クラウドにおけるDLPはなぜ重要なのか？

アナンド・ラマナサン（最高製品責任者、Skyhigh Security）

2022年7月20日 3 分で読めます

Skyhigh Securityが毎月お届けする「Ask Me Anything」シリーズの最初のブログへようこそ！皆様のオーディエンスから、緊急のセキュリティ関連の質問をLinkedInまたはTwitterでダイレクトメッセージまたは当社の投稿へのコメントとしてお寄せください。

今回のテーマはData Loss Prevention (DLP)です。DLPに関する2つの質問を投票にかけました。

1. 規制のない環境でDLPは本当に必要か？ (46%)
2. クラウドにおけるDLPが重要な理由 (54%)

弊社のオーディエンスの大多数が「クラウドにおけるDLPが重要な理由」を選択しました。詳しく見ていきましょう。

場所を選ばない働き方が普及した現代において、組織はクラウド上のデータをますます活用しています。これは、Microsoft 365、Dropbox、SlackのようなSaaSビジネスアプリケーションでの日常的な利用から、Amazon Web Services (AWS) のようなパブリッククラウドプラットフォーム上の独自ソフトウェアまで多岐にわたります。データが企業ネットワークの境界内で保護されなくなったため、誤用、盗難、偶発的な損失に対して脆弱になっています。

適切なクラウドData Loss Prevention (DLP)ソリューションで、転送中および保存中のデータを保護することは不可欠です。クラウド環境を保護するために、Security Service Edge (SSE)ソリューションを検討されたことでしょう。利用可能なクラウド提供型セキュリティサービスを検討する際には、DLP機能について尋ねてください。選択したソリューションが、すべてのデバイスおよびすべてのSSEコンポーネントで同じ企業ポリシーを適用し、一貫した統合データ保護を提供することを確認したいはずです。

クラウドセキュリティインフラストラクチャに包括的なDLPソリューションを組み込む必要があるのは、次の理由からです。

• 機密データは、シャドーITアプリケーションにアップロードされたり、そこから持ち出されたりする可能性があります。
  ユーザーが同僚と共同作業を行ったり、生産性を維持したりするために、IT部門によって承認されていないクラウドアプリケーションやサービスにアクセスすることを許可する柔軟なポリシーを持つことは、何ら問題ありません。しかし、貴重な企業データを保護することは重要です。これを実現する最善の方法は、ネットワークレベルでインラインで動作し、トラフィックを流れる機密データを監視するSecure Web Gateway (SWG)に企業ポリシーを適用することです。

• 承認されている場合でも、すべてのデータがすべてのクラウドアプリケーション間で共有されるべきではありません。
  ユーザーはほぼ毎日、信頼できる承認済みクラウドサービスにアクセスしていますが、すべてのユーザーがすべてのアプリケーション間で機密データを共有することを必ずしも望まないでしょう。例えば、経理部門がMicrosoft 365 Excel内の機密財務情報を他の事業部門と共有することは望まないはずです。そこで、堅牢なCloud Access Security Broker (CASB)の出番です。CASBは、クラウドに保存されている、使用中の、または転送中の機密データを検出し、ポリシーに基づいて共有をブロックします。CASBは、ユーザーID、サービス、アプリケーション、アクティビティ、場所、またはエンドポイントに基づく制御を備えており、ランサムウェアやマルウェアのようなクラウドベースの脅威を検出できます。

• 公共クラウドプラットフォームで開発された社内アプリケーションは、アプリケーション内および開発環境においてデータ制御が不足していることがよくあります。
  貴社の社内DevOpsは、AWSやMicrosoft Azureなどの公共クラウドプラットフォームでアプリケーションを作成およびデプロイしている可能性が高いです。これらのクラウドアプリケーションが安全であると思い込む罠に陥らないでください。問題は、開発者がS3バケットを書き込み可能な形式のままにしておく傾向があることです。これは、これらのアプリケーションで使用される機密データが露出され、悪用される可能性があることを意味します。貴重なデータが悪意のある者の手に渡った場合、最終的に貴社が侵害の責任を負うことになります。これをどのように防ぎますか？Cloud-Native Application Protection (CNAPP) は、公共クラウドまたはあらゆるマルチクラウド環境に保存されている機密データへの可視性を提供します。これらのアプリケーションにおける脆弱性、潜在的に危険な行動、マルウェアを特定し、脅威を自動的に修復します。アプリケーションを完全に強化するために、CNAPPは公共クラウドプロバイダー、アプリケーション、データ全体のリスクを発見、分類、優先順位付けすることで、開発者がクラウドアプリケーションとワークロードのセキュリティを統合および維持するのを支援します。

• 企業支給のデバイスが承認済みアプリケーションにアクセスする場合でも、リモート接続はデータを危険にさらします。
  組織がリモートまたはハイブリッドワークフォースをサポートしている場合、VPNが何千ものオフサイト従業員に効率的で安全な接続を提供することを意図していなかったという事実に、すでにお気づきでしょう。VPNはデータ保護においても不十分であり、費用もかさみます。多くの組織は、「決して信頼せず、常に検証する」という原則に基づいて動作するZero Trust Network Access (ZTNA)ソリューションを採用しています。ZTNAは、アクセスを許可する前に、ユーザー、デバイス、および接続の信頼属性を最初に判断することで、ユーザーをプライベートアプリケーションに接続します。しかし、データ保護に関しては、すべてのZTNAソリューションがコンテキストを考慮するわけではありません。例えば、従業員の1人が承認済みアプリケーションにアクセスしたいが、その企業ラップトップに最新のアンチウイルスアップデートがないとします。ZTNAに統合されたDLPエンジンがあれば、これらのユーザーのアクセスをブロックする必要はありません。代わりに、Remote Browser Isolation (RBI)セッションにルーティングすることで、ラップトップが更新されるまでアプリケーションを閲覧できますが、機密データをダウンロードすることはできません。

DLPテクノロジーは、真に堅牢なSSEソリューションにとって必須です。Skyhigh SecurityのクラウドにおけるDLPへのアプローチは、すべての要件を満たしています。

• クラウドネイティブで統合されたポリシーを、すべてのデータ流出経路およびSWG、CASB、ZTNA、RBIといったすべてのSSEコンポーネントにわたって統合。
• データ流出を防止するためにポリシーとセキュリティ制御を適用する、組み込みのインテリジェンス。
• 単一の、一元化された管理およびレポートプラットフォーム。
• 組織におけるあらゆる利用形態に対応する多層的なセキュリティ技術。

詳細については、こちらをクリックしてください。

ブログへ戻る