データ漏洩防止DLP技術の徹底分析

企業におけるデータ保護について語るとき、人々はよく文書を思い浮かべるかもしれません。しかし、文書の内容に注目する人はほとんどいません。データの管理も比較的簡単で、通常は完全な暗号化と完全な認証が行われ、文書の重要性を区別していません。社会の発展に伴い、文書の形式は増加し、セキュリティインシデントの継続的な発生により、データに対する人々の関心は変化しました。データも構造化データと非構造化データに分けられます。人々は文書の内容に含まれる機密情報、文書を使用するアプリケーション、および異なる種類の文書と異なる内容の文書の管理と保存方法にさらに注意を払います。

これまでのデータ管理は、主に強力な管理で行われ、すべてのデータを直接隔離または暗号化していました。これをケージ型またはシャックル型の管理と呼んでいますが、これはデータの実際の生成、使用、流通に多くの不要なトラブルをもたらしました。人々はより柔軟なデータ処理方法を必要としています。このとき、インテリジェントなデータセキュリティ管理が誕生しました。企業の管理者は、データの重要度に応じて、的を絞った方法でデータを管理できます。

データ漏洩防止の中核機能

DLP とは何ですか?文字通り「データ漏洩（損失）防止」と翻訳され、その中核機能はコンテンツ識別であり、データの防止と制御にまで拡張できます。具体的には、コンテンツ認識に必要な認識機能には、キーワード、正規表現、ドキュメント フィンガープリント、正確なデータ ソース (データベース フィンガープリント)、サポート ベクター マシンなどがあります。各機能について、複数の複合機能が導出されます。

DLP には、ネットワーク保護や端末保護などの保護機能も必要です。ネットワーク保護は主に監査と制御に基づいています。監査と制御機能に加えて、端末保護には従来のホスト制御機能、暗号化、および権限制御機能も含める必要があります。

一般的に、DLP は実際には複雑なシステムです。最終的な効果は、インテリジェントな検出、インテリジェントな暗号化、インテリジェントな管理と制御、インテリジェントな監査です。また、データ漏洩防止ソリューションの完全なセットでもあります。

データ漏洩防止の構成要素

次の図は、DLP の物理的な構成と、組織内でのさまざまなモデルの配置を示しています。 「ネットワーク DLP」製品は DMZ 内に存在することが多く、他の製品は企業 LAN またはデータ センター内に存在することがよくあります。 Endpoint DLP 製品を除き、他のすべての製品はサーバーベースです。

データ漏洩防止のための一般的な技術

データの損失を防ぐには、保存場所、複製場所、転送場所に関係なく、あらゆる種類の機密データを正確に検出する必要があります。正確な検出がなければ、データ セキュリティ システムは多くの誤検知 (違反していないメッセージまたはファイルが違反していると識別される) と誤検知 (違反しているメッセージまたはファイルがポリシー違反として識別されない) を生成します。誤報は、明らかなインシデントをさらに調査して解決するために必要な時間とリソースを大幅に浪費する可能性があります。報告が不足すると、セキュリティ侵害が隠蔽され、データの損失、潜在的な経済的損失、法的リスク、組織の評判の失墜につながる可能性があります。したがって、これを保証するには正確な検出技術が必要です。最高の精度を確保するために、DLP は 3 つの基本検出テクノロジと 3 つの高度な検出テクノロジを使用します。

基本的な検出技術

通常、基本的な検出テクノロジには、正規表現検出 (識別子)、キーワードとキーワード ペアの検出、ドキュメント属性検出の3 つがあります。基本的な検出方法では、従来の検出技術を使用してコンテンツを検索および照合します。最も一般的なのは正規表現とキーワードです。この 2 つの方法では、明確な機密情報コンテンツを検出できます。ドキュメント属性検出では、主にドキュメントの種類、ドキュメントのサイズ、ドキュメント名を検出します。ドキュメントの種類の検出は、単にサフィックス名の検出に基づくのではなく、ファイル形式に基づいています。サフィックス名を変更するシナリオでは、ファイルの種類検出によって、検出されたファイルの種類を正確に検出できます。現在、100 を超える標準ファイルの種類をサポートしており、カスタム機能を使用して特殊なファイルの種類形式のドキュメントを識別することができます。

高度な検出技術

高度な検出技術には、完全データマッチング（EDM）、指紋文書マッチング（IDM）、ベクトル分類マッチング（SVM）の3つの方法もあります。 EDM は、顧客や従業員のデータベース レコードなど、通常は構造化された形式のデータを保護するために使用されます。 IDM と SVM は、Microsoft Word や PowerPoint ドキュメントなどの非構造化データを保護するために使用されます。 EDM、IDM、SVM の場合、機密データはまず企業によって識別され、次に DLP によってその特性が識別され、正確かつ継続的に検出されます。特性評価プロセスには、DLP によるテキストとデータへのアクセスと取得、正規化、および不可逆的なスクランブルを使用した保護が含まれます。

DLP 検出は、ファイル自体ではなく、実際の機密コンテンツに基づいています。そのため、DLP は機密データの検索用語や派生用語を検出できるだけでなく、ファイル形式が特性情報形式と異なる機密データも識別できます。たとえば、機密の Microsoft Word 文書の特性が特定されている場合、DLP は、その文書が PDF 添付ファイルとして電子メールで送信されたときに、同じコンテンツを正確に検出できます。

正確なデータ比較

Exact Data Matching (EDM) は、顧客データや従業員データ、および通常はデータベースに保存されるその他の構造化データを保護します。たとえば、顧客は、EDM 検出を使用してメッセージ内の「名前」、「社会保障番号」、「銀行口座番号」、または「電話番号」のいずれか 3 つを検索し、それらを顧客データベース内のレコードにマッピングするポリシーを作成する場合があります。

EDM では、特定の列内のデータ列の任意の組み合わせに基づいて検出を行うことができます。つまり、特定のレコード内の M 個のフィールドのうち N 個のフィールドを検出できます。これは、「値グループ」または指定されたデータ タイプのセットでトリガーできます。たとえば、名前と ID 番号の 2 つのフィールドの組み合わせは受け入れることができますが、名前と携帯電話番号の 2 つのフィールドの組み合わせは受け入れることができません。

各データ ストレージ グリッドごとに個別のシャッフル番号が保存されるため、単一の列からマップされたデータのみが、異なるデータの組み合わせを探す検出戦略をトリガーできます。たとえば、EDM ポリシーが「名前 + ID 番号 + 携帯電話番号」の組み合わせを要求する場合、「Zhang San」+「13333333333」「110001198107011533」はこのポリシーをトリガーできます。ただし、「Li Si」も同じデータベースに存在する場合でも、「Li Si」+「13333333333」「110001198107011533」はこのポリシーをトリガーできません。 EDM は、起こりうる誤検知の状況を減らすために近接ロジックもサポートしています。検出中に処理される自由形式のテキストの場合、単一の特徴列内のすべてのデータは、一致と見なされるためにはそれぞれ設定可能な単語の範囲内にある必要があります。たとえば、デフォルトでは、検出された電子メール本文のテキストで、「张三」+「13333333333」および「110001198107011533」の単語数が、選択した範囲内にある場合にのみ一致となります。表形式のデータを含むテキスト (Excel スプレッドシートなど) の場合、単一の特徴列内のすべてのデータが一致と見なされるためには、表形式のテキストの同じ行にある必要があり、全体的な誤検知が減少します。

指紋文書の比較

指紋ドキュメント マッチング (IDM) により、Microsoft Word や PowerPoint ファイル、PDF ドキュメント、財務、M&A ドキュメント、その他の機密情報や独自情報などのドキュメントに保存されている非構造化データを正確に検出できます。 IDM はドキュメント フィンガープリントを作成し、元のドキュメント、下書き、または保護されたドキュメントの異なるバージョンの取得された部分を検出します。

IDM は、まず機密ファイルを学習してトレーニングする必要があります。機密コンテンツを含む文書を受け取ると、IDM は意味解析技術を使用して単語を分割し、意味解析を実行して、学習およびトレーニングが必要な機密情報文書のフィンガープリント モデルを提案します。次に、同じ方法を使用してテスト対象の文書またはコンテンツのフィンガープリントをキャプチャし、取得したフィンガープリントをトレーニング済みのフィンガープリントと比較し、事前に設定された類似性に基づいて、テスト対象の文書が機密情報文書であるかどうかを確認します。この方法により、IDM は極めて高い精度と優れたスケーラビリティを実現できます。

ベクトルマシン分類の比較

サポートベクターマシン (SVM) は、1995 年に Vapnik らによって提案されました。その後、統計理論の発展に伴い、サポートベクターマシンは徐々にさまざまな分野の研究者の注目を集め、非常に短期間で広く使用されるようになりました。サポートベクターマシンは、統計学習理論の VC 次元理論と構造リスク最小化原理に基づいています。限られたサンプルから提供される情報を使用して、モデルの複雑さと学習能力の間の最適な妥協点を探し、最高の一般化能力を獲得します。 SVMの基本的な考え方は、トレーニングデータを高次元の特徴空間（ヒルベルト空間）に非線形にマッピングし、この高次元の特徴空間内で正例と負例間の分離マージンが最大化されるように超平面を見つけることです。 SVM の出現により、従来のニューラル ネットワークの結果選択、局所最小値、過剰適合などの問題が効果的に解決されます。また、小規模サンプル、非線形性、高次元データなどの機械学習の問題においても多くの注目すべき特性を示し、パターン認識、データマイニングなどの分野で広く使用されています。

SVM 比較アルゴリズムは、財務レポートやソース コードなど、微妙な特徴を持つデータや説明が難しいデータに適しています。使用中、文書はまず内容に応じて分類されます。各タイプの文書コレクションは、このカテゴリに属する​​意味を持ちます。SVM 比較後、検出された文書がどのカテゴリに属する​​かが決定され、このタイプの文書の権限とポリシーが取得されます。 同時に、SVM の特性により、分類の意味に応じて端末またはサーバー上の文書に対して分類されたデータの検出を行うことができます。

IDM と SVM の違いは、IDM では検出するファイルのフィンガープリントをトレーニング モデル内の各ファイルのフィンガープリントと比較するのに対し、SVM では検出するファイルをベクトル化し、特定の種類のトレーニング セットによって確立されたベクトル空間に割り当てることです。

データ漏洩防止制御と暗号化技術

機器フィルタードライバー技術

あらゆる端末デバイス（USB ポート、プリンター、光学ドライブ、フロッピー ドライブ、赤外線、Bluetooth、ネットワーク カードなど）のセキュリティ保護と制御を実現できるデバイス フィルター ドライバー プログラミング テクノロジです。ハードウェア情報、ユーザー ID、ストレージ デバイスと非ストレージ デバイス、許可されたデバイスと許可されていないデバイスなどを自動的に識別します。

ファイルレベルのインテリジェントな動的暗号化および復号化テクノロジー

ファイル システムの読み取り/書き込み要求をリアルタイムでインターセプトして、ファイルを動的に追跡し、透過的に暗号化/復号化するファイル レベルのフィルター ドライバー プログラミング テクノロジです。主な利点は、ファイルの暗号化/復号化が動的かつ透過的であり、ユーザーの操作習慣を変えないこと、パフォーマンスへの影響が少なく、システム操作効率が高いこと、元のファイルの形式や状態を変更しないこと、同時に社内での展開や使用が非常に便利であることです。

主な特徴は、強制的な暗号化、透過的な使用、徹底した機密性、アプリケーションの独立性、柔軟なスケーラビリティです。その開発は、シングル キャッシュ フィルタ ドライバー テクノロジ、ダブル キャッシュ フィルタ ドライバー テクノロジ、仮想ファイル システム テクノロジ (LayerFSD)の 3 つの段階を経てきました。現在、商用市場におけるカーネルレベル暗号化ベンダーのほとんどは、シングルキャッシュ フィルタ ドライバー技術を採用しています。少数のベンダーがデュアルキャッシュ フィルタ ドライバー技術を開発しており、さらに少数のベンダーが仮想ファイルシステム技術 (LayerFSD) を開発し、製品化を実現しています。

ネットワークレベルのインテリジェントな動的暗号化および復号化技術

NDIS および TDI テクノロジとして一般的に知られているネットワーク フィルター ドライバー プログラミング テクノロジは、ネットワーク伝送プロトコルおよびネットワーク アプリケーション プロトコル データをフィルター処理および制御できます。現在、このタイプのテクノロジーは主にファイアウォール、VPN、ネットワーク アクセスなどの関連分野で使用されています。

ディスクレベルのインテリジェントな動的暗号化および復号化テクノロジー

ディスクレベルのフィルター ドライバー プログラミング テクノロジは、フル ディスク暗号化および復号化テクノロジ (FDE、Full Disk Encryption) とも呼ばれ、そのコア テクノロジはオペレーティング システムの下部で動作し、オペレーティング システム ファイルを含むすべてのハード ディスク データの暗号化保護を実現できます。

物理セクターレベルの暗号化方式を使用すると、ハードディスクに保存されているすべてのデータを暗号化できます。ファイル暗号化とは異なり、ディスク暗号化ではハードディスク上のすべてのデータを暗号化でき、もちろんオペレーティングシステムも暗号化できます。権限のないユーザーは、ハードディスク上のファイルの内容を見ることができないだけでなく、ディスクに保存されているファイルの名前も見ることができません。ファイルレベルの暗号化方法では、一般的に、暗号化されたファイルの名前、使用時間などの情報を取得でき、一時ファイルやディスクスワップファイルから特定のコンテンツ情報を取得することもできます。ディスク暗号化により、ハードディスク上のすべてのデータが暗号化され、暗号化されたハードディスクを入手した人はいかなる情報も取得できません。暗号化されたパーティションには、ファイルという概念がまったく存在しないからです。ファイル名や内容などの情報は言うまでもありません。

ユーザーの操作を容易にし、ユーザーのコンピュータの使用習慣を変えないようにするために、動的な暗号化と復号化の方法を採用しています。データの暗号化と復号化のプログラムは、オペレーティングシステムとディスクの間にインストールされます。このプログラムはユーザーの介入を必要とせず、ディスクに保存されているデータを自動的に暗号化し、ディスクから読み取ったデータを復号化します。ユーザーがコンピュータを通常どおり使用しているとき、このプログラムの存在をまったく感じません。

データ損失防止製品の進化

ケージDLP製品

この段階での製品の主な特徴は、強力なデバイス制御、論理分離方法の使用、安全な分離コンテナの構築です。

2000年以降、海外のセキュリティ管理製品が中国に流入してきました。当初は概念ガイドでしたが、徐々に製品へと変化しました。有名な製品メーカーには、SymantecやLANDeskなどがあります。2005年から2008年にかけて、中国での市場シェアは80%に達しました。 2008年以降、国産品の開発に伴い、市場に大量に参入し始めました。現在までに、外資系ターミナル管理製品は国産品に大きく取って代わられました。市場は飽和状態にあるものの、この高度に制御されたターミナル管理製品から、毎年4,000万元近くのシェアが生まれています。

シャックル型DLP製品

この段階の製品は主に強力なドキュメント制御を特徴とし、コンテンツのソースレベルでの徹底的な防御機能、データドキュメントの分類、グレーディング、暗号化、承認、管理を提供します。

端末管理とは異なり、データ暗号化および権限制御製品は、デバイスから特定のデータファイルに重点を移し、制御方法はより細かく、機密保持方法はより優れています。 2007年以来、多くの強力で優れたメーカーが市場に登場しました。 国の規制要件により、暗号化製品は関連する機密保持資格とパスワード認証を取得した後にのみ中国で使用できるため、外国製品を中国で大規模に販売することはできません。 暗号化および権限管理製品は、依然として毎年約10億元の市場シェアを持っています。 すべての業界にデータ保護のニーズがあります。 市場競争は激しいですが、ユーザーは依然として暗号化によってデータが乗っ取られることを心配しており、これは世界的な問題です。幸いなことに、現在の製品はすべて非常に成熟しており、安定しています。

監視DLP製品

監視製品は強力な動作監査であり、正確なキーワードを使用してデータ操作の動作を監査し、ドキュメントの作成、変更、送信、保存、削除を監視します。

動作監査は、ネットワーク動作監査と端末動作監査に分けられます。ネットワーク動作監査では、勤務時間中の従業員のネットワーク アクセス動作を効果的に監視できますが、端末動作監査では、重要なデータ ファイルに対する操作をより的確に実行できます。監査製品は他のネットワークおよび端末製品と共存し、相互に補完し合うことができ、その市場シェアは依然として非常に高い。しかし、多くのネットワークおよび端末製品の継続的な改善とアップグレードにより、個々の行動監査製品はもはや順調に存続できなくなり、多様化が顧客に好まれ始めている。

スマートDLP製品

スマート製品に関しては、識別、検出、管理が可能で、共通の制御機能を提供するインテリジェントな制御を追求しています。

データをより包括的に制御するために、端末管理製品と暗号化許可製品は多くの組み合わせソリューションを作成しましたが、それらはすべて一定の制限のあるグローバルな強力な制御であり、より複雑なデータ環境には適用できません。このような状況で、世界中でさまざまなデータ漏洩が引き続き発生し、人々はデータの内容にますます注意を払っています。このとき、コンテンツ認識型DLP製品が誕生しました。これは、コンテンツを通じてデータの重要性を識別し、コンテンツを通じてデータを分類し、コンテンツを通じてデータを分類することができます。インテリジェントな制御方法は、利便性と柔軟性ももたらします。

中国は2013年以来、国産DLP製品の生産と応用を積極的に推進しており、金融業界やオペレーター業界でトレンドを引き起こしています。しかし、国産製品はまだ初期段階にあり、製品の未熟さと不安定さがDLPのローカライズに抵抗をもたらしています。多くの端末、暗号化、監査メーカーが変革を始めていますが、実際のDLP製品は3つしかありません。

出典: Green Alliance Technology からの寄稿。

原題: データ漏洩防止DLP技術の徹底分析

キーワード: