はじめに 企業が生成AIを安全に活用するためのセキュリティ対策を解説するシリーズです Okta、Netskope、CrowdStrikeを活用した実践的なアプローチを紹介します...
はじめに
こんにちは、 ネクストモード株式会社のサイドウです。
Netskopeを導入された多くの企業様が、まず「テナント制御」や「アクティビティ制御」により、クラウド利用における基本的なセキュリティ設定を実装します。もちろん、これにより不正アクセスや未承認の操作に対する防御は大幅に強化されますが、ブロックやアラート処理だけではセキュリティと利便性のバランスが取りづらいと感じられる管理者様もおられると思います。
本ブログでは、「テナント制御で終わるのはもったいない」という視点から、Netskope導入効果を最大化する次のステップ、データ制御(DLP)に焦点を当てます。
DLP機能は、「どこ」から「何」を操作するかという制御だけでなく、「データの中身」を正確に識別し、アップロードやダウンロードの最終的な可否を判断する最終防衛ラインとなります。
目次
① 導入したからにはマストで設定したい3つの項目。DLPの役割は?
- 悪意のあるURLのブロック(SWG)
- インスタンス(テナント)制御 (CASB)
- アクティビティ制御 (CASB)
- 発生するセキュリティと利便性のジレンマ。DLPの役割
② NetskopeのDLPとは「データの中身を見る制御」
③ 何をもって機密データと判断するのか
※リンク先は手順を案内する別ブログです。
① 導入したからにはマストで設定したい3つの項目。DLPの役割は?
Netskope導入初期によく設定される3つの項目をご紹介します。
1.悪意のあるURLのブロック(SWG)
オンプレProxy時代からの基本対策だと思います。業務に不要なサイトやマルウェアサイトのブロックorアラートを設定します。(設定方法は以下リンクの弊社ブログを参照ください)
2.インスタンス(テナント)制御 (CASB)
URLフィルタリングでは制御できなかった、SaaS特有の課題を解決する設定です。これにより、業務で利用するGoogle WorkspaceやBoxなどのSaaSについて、自社テナントのみの利用を強制できます。アクセス制御をテナントレベルまで細分化することで、個人のシャドーITアカウントや、企業が管理していない外部テナントへのデータ流出を強力に断ち切ります。(設定方法は以下リンクの弊社ブログを参照ください)
3.アクティビティ制御 (CASB)
これまでのステップは、単なるアクセス制御(何処を使ってよいか)だけでした。Netskopeでは、アップロードやダウンロード、共有リンクの作成といったSaaS内での具体的な操作(アクティビティ)まで細かく制御できます。
これにより、業務に必要なアクセスは維持しつつ、外部のファイル共有サービスや未許可のSaaSへデータをアップロードする操作にアラートを設定したり、
自社テナント内であってもダウンロード操作を制限する(ローカル保存を制限する環境)など、操作レベルでのきめ細かなデータ持出制御を実現します。
(設定方法は以下リンクの弊社ブログで一部触れられております。参照ください)
発生するセキュリティと利便性のジレンマ。DLPの役割
ここまでで、アクセス経路と操作に対する設定が行われましたが、ここでセキュリティ担当者が直面するジレンマが発生します。
ブロックしすぎた場合
利用者の声「なんか厳しすぎじゃないですか??仕事になんないよ!」
ブロックや制限が厳しすぎて、取引先との緊急のファイル共有など、現場の利便性や業務の柔軟性を損なってしまう。
アラートで対応した場合
管理者の声「本当に情報漏洩防げてるの??」
ユーザーの利便性を損ねないため、アラートで処理することも有効ですが、本当に機密データが漏洩していないのか、システム管理者目線は不安になる。
私の意見ですが、これから解説するNetskopeのDLPはこれらの声を両方取り入れ、絶妙なバランスでセキュリティと利便性を向上させる役割を担っていると思います。
NetskopeのDLPとは「データの中身を見る制御」
DLP (Data Loss Prevention) は、前述の制御をさらに一歩進め、アップロードやダウンロードされている「データ」を検査します。これにより、「どこ(URL/テナント)で」「何を(アクティビティ)しているか」だけでなく、「どんなデータを扱っているか」に基づいて制御の要否を判断できるようになります。
イメージはこんな感じです。
DLP無「自社SaaS以外へのファイルアップロードはブロック!!そのせいで、取引先のファイル共有リンクにデータがアップロードできない。」
DLP有「機密データは厳密にブロック!!それ以外はユーザーアラートくらいで良いか~」
このように、DLPを使うと、アップロード先で一律にブロックするのではなく、データの中身によって制御に「適切な緩さ」や「厳格さ」を適用でき、セキュリティと利便性のバランスを両立させていくことができます。
何をもって機密データと判断するのか
DLPによる制御を実現するためには、データの中身を正確に識別する必要があります。
ここでは、Netskope DLPが提供する複数の強力な識別技術(プロファイル)を、以下の表にまとめます。これらの機能を適切に使い分けることで、企業独自の機密情報から法令遵守が必要な個人情報まで、誤検知を最小限に抑えつつ必要なデータのみを検出・保護することが可能です。
※各機能の設定方法は表内のリンクより別ブログをご確認ください。
| 機能カテゴリ | 機能名 | 概要(データ識別の方法) |
主なユースケース(制御の具体例)
|
| 標準識別 | 正規表現 |
Netskopeが標準で定義済みの正規表現のリストや、カスタム設定した正規表現での識別。 |
マイナンバー、クレジットカード番号、姓名、メールアドレスなど、書式が決まっている機密情報の一律検出。
|
| 辞書リスト | ファイル名およびファイル内に。禁止キーワードリスト(辞書)の文字列が含まれているかを検証。 |
社内で使用禁止の用語を含むドキュメントの検出や、特定の部署が作成した機密文書テンプレートの流出防止。
|
|
| 高度な識別 |
Finger Printing |
流出を防止したいファイルのハッシュ値を登録し、類似率を設定することで、原本だけでなく一部が編集・改ざんされたファイルの流出も検出。 | 契約書や請求書のフォーマット、役員会の議事録や顧客マスターリストなど、内容が固定または類似する重要ファイルの流出防止。 |
| Exact Match ※手順順次公開 |
顧客DB、人事DB等から保護したいカラム(列)のデータのハッシュ値を登録。一定数以上の登録データとの一致が確認された場合、機密データとして検出。 |
顧客名と口座番号の組み合わせなど、DBから抽出した特定の顧客レコードを含むファイルを検出し、流出防止。
|
|
| File Classifier ※手順順次公開 |
機械学習(ML)モデルを使用し、従来のキーワードや正規表現では識別が困難なファイルの全体的な特徴や文脈を学習し検出。定義済みの汎用的な分類(パスポート、運転免許証等)も利用可能 | 社員証や顧客の運転免許証、名刺などのスキャン画像の情報持ち出しを防止 | |
| OCR (画像認識) ※手順順次公開 |
画像ファイルやスキャン文書内に含まれる文字情報を読み取り、その中に含まれる機密情報(正規表現など)を検出。 |
スクリーンショットやスキャンした紙の文書など、非テキスト形式での情報持ち出しを防止
|
まとめ
Netskope導入後、多くの企業が設定する「テナント制御」や「アクティビティ制御」はアクセス経路の防御には有効ですが、セキュリティと利便性のジレンマを残します。
この課題を解決し、導入効果を最大化するのがDLP(データ損失防止)機能です。
DLPは、制御を「どこ・何」から一歩進め、「データの中身」を正確に識別する最終防衛ラインとなります。特にDLPの上位ライセンス機能は、従来の正規表現に加え、以下の高度な識別技術を提供します。
Finger Printing / Exact Match
データの原本やDBレコードと照合し、誤検知を最小限に抑制
File Classifier / OCR
機械学習と画像認識により、画像や特定の構造を持つ文書まで識別・保護
これらの高度な識別技術を活用することで、機密データのみを厳格にブロックし、それ以外のファイルには適切な柔軟性を持たせることが可能となり、セキュリティと業務効率の両立を実現します。
DLP機能はNetskopeの大きな強みの一つなので、ぜひ活用していただきたいです!
.png?width=50&name=95a02ab47cca4cbb678427922c962e63%20(1).png)
