次世代 データ セキュリティ

従来のテクノロジー
従来のテクノロジーは、デバイス/ファイルの保護に重点を置いている。 従来のDLPは、ファイルがデバイスから離れないようにするか、ファイルをUSBドライブにコピーする機能をブロックするか、名前を付けて保存する機能をブロックする。

従来のテクノロジーの致命的欠点は、従業員が、データの分類方法、何を保護するかを決定することである。 ところが、従業員は、これらの決定を下すのが得意ではない。 ほとんどの従業員は、顧客、パートナー等、外部にレポートを送信するような作業を行うのに最も簡単な方法でデータを分類する。 従業員が意思決定に熱心であっても、今日重要なデータが明日重要ではないかも知れないし、さらに、今日重要ではないデータが明日重要になるかも知れない。

この保護モデルは、「オプトイン」である。

DASB
DASBによる保護は、ファイルまたはデバイスに関連付けられていない。 リムーバブルメディア、クラウドストレージ等、ファイルをどこにでも移動できる。 データは、保存時、転送時、使用時に、永続的に保護される。 権限のないユーザーは、保護されたドキュメントにアクセスできない。

要するに、DASBは、反対のアプローチを採っている。 あらゆるものがデフォルトで保護され、許可されたユーザのみ、ビジネスで必要な場合、保護を解除する権利が与えられる。 このことが、従業員をセキュリティで同じ立場に置く。

従業員に保護を解除し、顧客にデータを送信する正当な理由がある場合、その行動は、監査、コンプライアンスのために記録される。

この保護モデルは、「オプトアウト」である。

保護の一例
権限のあるユーザが、保護されたスプレッドシートを開き、その中のデータを プレゼンテーション ファイルにコピーした場合、プレゼンテーション ファイルは、元のスプレッドシートと同じ許可で、自動的に保護される。

この機能は、「MagicDerivative」として実現されている。

名前を付けて保存する場合、新しいファイルの内容が保護されているファイルの内容に似ているため、保護されたファイルとして自動的に作成される。 ユーザがドキュメントのコンテンツを手動で再作成した場合でも、新しいドキュメントは保護される。

ディスク暗号化
デバイス上のデータのみを保護する。 データがマシンから移動する時、データは復号される。 従って、これは、デバイスの紛失/盗難のみのサポートを意味する。

ファイル暗号化
暗号化ソリューションがどれほど高度かに関係なく、データは復号され、受信者は復号されたファイルを持つことになる。 受信者がデータを紛失した場合、悪意のあるユーザが復号されたデータを他のユーザに送信した場合、これを防ぐ方法は無い。

IRM
IRMは、アプリケーション統合に焦点を当てているため、問題はファイル暗号化に似ている。 アプリケーショがデータを使用するために、データが復号される。 Microsoft Azure Information Protectionであっても、Officeアプリケーションが作成する一時ファイルを保護しない。 マイクロソフトの提案は、ディスク暗号化も実装することである。 低レベルのハッカーであっても、新しい一時ファイルを検出し、リモートサーバに自動的に送るマルウェアを書くことができる。 これは、大きな保護ギャップである。

従来のDLP
従来のDLPは、既知のデバイス、ネットワークへ、データを入れようとする。 この哲学は、BYOD(Bring Your Own Device)、クラウドファーストの環境とは合致しない。 データは、自由に移動する必要がある。 さらに、従来のDLPは、IRMと同様、分類が必要である。 分類は、脆く、頼りにならない。

問合せ


【開発元】SecureCircle, LLC https://securecircle.com/
【輸入元】先端技術研究所 http://www.ART-Sentan.co.jp/ KHB16427@nifty.ne.jp 045-978-1292