力を打ち消すことができます。 そのため、従業員が仕事に使用していないチャネルをブロックし、漏れ防止システムを使用して残りのチャネルを制御することが非常に重要です。
最新の最高のDLPシステムは多数のネットワークチャネルを監視できるという事実にもかかわらず(表3を参照)、不要なチャネルをブロックすることをお勧めします。 たとえば、従業員が内部データベースのみを備えたコンピューターで作業している場合、インターネットへのアクセスを完全に無効にすることは理にかなっています。
同様の結論は、ローカルリークチャネルにも当てはまります。 確かに、この場合、ポートは周辺機器やI / Oデバイスなどを接続するために使用されることが多いため、個々のチャネルをブロックするのはより困難になる可能性があります。
暗号化は、ローカルポート、モバイルドライブ、およびデバイスを介したリークを防ぐために特別な役割を果たします。 暗号化ツールは非常に使いやすく、ユーザーには透過的に使用できます。 しかし同時に、暗号化により、情報への不正アクセスやモバイルドライブの損失に関連するあらゆる種類のリークを排除できます。
ローカルエージェントの制御の状況は、一般にネットワークチャネルの場合よりも悪化します(表4を参照)。 すべての製品で正常に制御できるのは、USBデバイスとローカルプリンターのみです。 また、上記の暗号化の重要性にもかかわらず、そのような可能性は特定の製品にのみ存在し、コンテンツ分析に基づく強制暗号化機能はZecurionDLPにのみ存在します。
漏洩を防ぐためには、送信時に機密データを認識するだけでなく、企業環境での情報の配布を制限することも重要です。 これを行うために、メーカーは、ネットワーク内のサーバーおよびワークステーションに格納されている情報を識別および分類できるツールをDLPシステムに組み込んでいます(表5を参照)。 情報セキュリティポリシーに違反するデータは、削除するか、安全なストレージに移動する必要があります。
企業ネットワークノード上の機密情報を検出するために、電子チャネルを介したリークを制御するのと同じテクノロジーが使用されます。 主な違いはアーキテクチャです。 漏洩を防ぐためにネットワークトラフィックまたはファイル操作を分析する場合、保存されている情報(ワークステーションおよびネットワークサーバーのコンテンツ)を調べて、機密データの不正コピーを検出します。
検討対象のDLPシステムのうち、InfoWatchとDozor-Jetのみが、情報の保存場所を特定する手段の使用を無視しています。 これは電子リーク防止の重要な機能ではありませんが、リークを予防的に防止するDLPシステムの機能を大幅に制限します。 たとえば、機密文書が企業ネットワーク内にある場合、これは情報漏えいではありません。 ただし、この文書の場所が規制されていない場合、情報所有者やセキュリティ担当者がこの文書の場所を知らないと、漏洩につながる可能性があります。 情報への不正アクセスが可能であるか、適切なセキュリティルールがドキュメントに適用されません。
管理のしやすさ
使いやすさや制御などの機能は、ソリューションの技術的能力と同じくらい重要です。 結局のところ、本当に複雑な製品は実装が難しく、プロジェクトにはより多くの時間、労力、そしてそれに応じて資金が必要になります。 すでに実装されているDLPシステムには、技術スペシャリストによる注意が必要です。 適切なメンテナンス、定期的な監査、設定の調整がないと、機密情報の認識品質は時間の経過とともに劇的に低下します。
セキュリティ担当者の母国語の制御インターフェースは、DLPシステムでの作業を簡素化するための最初のステップです。 これにより、この設定またはその設定の原因を理解しやすくなるだけでなく、システムが正しく機能するために構成する必要のある多数のパラメーターを構成するプロセスが大幅にスピードアップします。 英語は、ロシア語を話す管理者にとっても、特定の技術的概念を明確に解釈するのに役立ちます(表6を参照)。
ほとんどのソリューションは、Webインターフェイスを備えた単一の(すべてのコンポーネントの)コンソールから非常に便利な管理を提供します(表7を参照)。 例外は、ロシアのInfoWatch(単一のコンソールはありません)とZecurion(Webインターフェイスはありません)です。 同時に、両メーカーはすでに将来の製品にWebコンソールが登場することを発表しています。 InfoWatchに単一のコンソールがないのは、製品の技術的基盤が異なるためです。 独自のエージェンシーソリューションの開発は数年間中止され、現在のEndPoint Securityは、2012年に同社が買収したサードパーティ製品であるEgoSecure(旧称cynapspro)の後継製品です。
InfoWatchソリューションの欠点に起因する可能性のあるもう1つのポイントは、主力のDLP製品であるInfoWatch TrafficMonitorを構成および管理するには、システムの操作を複雑にする特別なスクリプト言語LUAを知っている必要があることです。 それにもかかわらず、ほとんどの技術専門家にとって、彼ら自身の専門的レベルを向上させ、追加の言語を学ぶという見通しは、あまり一般的ではありませんが、前向きに認識されるべきです。
システム管理者の役割を分離することは、無制限の権限を持つスーパーユーザーの出現やDLPを使用するその他の策略を防ぐリスクを最小限に抑えるために必要です。
ロギングとレポート
DLPアーカイブは、システムの動作中にシステムのセンサーによって記録されたイベントとオブジェクト(ファイル、レター、httpリクエストなど)を蓄積して保存するデータベースです。 データベースに収集された情報は、ユーザーアクションの分析、重要なドキュメントのコピーの保存、情報セキュリティインシデントの調査の基礎など、さまざまな目的に使用できます。 さらに、すべてのイベントのベースは、DLPシステムコンポーネントの動作を分析し(たとえば、特定の操作がブロックされる理由を見つけるために)、セキュリティ設定を調整するのに役立つため、DLPシステムの実装段階で非常に役立ちます。 (表8を参照)。
![]() |
この場合、ロシアと西洋のDLPの間に根本的なアーキテクチャの違いが見られます。 後者はまったくアーカイブしません。 この場合、DLP自体は保守が容易になりますが(大量のデータを保守、保存、バックアップ、および調査する必要はありません)、運用する必要はありません。 結局のところ、イベントのアーカイブはシステムの構成に役立ちます。 アーカイブは、情報の送信がブロックされた理由を理解し、ルールが正しく機能したかどうかを確認し、システム設定に必要な修正を加えるのに役立ちます。 また、DLPシステムは、実装中の初期構成だけでなく、運用中の定期的な「調整」も必要であることに注意してください。 適切に維持されておらず、技術専門家によって立ち上げられていないシステムは、情報認識の品質を大幅に低下させます。 その結果、インシデントの数と誤検知の数の両方が増加します。
報告はあらゆる活動の重要な部分です。 情報セキュリティも例外ではありません。 DLPシステムのレポートは、一度に複数の機能を実行します。 まず、簡潔でわかりやすいレポートにより、情報セキュリティサービスの責任者は、詳細に立ち入ることなく、情報セキュリティの状態をすばやく監視できます。 次に、詳細なレポートは、セキュリティ担当者がセキュリティポリシーとシステム設定を調整するのに役立ちます。 第3に、DLPシステムの結果と情報セキュリティスペシャリスト自身を示すために、視覚的なレポートを常に会社のトップマネージャーに表示できます(表9を参照)。
レビューで説明されているほとんどすべての競合するソリューションは、情報セキュリティサービスのトップマネージャーや責任者にとって便利なグラフィカルなレポートと、技術スペシャリストにより適した表形式のレポートの両方を提供します。 グラフィカルレポートは、削除されたDLPInfoWatchでのみ欠落しています。
認証
特に情報セキュリティツールとDLPの認証の必要性の問題は未解決であり、専門家は専門家のコミュニティ内でこのトピックについてしばしば議論します。 当事者の意見を要約すると、認証自体は深刻な競争上の利点を提供しないことを認識しておく必要があります。 同時に、特定の証明書の存在が義務付けられている多くの顧客、主に政府機関があります。
さらに、既存の認証手順は、ソフトウェア開発サイクルと十分に相関していません。 その結果、消費者は、すでに古くなっているが認定されたバージョンの製品を購入するか、最新の認定されていないバージョンを購入するかという選択に直面しています。 この状況での標準的な解決策は、「棚にある」認定製品を購入し、実際の環境で新製品を使用することです(表10を参照)。
比較結果
検討中のDLPソリューションの印象を要約してみましょう。 一般的に、参加者全員が好印象を持ち、情報漏えいの防止に役立てることができます。 製品の違いにより、アプリケーションの範囲を指定できます。
InfoWatch DLPシステムは、FSTEC証明書を取得することが基本的に重要な組織に推奨できます。 ただし、InfoWatchトラフィックモニターの最新の認定バージョンは2010年末にテストされ、証明書は2013年末に失効します。 InfoWatch EndPoint Security(EgoSecureとも呼ばれます)に基づくエージェントベースのソリューションは、中小企業に適しており、TrafficMonitorとは別に使用できます。 トラフィックモニターとEndPointSecurityを組み合わせて使用すると、大企業でスケーリングの問題が発生する可能性があります。
独立した分析機関によると、欧米のメーカー(McAfee、Symantec、Websense)の製品は、ロシアの製品よりもはるかに人気がありません。 その理由は、ローカリゼーションのレベルが低いことです。 そして、それはインターフェースの複雑さやロシア語のドキュメントの欠如でさえありません。 機密情報認識テクノロジー、事前構成されたテンプレート、およびルールの機能は、西側諸国でDLPを使用するために「シャープ化」されており、西側の規制要件を満たすことを目的としています。 その結果、ロシアの情報認識の質は著しく悪化し、外国の基準の要件への準拠はしばしば無関係であることが判明しました。 同時に、製品自体はまったく悪くはありませんが、ロシア市場でのDLPシステムの使用の詳細により、近い将来、国内開発よりも人気が高まる可能性は低いです。
Zecurion DLPは、優れたスケーラビリティ(10,000を超える職場での実装が確認されている唯一のロシアのDLPシステム)と高度な技術的成熟度で注目に値します。 ただし、驚くべきことは、さまざまな市場セグメントを対象としたエンタープライズソリューションの管理を簡素化するのに役立つWebコンソールがないことです。 Zecurion DLPの強みには、高品質の機密情報認識と、ゲートウェイ、ワークステーションとサーバー、位置検出、データ暗号化ツールでの保護を含む、リーク防止製品のフルラインが含まれます。
国内DLP市場のパイオニアの1つであるDozor-JetDLPシステムは、ロシア企業に広く分散しており、Jet Infosystemsシステムインテグレーター、パートタイム、およびDLP開発者の広範な接続により、クライアントベースを拡大し続けています。 技術的にはDLPは、より強力なDLPにいくらか遅れをとっていますが、多くの企業でその使用を正当化することができます。 さらに、外国のソリューションとは異なり、DozorJetではすべてのイベントとファイルをアーカイブできます。
会社の情報システム外の情報の削除につながるリークチャネルは、ネットワークリーク(たとえば、電子メールやICQ)、ローカル(外部USBドライブの使用)、保存されたデータ(データベース)である可能性があります。 これとは別に、メディア(フラッシュメモリ、ラップトップ)の損失を強調することができます。 システムが次の基準を満たしている場合、システムはDLPクラスに起因する可能性があります。マルチチャネル(データ漏洩の可能性のあるいくつかのチャネルの監視)。 統合管理(すべての監視チャネル用の統合管理ツール); アクティブな保護(セキュリティポリシーへの準拠); コンテンツとコンテキストの両方を考慮します。
ほとんどのシステムの競争上の利点は、分析モジュールです。 メーカーはこのモジュールを非常に重視しているため、製品に「ラベルベースのDLPソリューション」などの名前を付けることがよくあります。 したがって、ユーザーは、パフォーマンス、スケーラビリティ、または企業の情報セキュリティ市場で従来のその他の基準に基づいてではなく、使用されるドキュメント分析のタイプに基づいてソリューションを選択することがよくあります。
明らかに、それぞれの方法には長所と短所があるため、1つのドキュメント分析方法のみを使用すると、ソリューションは技術的にそれに依存します。 ほとんどのメーカーはいくつかの方法を使用していますが、そのうちの1つは通常「フラッグシップ」方法です。 この記事は、ドキュメントの分析に使用される方法を分類する試みです。 それらの長所と短所は、いくつかのタイプの製品の実際の適用の経験に基づいて評価されます。 なぜなら、この記事は基本的に特定の製品を考慮していません。 それらを選択する際のユーザーの主なタスクは、「すべてをすべてから保護する」、「独自の特許技術」などのマーケティングスローガンを排除し、売り手が去ったときに彼に残されるものを実現することです。
コンテナ分析
このメソッドは、情報を含むファイルまたはその他のコンテナ(アーカイブ、暗号ディスクなど)のプロパティを分析します。 そのような方法の口語的な名前は「ラベルの解決策」であり、それはそれらの本質を完全に反映しています。 各コンテナには、コンテナ内に含まれるコンテンツのタイプを一意に識別するラベルが含まれています。 ラベルは、任意のルートに沿ってコンテンツを移動するユーザーの権利を完全に説明しているため、前述の方法では、移動する情報を分析するためのコンピューティングリソースは実際には必要ありません。 簡略化した形式では、このようなアルゴリズムは次のように聞こえます。「ラベルがあります。禁止します。ラベルはありません。スキップします。」
このアプローチの利点は明らかです。分析の速度と、第2の種類のエラーが完全にないことです(システムが開いているドキュメントを機密として誤って検出した場合)。 このような方法は、一部の情報源では「決定論的」と呼ばれています。
欠点も明らかです。システムはタグ付けされた情報のみを考慮します。タグが設定されていない場合、コンテンツは保護されません。 新規および受信文書にラベルを付ける手順と、バッファ操作、ファイル操作、一時ファイルからの情報のコピーなどを通じて、ラベル付きコンテナからラベルなしコンテナへの情報の転送に対抗するシステムを開発する必要があります。
このようなシステムの弱点は、ラベリングの構成にも表れています。 それらがドキュメントの作成者によって配置された場合、悪意によって、彼は盗もうとしている情報にマークを付けない機会があります。 悪意がない場合、遅かれ早かれ過失または不注意が現れます。 情報セキュリティ責任者やシステム管理者など、特定の従業員にラベルを付ける義務がある場合、彼は会社のすべてのプロセスを完全に理解していないため、機密コンテンツとオープンコンテンツを常に区別できるとは限りません。 したがって、「白」の残高は会社のWebサイトに掲載する必要があり、「灰色」または「黒」の残高は情報システムから取り出すことはできません。 しかし、主任会計士だけがお互いを区別することができます。 著者の一人。
ラベルは通常、属性、形式、外部に分けられます。 名前が示すように、前者はファイル属性に配置され、後者はファイル自体のフィールドに配置され、3番目は外部プログラムによってファイルにアタッチ(関連付け)されます。
IBのコンテナ構造
タグに基づくソリューションの利点は、タグのみをチェックするため、インターセプターのパフォーマンス要件が低いことでもあります。 地下鉄の改札口のように振る舞います。「チケットをお持ちの場合は、通り抜けてください。」 ただし、奇跡が起こらないことを忘れないでください。この場合、計算負荷はワークステーションにシフトされます。
ラベルの決定の場所は、ラベルが何であれ、ドキュメントストレージの保護です。 企業がドキュメントストレージを持っていて、一方では補充されることが非常に少なく、他方では各ドキュメントのカテゴリと機密性レベルが正確にわかっている場合、ラベルを使用して保護を整理するのが最も簡単です。 組織的な手順を使用して、リポジトリに入るドキュメントのラベルの配置を整理できます。 たとえば、ドキュメントをリポジトリに送信する前に、その機能を担当する従業員は、ドキュメントに設定する機密性のレベルについて、作成者と専門家に問い合わせることができます。 このタスクは、フォーマットマークの助けを借りて特にうまく解決されます。 各受信ドキュメントは安全な形式で保存され、従業員の要求に応じて発行され、読み取りが許可されていることを示します。 最新のソリューションでは、限られた時間だけアクセス権を割り当てることができ、キーの有効期限が切れると、ドキュメントの読み取りが停止します。 このスキームに従って、たとえば、米国での公共調達入札の文書の発行が組織化されます。調達管理システムは、入札の内容のみを変更またはコピーすることなく読み取ることができる文書を生成します。このドキュメントに記載されている参加者。 アクセスキーは、コンテストへのドキュメントの提出期限までのみ有効です。締め切り後は、ドキュメントの読み取りが停止されます。
また、タグに基づくソリューションの助けを借りて、企業は、知的財産と国家機密が流通しているネットワークの閉じたセグメントでドキュメントの流通を整理します。 おそらく、現在、連邦法「個人データに関する」の要件に従って、大企業の人事部門のドキュメントフローも編成されます。
内容分析
このセクションで説明するテクノロジーを実装する場合、前述のテクノロジーとは異なり、コンテンツがどのコンテナーに格納されるかはまったく関係ありません。 これらのテクノロジーの目的は、コンテナーから意味のあるコンテンツを抽出するか、通信チャネルを介した送信を傍受し、禁止されているコンテンツの情報を分析することです。
コンテナ内の禁止されたコンテンツを検出する主なテクノロジは、署名制御、ハッシュベースの制御、および言語的手法です。
署名
最も簡単な制御方法は、データストリームで文字のシーケンスを検索することです。 禁止されている文字のシーケンスは「ストップワード」と呼ばれることもありますが、より一般的なケースでは、単語ではなく、同じラベルなどの任意の文字セットで表すことができます。 一般に、このメソッドは、すべての実装でコンテンツ分析に起因するわけではありません。 たとえば、UTMクラスのほとんどのデバイスでは、ストリームを「そのまま」分析するときに、データストリーム内の禁止された署名の検索は、コンテナからテキストを抽出せずに行われます。 または、システムが1つの単語のみで構成されている場合、その作業の結果は100%一致の決定です。 メソッドは決定論的として分類できます。
ただし、テキスト分析では、特定の文字シーケンスの検索が引き続き使用されることがよくあります。 ほとんどの場合、署名システムは、いくつかの単語と用語の出現頻度を検索するように構成されています。 このシステムは、引き続きコンテンツ分析システムと呼ばれます。
この方法の利点には、言語からの独立性と禁止用語の辞書の補充の容易さが含まれます。この方法を使用してデータストリーム内のパシュトゥー語の単語を検索する場合は、この言語を知っている必要はありません。それがどのように書かれているかを知る必要があります。 また、たとえば、SMSテキスト、ICQメッセージ、またはブログ投稿を分析するときに重要な、文字変換されたロシア語テキストまたは「アルバニア語」言語を追加することも簡単です。
英語以外の言語を使用すると、欠点が明らかになります。 残念ながら、テキスト分析システムのほとんどのメーカーはアメリカ市場で働いており、英語は非常に「署名」です。単語形式は、ほとんどの場合、単語自体を変更せずに前置詞を使用して形成されます。 ロシア語では、すべてがはるかに複雑です。 たとえば、情報セキュリティ責任者の心に大切な「秘密」という言葉を考えてみましょう。 英語では、名詞「秘密」、形容詞「秘密」、動詞「秘密を守る」の両方を意味します。 ロシア語では、ルートの「秘密」から数十の異なる単語を形成することができます。 それらの。 英語を話す組織で情報セキュリティ責任者が1つの単語を入力するだけで十分な場合、ロシア語を話す組織では、数十の単語を入力してから、6つの異なるエンコーディングに変更する必要があります。
さらに、そのような方法は原始的なコーディングに対して不安定です。 それらのほとんどすべては、初心者スパマーのお気に入りのトリックに屈服します-文字を同様のものに置き換えます。 著者は、セキュリティ担当者に基本的なトリック、つまり署名フィルターを介した機密テキストの通過を繰り返し示しました。 たとえば、「トップシークレット」というフレーズを含むテキストが取得され、このフレーズ用にメールインターセプターが構成されます。 テキストがMSWordで開かれている場合は、2秒間の操作:Ctrl + F、 "find" o "(ロシア語レイアウト)"、 "replace with" o "(英語レイアウト)"、 "replace all"、 "send document"-ドキュメントをこのフィルターから完全に見えなくします。 このような置換がMSWordまたはその他のテキストエディタを使用して実行されることは、さらに残念です。 ユーザーがローカル管理者権限と暗号化プログラムを実行する機能を持っていなくても、それらを使用できます。
ほとんどの場合、署名ベースのフロー制御はUTMデバイスの機能に含まれています。 シグニチャによって検出されるウイルス、スパム、侵入、およびその他の脅威からトラフィックをクリーンアップするソリューション。 この機能は「無料」であるため、ユーザーはこれで十分だと感じることがよくあります。 このようなソリューションは、偶発的なリークから実際に保護します。 フィルタをバイパスするために送信者が送信テキストを変更しないが、悪意のあるユーザーに対しては無力である場合。
マスク
ストップワード署名の検索機能の拡張は、それらのマスクの検索です。 「ストップワード」では正確に特定できないコンテンツの検索ですが、その要素や構造は特定できます。 このような情報には、個人または企業を特徴付けるコード(TIN、口座番号、文書など)を含める必要があります。 署名を使用してそれらを検索することは不可能です。
特定の銀行カードの番号を検索対象として設定するのは無理ですが、どのように書かれていても、スペースを使用して、または一緒に、任意のクレジットカード番号を検索する必要があります。 これは単なる要望ではなく、PCIDSS標準の要件です。暗号化されていないプラスチックカード番号を電子メールで送信することは禁止されています。 電子メールでそのような番号を見つけ、禁止されているメッセージを破棄するのはユーザーの責任です。
ここでは、たとえば、秘密または秘密の注文の名前などのストップワードを指定するマスクであり、その数はゼロから始まります。 マスクは、任意の数だけでなく、任意の場合、さらにはラテン文字のロシア文字の置換も考慮に入れます。 マスクは標準の「REGEXP」表記で記述されていますが、異なるDLPシステムには独自のより柔軟な表記がある場合があります。 電話番号の場合、状況はさらに悪化します。 この情報は個人データとして分類され、スペースのさまざまな組み合わせ、さまざまな種類の角かっこ、プラスとマイナスなどを使用して、さまざまな方法で書き込むことができます。 ここでは、おそらく、単一のマスクが不可欠です。 たとえば、同様のタスクを解決する必要があるスパム対策システムでは、電話番号を検出するために数十のマスクが同時に使用されます。
企業とその従業員の活動に記されている多くの異なるコードは多くの法律によって保護されており、企業秘密、銀行秘密、個人データ、およびその他の法的に保護された情報を表しています。したがって、トラフィックでそれらを検出する問題は、あらゆる解決策の前提条件です。
ハッシュ関数
機密文書のサンプル用のさまざまなタイプのハッシュ関数は、1970年代から技術自体が存在していましたが、リーク保護市場ではかつては新しい単語と見なされていました。 欧米では、この方法は「デジタル指紋」と呼ばれることもあります。 科学的な俗語で「デジタル指紋」または「震え」。
すべての方法の本質は同じですが、各メーカーの特定のアルゴリズムは大幅に異なる場合があります。 一部のアルゴリズムは特許を取得しており、実装の独自性を確認しています。 アクションの一般的なシナリオは次のとおりです。機密文書のサンプルのデータベースが収集されています。 「インプリント」は、それらのそれぞれから取得されます。 意味のあるコンテンツがドキュメントから抽出され、通常のテキスト形式に縮小されます。次に、すべてのコンテンツとその部分(段落、文、5語など)のハッシュが削除されます。 、詳細は特定の実装によって異なります。 これらの指紋は特別なデータベースに保存されます。
傍受されたドキュメントは、同じ方法でサービス情報が消去され、通常の形式になります。その後、同じアルゴリズムを使用して指紋指紋が削除されます。 受け取った印刷物は機密文書の印刷物のデータベースで検索され、見つかった場合、その文書は機密と見なされます。 この方法は、サンプルドキュメントから直接引用を見つけるために使用されるため、このテクノロジーは「盗用防止」と呼ばれることもあります。
この方法の長所のほとんどは、短所でもあります。 まず第一に、これはサンプルドキュメントを使用するための要件です。 一方では、ユーザーはストップワード、重要な用語、およびセキュリティ担当者に完全に固有ではないその他の情報について心配する必要はありません。 一方、「パターンなし、保護なし」は、ラベルベースのテクノロジーの場合と同じように、新規および受信ドキュメントで同じ問題を引き起こします。 このテクノロジーの非常に重要な利点は、任意の文字シーケンスでの作業に重点を置いていることです。 これから、まず第一に、テキストの言語からの独立-象形文字でさえ、パシュトゥー語でさえ。 さらに、このプロパティの主な結果の1つは、非テキスト情報(データベース、図面、メディアファイル)から指紋を取得する可能性です。 ハリウッドスタジオやワールドレコーディングスタジオがデジタルストレージ内のメディアコンテンツを保護するために使用しているのは、これらのテクノロジーです。
残念ながら、低レベルのハッシュ関数は、署名の例で説明したプリミティブエンコーディングに対して堅牢ではありません。 語順の変更、段落の並べ替え、その他の「盗用者」のトリックに簡単に対処できますが、たとえば、ドキュメント全体で文字を変更するとハッシュパターンが破壊され、そのようなドキュメントはインターセプターから見えなくなります。
この方法のみを使用すると、フォームでの作業が複雑になります。 したがって、空のローン申請書は自由に配布される文書であり、完成したものは個人データが含まれているため機密情報です。 空のフォームから指紋を取得するだけの場合、傍受された完成したドキュメントには、空のフォームからのすべての情報が含まれます。 プリントはほぼ一致します。 したがって、システムは機密情報を通過させるか、空のフォームが自由に配布されるのを防ぎます。
上記の欠点にもかかわらず、この方法は、特に資格のある従業員を雇う余裕がないビジネスで広く使用されていますが、「すべての機密情報をこのフォルダに入れてよく眠る」という原則に基づいて動作します。 この意味で、それらを保護するために特定のドキュメントを要求することは、ラベルに基づくソリューションにいくぶん似ており、サンプルとは別に保存され、ファイル形式の変更、ファイルの一部のコピーなどのときに保存されます。 ただし、数十万のドキュメントが流通している大企業では、機密ドキュメントのサンプルを提供できないことがよくあります。 会社のビジネスプロセスはそれを必要としません。 すべての企業に存在する(または、より正直に言うと、そうあるべきである)唯一のものは、「企業秘密を構成する情報のリスト」です。 それからパターンを作ることは簡単な仕事ではありません。
制御されたコンテンツデータベースにサンプルを簡単に追加できることは、多くの場合、ユーザーに悪影響を及ぼすことがあります。 これにより、フィンガープリントベースが徐々に増加し、システムのパフォーマンスに大きな影響を与えます。サンプルが多いほど、傍受された各メッセージの比較が多くなります。 各プリントはオリジナルの5〜20%を占めるため、プリントのベースは徐々に大きくなります。 データベースがフィルタリングサーバーのRAMを超え始めると、ユーザーはパフォーマンスが急激に低下することに気付きます。 通常、この問題は、サンプルドキュメントを定期的に監査し、古いサンプルや重複するサンプルを削除することで解決されます。 実装を節約すると、ユーザーは操作を失うことになります。
言語学的方法
今日の最も一般的な分析方法は、テキストの言語分析です。 非常に人気があるため、口語的に「コンテンツフィルタリング」と呼ばれることがよくあります。 コンテンツ分析メソッドのクラス全体の特性を備えています。 分類の観点からは、ハッシュ分析と署名分析の両方、およびマスク分析は「コンテンツフィルタリング」です。 コンテンツ分析に基づくトラフィックフィルタリング。
名前が示すように、このメソッドはテキストでのみ機能します。 数字と日付のみで構成されるデータベース、特に図面、図面、お気に入りの曲のコレクションを保護するために使用することはありません。 しかし、テキストの場合、この方法は驚異的に機能します。
科学としての言語学は、形態学から意味論まで、多くの分野で構成されています。 したがって、言語学的な分析方法も互いに異なります。 ルートレベルでのみ入力されたストップワードのみを使用するメソッドがあり、システム自体はすでに完全な辞書をコンパイルしています。 テキストで遭遇する重みの分布に基づく用語があります。 統計に基づいた言語学的手法とそのインプリントがあります。 たとえば、ドキュメントが取得され、最も使用されている50の単語がカウントされ、各段落で最も使用されている10の単語が選択されます。 このような「辞書」は、テキストのほとんどユニークな特徴であり、「クローン」で意味のある引用を見つけることができます。
言語分析のすべての微妙な分析はこの記事の範囲内ではないため、長所と短所に焦点を当てます。
この方法の利点は、ドキュメントの数に完全に鈍感であるということです。 企業の情報セキュリティのスケーラビリティではまれです。 コンテンツフィルタリングベース(主要な語彙クラスとルールのセット)は、社内の新しいドキュメントやプロセスの出現に応じてサイズが変わることはありません。
さらに、ユーザーはこの方法で「ストップワード」との類似性に注意します。ドキュメントが遅延した場合、なぜこれが発生したのかがすぐにわかります。 指紋ベースのシステムがドキュメントが別のドキュメントと類似していると報告した場合、セキュリティ担当者は2つのドキュメントを自分で比較する必要があり、言語分析では、すでにマークアップされたコンテンツを受け取ります。 言語システムと署名フィルタリングは、インストール後すぐに会社を変更せずに作業を開始できるため、非常に一般的です。 タグ付けやフィンガープリント作成、ドキュメントのインベントリ作成、およびセキュリティ担当者のための他の非特定の作業を行う必要はありません。
不利な点も同様に明白であり、最初の不利な点は言語依存です。 製造元が言語をサポートしている各国では、これは不利ではありませんが、企業コミュニケーションの単一言語(英語など)に加えて、ローカルでより多くのドキュメントを持っているグローバル企業の観点からは各国の言語では、これは明らかに不利です。
もう1つの欠点は、タイプIIエラーの割合が高いことです。これを減らすには、言語学の分野での資格が必要です(フィルタリングベースを微調整するため)。 標準的な業界データベースでは、通常、80〜85%のフィルタリング精度が得られます。 これは、5文字または6文字ごとに誤って傍受されることを意味します。 ベースを許容可能な95〜97%の精度に設定することは、通常、特別に訓練された言語学者の介入に関連しています。 そして、フィルタリングベースの調整方法を学ぶには、2日間の自由時間と高校卒業生のレベルでの言語を話すだけで十分ですが、警備員を除いて、この作業を行う人は誰もいません。彼は通常、そのような作業は非中核であると考えています。 外部から人を引き付けることは常に危険です-結局のところ、彼は機密情報を扱う必要があります。 この状況から抜け出す方法は、通常、追加のモジュールを購入することです。これは、誤検知が「供給」され、標準の業界ベースに自動的に適応する自己学習型の「自動言語主義者」です。
言語的手法は、ビジネスへの干渉を最小限に抑えたい場合、情報セキュリティサービスに、ドキュメントを作成および保存するための既存のプロセスを変更するための管理リソースがない場合に選択されます。 上記の欠点はありますが、いつでもどこでも機能します。
偶発的なリークの人気のあるチャネルモバイルストレージメディア
InfoWatchのアナリストは、モバイルメディア(ラップトップ、フラッシュドライブ、モバイルコミュニケーターなど)は、データ暗号化ツールを無視することが多いため、偶発的なリークの最も人気のあるチャネルであると考えています。
偶発的なリークのもう1つの一般的な原因は、紙媒体です。たとえば、シートがプリンタを離れた後は「手動」でしか監視できないため、電子媒体よりも制御が困難です。紙媒体の制御は制御よりも弱いです。コンピュータ情報を介して。 多くの漏洩防止ツール(本格的なDLPシステムとは言えません)は、プリンタへの情報の出力チャネルを制御しないため、機密データが組織から簡単に漏洩します。
この問題は、印刷用の不正な情報の送信をブロックし、住所と宛先の対応を確認する多機能DLPシステムによって解決できます。
さらに、モバイルデバイスの人気の高まりにより、対応するDLPクライアントがまだないため、リークからの保護がはるかに困難になっています。 さらに、暗号化またはステガノグラフィの場合、リークを検出することは非常に困難です。 インサイダーは、ある種のフィルターをバイパスするために、常に「ベストプラクティス」をインターネットに頼ることができます。 つまり、DLPとは、組織化された意図的なリークからの保護が非常に不十分であることを意味します。
DLPツールの有効性は、明らかな欠陥によって妨げられる可能性があります。最新のリーク保護ソリューションでは、利用可能なすべての情報チャネルを制御およびブロックすることはできません。 DLPシステムは、企業の電子メール、Webの使用状況、インスタントメッセージング、外部メディア、ドキュメントの印刷、およびハードドライブのコンテンツを監視します。 しかし、SkypeはDLPシステムの制御不能のままです。 トレンドマイクロだけが、この通信プログラムの動作を制御できることを宣言できました。 残りの開発者は、対応する機能がセキュリティソフトウェアの次のバージョンで提供されることを約束します。
ただし、SkypeがプロトコルをDLP開発者に公開することを約束している場合、コラボレーションを整理するためのMicrosoft Collaboration Toolsなどの他のソリューションは、サードパーティのプログラマーには公開されません。 このチャネルを介した情報の送信を制御するにはどうすればよいですか? 一方、現代の世界では、スペシャリストがリモートでチームに団結して共通のプロジェクトに取り組み、完了後に崩壊するという慣習が発展しています。
2010年上半期の機密情報の漏洩の主な原因は、依然として商業組織(73.8%)と政府組織(16%)です。 リークの約8%は教育機関からのものです。 漏洩する機密情報の性質は個人データです(すべての情報漏洩のほぼ90%)。
世界のリークのリーダーは伝統的に米国と英国です(カナダ、ロシア、ドイツもリーク数が最も多く、発生率が大幅に低い上位5位に入っています)。これは、これらの国では、機密データの漏洩に関するすべてのインシデントを報告する必要があります。 Infowatchのアナリストは、来年は偶発的なリークの割合が減少し、意図的なリークの割合が増加すると予測しています。
実装の難しさ
明らかな困難に加えて、DLPシステムのさまざまなベンダーが保護の組織化に対する独自のアプローチを公言しているため、DLPの実装は適切なソリューションを選択することの難しさによっても妨げられています。 キーワードごとにコンテンツを分析するための特許取得済みのアルゴリズムを持っているものもあれば、デジタル指紋の方法を提供しているものもあります。 これらの条件で最高の製品を選択する方法は? より効率的なものは何ですか? 今日、DLPシステムの実装は非常に少なく、それらを使用するための実際のプラクティスはさらに少ないため、これらの質問に答えることは非常に困難です(信頼できる)。 しかし、それにもかかわらず実施されたこれらのプロジェクトは、コンサルティングが仕事と予算の範囲の半分以上を占めることを示しており、これは通常、経営陣の間で大きな懐疑論を引き起こします。 さらに、原則として、企業の既存のビジネスプロセスは、DLPの要件を満たすために再構築する必要があり、企業はこれを行うのが困難です。
DLPの導入は、規制当局の現在の要件にどの程度準拠するのに役立ちますか? 欧米では、DLPシステムの導入は、法律、規格、業界の要件、およびその他の規制によって動機付けられています。 専門家によると、海外で利用可能な明確な法的要件、要件を確保するためのガイドラインは、特別なソリューションの導入が規制当局からの主張を排除するため、DLP市場の真のエンジンです。 この分野ではまったく異なる状況にあり、DLPシステムの導入は法律の遵守に役立ちません。
企業環境でのDLPの導入と使用に対するインセンティブは、企業の企業秘密を保護し、連邦法「企業秘密について」の要件に準拠する必要がある場合があります。
ほぼすべての企業が「営業秘密に関する規則」や「営業秘密を構成する情報のリスト」などの文書を採用しており、それらの要件に従う必要があります。 「営業秘密に関する法律」(98-FZ)は機能しないという意見もありますが、企業幹部は営業秘密を保護することが重要かつ必要であることを十分に認識しています。 さらに、この認識は、「個人データに関する」法律(152-FZ)の重要性の理解よりもはるかに高く、保護について話すよりも、機密文書管理を導入する必要性を説明する方がマネージャーにとってはるかに簡単です。個人データの。
営業秘密の保護を自動化するプロセスでDLPを使用できない理由は何ですか? ロシア連邦の民法によれば、営業秘密保護制度を導入するためには、情報に何らかの価値があり、適切なリストに含まれている必要があるだけです。 この場合、かかる情報の所有者は、法律により機密情報を保護するための措置を講じることを義務付けられています。
同時に、DLPがすべての問題を解決できるわけではないことは明らかです。 特に、第三者への機密情報へのアクセスをカバーします。 しかし、これには他のテクノロジーがあります。 最新のDLPソリューションの多くはそれらと統合できます。 そして、この技術チェーンを構築する際に、企業秘密を保護するための作業システムを得ることができます。 このようなシステムは、ビジネスにとってより理解しやすくなり、リークプロテクションシステムの顧客として機能できるようになるのはビジネスです。
ロシアと西部
アナリストによると、ロシアはセキュリティに対する態度が異なり、DLPソリューションを提供する企業の成熟度も異なります。 ロシア市場は、セキュリティの専門家と高度に専門化された問題に焦点を当てています。 データ漏えい防止の人々は、どのデータが価値があるかを常に理解しているとは限りません。 ロシアでは、セキュリティシステムの組織化に対する「軍国主義」アプローチ:ファイアウォールを備えた強力な境界線であり、内部への侵入を防ぐためにあらゆる努力が払われています。
しかし、会社の従業員が職務を遂行するために必要とされない量の情報にアクセスできる場合はどうなるでしょうか。 一方、過去10〜15年間に欧米で形成されてきたアプローチを見ると、情報の価値に注目が集まっていると言えます。 リソースは、連続するすべての情報ではなく、貴重な情報が配置されている場所に向けられます。 おそらく、これは西側とロシアの間の最大の文化的違いです。 しかし、アナリストは状況が変化していると言います。 情報はビジネス資産として認識され始めており、進化するまでにはしばらく時間がかかります。
包括的な解決策はありません
100%リークプロテクションは、どのメーカーによってもまだ開発されていません。 DLP製品の使用に関する問題は、一部の専門家によって次のように定式化されています。DLPシステムで使用されるリークの処理経験を効果的に使用するには、リーク保護を提供するための多くの作業を顧客側で行う必要があることを理解する必要があります。彼よりも情報の流れをよく知っています。
他の人は、情報漏えいを防ぐことは不可能であると信じています。情報漏えいを防ぐことは不可能です。 情報は誰かにとって価値があるので、遅かれ早かれ受け取られるでしょう。 ソフトウェアツールを使用すると、この情報の取得にかかる費用と時間がかかる可能性があります。 これにより、情報とその関連性を所有するメリットが大幅に減少する可能性があります。 これは、DLPシステムの効率を監視する必要があることを意味します。
»今日、DLPシステム市場は、すべての情報セキュリティツールの中で最も急速に成長している市場の1つです。 しかし、国内の情報セキュリティ分野は世界の動向に追いついておらず、わが国のDLPシステム市場には独自の特徴があります。
DLPとは何ですか?どのように機能しますか?
DLPシステムの市場について話す前に、そのようなソリューションに関して実際に何を意味するのかを決定する必要があります。 DLPシステムは、機密情報の漏洩から組織を保護するソフトウェア製品として一般的に理解されています。 略語DLP自体は、データ漏洩防止、つまりデータ漏洩防止の略です。
このようなシステムは、組織の周囲に安全なデジタル「境界」を作成し、すべての送信情報、場合によっては受信情報を分析します。 制御される情報は、インターネットトラフィックだけでなく、他の多くの情報フローでもある必要があります。外部メディアで保護されたセキュリティループの外に持ち出され、プリンタで印刷され、Bluetooth経由でモバイルメディアに送信されるドキュメントなどです。
DLPシステムは機密情報の漏洩を防止する必要があるため、傍受されたトラフィックで検出されたドキュメントの機密性の程度を判断するためのメカニズムが組み込まれている必要があります。 原則として、2つの方法が最も一般的です。特別なドキュメントマーカーを解析する方法と、ドキュメントのコンテンツを解析する方法です。 現在、2番目のオプションは、送信前にドキュメントに加えられた変更に耐性があり、システムが処理できる機密ドキュメントの数を簡単に拡張できるため、より一般的です。
「サイド」DLPタスク
DLPシステムは、情報漏えいの防止に関連する主なタスクに加えて、人事アクションの制御に関連する他の多くのタスクを解決するのにも適しています。
ほとんどの場合、DLPシステムは、次の非コアタスクを自分で解決するために使用されます。
- 従業員による労働時間と労働資源の使用を監視する。
- 組織に害を及ぼす可能性のある「覆面」闘争を特定するために、従業員のコミュニケーションを監視する。
- 従業員の行動の正当性の管理(偽造文書の印刷の防止など)。
- 空いているポジションのスペシャリストを迅速に検索するための履歴書を送信する従業員の識別。
多くの組織がこれらのタスクの多く(特に労働時間の使用の制御)を情報漏えいからの保護よりも優先度が高いと考えているという事実のために、これのために特別に設計された多くのプログラムが生まれましたが、一部の組織ではケースは、組織をリークから保護する手段としても機能します。 このようなプログラムを本格的なDLPシステムと区別するのは、傍受されたデータを分析するための高度なツールがないことです。これは、情報セキュリティの専門家が手動で実行する必要があり、非常に小規模な組織(最大10人の管理対象従業員)にのみ便利です。