クラウドにおけるDLPはなぜ重要なのか？

アナンド・ラマナサン - 最高製品責任者、Skyhigh Security

2022年7月20日 3 分読み

月刊Skyhigh Security "Ask Me Anything "シリーズの最初のブログへようこそ！LinkedInやTwitterのダイレクトメッセージや投稿へのコメントを通じて、セキュリティ関連の燃える質問をお寄せください。

今回のテーマはData Loss Prevention （DLP）。DLPに関する2つの質問を投票にかけました：

1. 規制のない環境でDLPは本当に必要なのか？(46%)
2. なぜクラウドのDLPは重要なのか？(54%)

なぜクラウドのDLPが重要なのか？さっそく見ていきましょう。

Microsoft 365、Dropbox、SlackなどのSaaS型ビジネスアプリケーションや、Amazon Web Services（AWS）などのパブリッククラウドプラットフォーム上の独自ソフトウェアなど、今日の「どこからでも仕事ができる」世界では、クラウド上のデータを利用する機会がますます増えています。データはもはや企業ネットワークの境界の4つの壁の中で保護されていないため、誤用、盗難、偶発的な損失に対して脆弱な状態になっています。

適切なクラウドData Loss Prevention （DLP）ソリューションで、移動中と停止中のデータを保護することは不可欠です。クラウド環境のセキュリティを確保するために、Security Service Edge （SSE）ソリューションを検討されたことがあると思います。利用可能なクラウド提供のセキュリティ・サービスを検討する際には、DLP機能について尋ねてみてください。選択したソリューションが、すべてのデバイスとすべてのSSEコンポーネントに同じ企業ポリシーを適用し、一貫性のある統一されたデータ保護を提供するものであることを確認してください。

ここでは、クラウドセキュリティインフラに組み込まれた包括的なDLPソリューションが必要な理由を説明します。

• 機密データがシャドーITアプリケーションにアップロードされたり、シャドーITアプリケーションから流出したりする可能性があります。
  同僚との共同作業や生産性を維持するために、IT部門が許可していないクラウドアプリケーションやサービスにユーザーがアクセスすることを許可する柔軟なポリシーを持つことは悪いことではありません。しかし、貴重な企業データは確実に保護したいものです。そのための最善の方法は、Secure Web Gateway （SWG）に企業ポリシーを適用することです。SWGはネットワーク・レベルでインライン動作し、機密データがトラフィックを流れる際に監視します。

• たとえ認可されていても、すべてのデータをすべてのクラウドアプリケーションで共有すべきとは限りません。
  ユーザーはほぼ毎日、信頼できる認可されたクラウド・サービスにアクセスしていますが、必ずしもすべてのユーザーがすべてのアプリケーションで機密データを共有することを望んでいるわけではありません。例えば、経理部門がMicrosoft 365 Excel内の機密財務情報を他の事業部門と共有することは、おそらく望まないだろう。そこで、堅牢なCloud Access Security Broker （CASB）の出番となる。CASBは、クラウド上に保存、使用中、または移動中の機密データを検出し、ポリシーに基づいて共有をブロックする。CASBは、ユーザーID、サービス、アプリケーション、アクティビティ、場所、またはエンドポイントに基づいて制御し、ランサムウェアやマルウェアのようなクラウドベースの脅威を検出することができます。

• パブリック・クラウド・プラットフォーム上で開発された社内アプリケーションでは、アプリケーション内や開発環境でのデータ管理が不十分なことがよくあります。
  社内のDevOpsは、AWSやMicrosoft Azureなどのパブリック・クラウド・プラットフォームでアプリケーションを作成し、デプロイしている可能性が高い。このようなクラウドアプリケーションは安全だと考えてはいけません。問題は、開発者がS3バケットを書き換え可能なフォーマットで残しがちだということです。つまり、これらのアプリケーションで使用される機密データはすべて公開され、悪用される可能性があるということだ。貴重なデータが悪用された場合、最終的にはあなたの組織が侵害の責任を負うことになる。Cloud-Native Application Protection (CNAPP)は、パブリッククラウドやマルチクラウド環境に保存された機密データを可視化します。これらのアプリケーションの脆弱性、潜在的にリスクのある動作、マルウェアを特定し、脅威を自動的に修復します。アプリケーションを完全に強化するために、CNAPPは、パブリッククラウドプロバイダー、アプリケーション、データ全体のリスクを検出、分類、優先順位付けすることで、開発者がクラウドアプリケーションとワークロードのセキュリティを統合して維持できるようにします。

• リモート接続は、企業支給のデバイスが承認されたアプリケーションにアクセスする場合でも、データを危険にさらします。
  リモートワークやハイブリッドワーカーをサポートする組織であれば、VPNは何千人ものオフサイト従業員に効率的で安全な接続を提供するためのものではないということに、すでに気づいているはずです。zero trust network access VPNはデータ保護にも欠け、コストがかかることは言うまでもない。多くの組織が、「Never trust.ZTNAは、"Never trust.ZTNAは、アクセスを許可する前に、まずユーザー、そのデバイス、接続の信頼属性を判断することで、ユーザーをプライベート・アプリケーションに接続します。しかし、データ保護に関しては、すべてのZTNAソリューションがコンテキストに注目しているわけではありません。しかし、データ保護に関しては、すべてのZTNAソリューションがコンテキストに注目しているわけではありません。例えば、ある社員が許可されたアプリケーションにアクセスしたいが、その社員のノートパソコンには最新のウイルス対策アップデートがないとします。ZTNAにDLPエンジンが統合されていれば、このようなユーザーのアクセスをブロックする必要はありません。その代わりに、Remote Browser Isolation (RBI)セッションにルーティングすることができます。そこでは、ラップトップがアップデートされるまで、アプリケーションを見ることはできますが、機密データをダウンロードすることはできません。

DLPテクノロジーは、真に堅牢なSSEソリューションの必須条件です。Skyhigh SecurityクラウドにおけるDLPのアプローチは、すべてのボックスをチェックします：

• すべてのデータ流出ベクターとすべてのSSEコンポーネントに統合されたクラウドネイティブの統一ポリシー：SWG、CASB、ZTNA、およびRBI
• データ流出を防ぐためにポリシーとセキュリティコントロールを適用するインテリジェンスを内蔵しています。
• 一元化された管理・報告プラットフォーム
• 組織で起こりうるあらゆる用途に対応する多層的なセキュリティ技術

詳しくはここをクリック。

ブログへ戻る