DLP(データ漏洩防止)との比較

デバイス保護
DLP
デバイス上にデータを保持することを目的としており、電子メール、USBへのコピー等、出力を追跡する。 これは、デバイスから出力されるデータのオプションが2つしかないためである。
(1)データを保護されないままにしておく。
(2)データを暗号化する。
データを暗号化する場合、ファイルの暗号化で保護される。 データが受信者によって復号されると、データがどこへ行ったか制御できなくなる。 DASB
ユーザとデバイスのアクセス権を追跡する。 紛失、盗まれたデバイスの場合、デバイスを完全に無効にすることができる。
データの移動を止ることはない。 目標は、透過的であることである。 ユーザは大きなファイルをメール送信できないが、Dropboxに大きなファイルを送信することはできる。
すべての保護されたデータは、デバイスを離れる時、保護されたままになる。 受信者がアクセス権を持っている場合、通常どおりにファイルにアクセスする。 アクセス権持っていない場合、データにアクセスできない。

コピー、プリント、キャプチャ
DLP
分類とフィンガープリントに基づいている。 これらは、非常に脆弱な識別子である。 結果として、コピー&ペースト、名前を付けて保存をブロックする。 保護されたデータは、ドキュメントから離れることができない。 これは、ユーザに大きな負担をかける。 また、作業を完了するため、別々のワークフローを強制される。 セキュリティは、従業員の主な関心事ではない。
同様に、印刷、画面キャプチャをブロックする。
DASB
データ中心で、コンテンツに従う。 データは、コピー&ペースト、名前を付けて保存で、ファイル間を自由に動くことができる。 保護されたファイルのデータが新規/その他のファイルで検出されると、そのファイルは、元のコンテンツと同じアクセス権で自動的に保護される。 ユーザは、データへのアクセス権がある限り、セキュリティがデータをフォローしていることに気付かない。
幅広い保護の問題を解決することを目的としている。 レガシーDLPは、限られた量のデータに多くの保護機能を適用することにより、保護の問題の深さに焦点を当てている。
印刷ブロック機能を持っていない。 印刷を監視、ログするサードパーティの印刷プロキシソリューションはたくさんある。 企業は、プロキシ経由でのみ印刷するように強制できる。
画面キャプチャも許可されている。 スクリーンキャプチャ付きのニュースファイルが作成されると、ファイルは既存の保護されたドキュメントと比較され、MagicDerivativeによって保護することもできる。
MagicClipboardを介してクリップボードのきめ細かい制御を提供しており、顧客の必要に応じて、コピー&ペーストを許可、拒否できる。 保護されたコンテンツは、保護されたファイル、アプリケーションにのみ貼り付けることを許可する。 コピーしたデータを未承認のアプリケーションに貼り付けることはできない。

Webセキュリティ / URLフィルタリング
DLP
ルールの一部として、URLに基づいて設定される。
DASB
ファイアウォールと同様に管理されるネットワークポリシーがある。
管理者は、Microsoft Wordが保護されたデータへアクセスすることを許可するが、OneDriveへデータを送信することを無効にする。
ユーザは、Filezillaを使用して、リモートオフィスから本社のファイルサーバにファイルをFTP転送できる。 ただし、他のIPアドレスにFTP転送することはできない。
ネットワークポリシーを設定し、受信と送信の両方のデータ転送パスを制限できる。

コンテンツ監視
DLP
ファイルにインデックスを付けて、社会保障番号、クレジットカード、電子メールアドレス等、データパターンを探す。 これは、非常に脆弱な分類方法で、name@email.comを、nameATemailDOTcom等、検出されない別の形式に置き換える方法を見つけることができる。 従って、考えられるバリエーションごとに作成されたルールを必要とする。
DASB
識別子、キーワードのデータをスキャンしない。 コンテンツとともに、デジタルDNA(dDNA)を追跡する。
これは、コピー&ペーストを可能にする方法である。 ファイル間を移動するdDNAを追跡し、以前に保護されたdDNAから作成された新しいファイルを保護する。
dDNAは、登録済みの2つの特許の1つである。
dDNAは、ファイルの系統を追跡し、ファイルの親、類似性の割合を特定することもできる。

メール セキュリティ
DLP
メールの件名、本文、添付ファイルをスキャンし、メールの許可/拒否ルールを適用する。
DASB
電子メールをスキャンしない。
添付ファイルは保護されており、受信者はファイルを開くアクセス権を持っていなければならない。
銀行から顧客に財務レポートを送信する等、安全な転送の使用例では、SecureSendがある。 SecureSendは、電子メール、リムーバブルメディアを含む他の方法を介してのファイルの安全な転送を可能にする。 受信者が2ファクタ認証を介して識別を確認すると、保護されていないデータを受信する。

ユーザーの介在
DLP
データを作成時に分類する必要がある。 作業能力を妨げる保護機能を回避する必要がある。 これにより、機能が妨げられる。
オプトイン方式のセキュリティである。
DASB
アクセス権を持ち、セキュリティガイドラインに従うユーザは、透過的なワークフローとなる。
データにアクセスする権限を持っていない場合、または、許可されていないIPアドレス/ホスト対して、あるいは承認されていないインターネットからダウンロードしたアプリケーションを使用してデータを送信しようとしたりする等、セキュリティポリシーに従っていない場合にのみ、エラーが表示される。
オプトアウト方式のセキュリティである。
保護を削除する正当な理由がある場合、承認されたユーザは保護を削除でき、そのアクションは監査とコンプライアンスのためにログされる。

システム運用/管理
DLP
ポリシーはルールによって管理されるため、管理は複雑である。 ルールは、許可、拒否するために割り当てられたすべてのトリガー、アクションに対して設定する必要がある。
ルールは、すべてのアプリケーション、ワークフローに対して作成する必要がある。
管理の複雑さのため、Symantec DLP管理者ガイドは。2500ページ以上ある。
非常に熱心な管理者であっても、すべてのルールを適切に実装することはできない。 これが、レガシーDLPがニュースの見出しに出てくるすべてのデータ侵害を阻止できない理由である。
DASB
例外により管理される。 すべてがデフォルトで保護され、データがセキュリティから出ることを許可される必要があるケースのみ管理する。
ビジネスがデータを保護する必要が無い場合を決定する。
管理者は、APIを介して、既存のワークフローに自動化することができる。
独立してデプロイすることも、キーサーバ、Active Directory/LDAP、SIEM、高可用性データベース等、既存のインフラストラクチャに統合することもできる。
通常、Active Directoryを介して、IDとアクセスを管理する。
必要な継続的な管理は、ごくわずかである。

レポーティング
DLP
ルール違反等、標準的なインシデントについて報告する。
DLP出力に基づいて行われる。 デバイス上で何にアクセスしているかの実態を提供しない。 デバイスからデータを出そうとした場合のみ追跡する。
データスキャンがルールをトリガーしない場合、データは通過を許可される。 何のデータが転送されたか確認することはできず、データがルールをトリガーしなかったかだけ確認できる。
DASB
アクセス/拒否レポートを提供できるだけでなく、データについてレポートすることもできる。
dDNAがファイル間を移動するときに追跡されるため、特定のファイルに類似したすべてのファイルについてレポートできる。 さらに、これらのファイルにアクセスしたすべてのユーザ、デバイス、アプリケーションのリストを提供する。
ログ情報は、収集、レポートのために、任意のSIEM、syslogアグリゲーターに送信できる。



技術依存関係
DLPは、分類に基づいており、「機密」、「内部のみ」、「Cxxのみ」等、タグが必要である。 分類が古くなった場合、保護の露出度が大きくなる。 分類は、通常殆ど手動で行われるため、極めて脆弱である。 発見は、すべてのデータが、既知の場所で作成、保存、消費される場合のみ機能する。 今日のクラウドサービスでは、管理することは殆ど不可能である。
SecureCircleは、発見、分類を必要としないので、ソリューションの運用コストを劇的に低下させる。
管理モデル
DLPは、すべての許可されたアクションに対して、ルールを設定しなければならない。 ADグループのユーザXYZは、「機密」の分類で顧客ABCにメールでファイルを送信できる。 これは、一般的なDLPルールである。 顧客ABCは、アウトソーシングされた法的サポートのような信頼できるサードパーティである。 これは、数百、数千のルール作成につながり、管理の悪夢となる。 これはまた、新しいDLPルールが制定されるまで、弁護士ZZZに機密情報を送るような、新しいワークフロー妨げることになる。
SecureCircleは、はるかに単純である。 デフォルトですべてが保護されているので、データを保護したくない場合にのみ、例外を管理すればよい。 これは、非常に少ない使用事例なので、管理がはるかに簡単である。 例えば、デバイスからのすべてのバックアップを保護せずに保存する場合、保護を手動で解除すればよい。
保護モデル
DLPは、オプトインである。 何を保護するかを決めることができる。 これは、発見と分類で始まる。 ユーザは、ドキュメントが、「機密」、「内部のみ」等、決定する必要がある。 これは、間違い、悪意のある行動につながる。 今日重要なことは、明日重要でなくなる。大事なのは、今日重要でないことが、明日重要になることである。
SecureCircleは、オプトアウトである。 エンドユーザ、管理者のオーバヘッドが非常に小さいため、顧客は、すべての情報をデフォルトで保護できる。 そして、保護が削除されるべきタイミングを決定することのみ考えればいい。 これは、管理が非常に容易で、より多くのデータを保護し、悪意、あるいは偶発的な損失などの内部関係者の脅威に対して保護する。

問合せ


【開発元】SecureCircle, LLC https://securecircle.com/
【輸入元】先端技術研究所 http://www.ART-Sentan.co.jp/ KHB16427@nifty.ne.jp 045-978-1292