sg sg-security-measures data_leakage it_security_operations
まず結論
- DLP(Data Loss Prevention)とは、機密情報の送信・保存・持ち出しなどを監視し、情報漏えいを防ぐための仕組みです。
- SG試験では、侵入を見つける仕組みなのか、情報の持ち出しを防ぐ仕組みなのかを判断させる問題で出やすい用語です。
DLPは、外部からの攻撃そのものを防ぐ仕組みというより、組織内の重要情報が外へ出ていかないように管理する対策です。
直感的な説明
DLPは、会社の出口で「持ち出してはいけない資料が入っていないか」を確認する係のようなものです。
例えば、社員がメールに顧客名簿を添付して送ろうとしたり、USBメモリに機密ファイルをコピーしようとしたりする場合があります。
このときDLPは、ファイルの内容や送信先、操作内容を確認し、問題があれば警告したり、送信やコピーを止めたりします。
つまり、DLPのポイントは、
- 機密情報を見つける
- 外部への送信や持ち出しを検知する
- 必要に応じてブロックする
という流れです。
SG試験では、単に「監視する」だけでなく、情報漏えいを防ぐために、機密情報の操作を検知・制御すると考えると判断しやすくなります。
定義・仕組み
DLPは、重要な情報が社外に漏れないように、データの利用状況を監視・制御する仕組みです。
代表的には、次のような操作を対象にします。
| 対象 | DLPで見るポイント |
|---|---|
| メール送信 | 機密情報を含むファイルを外部に送っていないか |
| Webアップロード | クラウドストレージなどに重要情報を置いていないか |
| USBメモリ | 持ち出し禁止の情報をコピーしていないか |
| 印刷 | 機密文書を不適切に出力していないか |
| 端末操作 | 利用者が機密情報を不自然に扱っていないか |
DLPの基本的な考え方は、次の3段階です。
-
機密情報を特定する
個人情報、顧客情報、設計情報、営業秘密などを対象にします。 -
操作を監視する
送信、コピー、アップロード、印刷などの操作を確認します。 -
違反する操作を制御する
警告、記録、承認要求、ブロックなどを行います。
情報漏えい対策の考え方は、IPAの情報セキュリティ関連資料でも、組織的・人的・技術的対策を組み合わせて行うものとして整理されています。DLPは、その中でも技術的に情報の持ち出しを検知・制御する対策として理解するとよいです。
IPA 情報セキュリティ
どんな場面で使う?
DLPは、次のような場面で使います。
- 顧客情報や個人情報を扱う業務
- 設計データや営業秘密を扱う業務
- 社外とのメールやファイル共有が多い業務
- USBメモリやクラウドサービスの利用を管理したい場合
- 退職者や委託先による情報持ち出しリスクを下げたい場合
特に、科目Bのケース問題では、次のような文脈で考えると分かりやすいです。
- 情報資産を分類する
- 機密情報の取扱いルールを決める
- 利用者教育を行う
- DLPなどの技術的対策で操作を監視・制御する
- ログを確認して、違反や異常操作を見つける
DLPだけを導入しても、すべての情報漏えいを防げるわけではありません。
何を機密情報として扱うのか、誰がアクセスしてよいのか、持ち出しを認める場合の手続きはどうするのか、といった運用ルールとセットで考える必要があります。
SG試験では、DLP=情報漏えい対策の一つと押さえつつ、万能な対策ではない点にも注意します。
よくある誤解・混同
DLPは、IDS、IPS、DMZと混同しやすい用語です。
| 用語 | 主な役割 | 判断ポイント |
|---|---|---|
| DLP | 機密情報の持ち出しを検知・制御する | 情報漏えいを防ぐ |
| IDS | 侵入や異常を検知して通知する | 検知が中心 |
| IPS | 攻撃を検知し、通信を遮断する | 防御・遮断まで行う |
| DMZ | 公開サーバを置く中間ネットワーク | ネットワーク構成の話 |
SG試験では、次のような選択肢に注意します。
-
「ネットワークやホストを監視し、異常を検知して通知する」
→ IDSの説明です。DLPではありません。 -
「攻撃パケットを遮断する」
→ IPSの説明です。DLPの中心は攻撃遮断ではなく、機密情報の漏えい防止です。 -
「内部LANでもインターネット上でもない中間的なネットワーク領域」
→ DMZの説明です。DLPとは役割が違います。 -
「機密情報の送信や出力を検知し、必要に応じてブロックする」
→ DLPの説明です。
迷ったときは、守っている対象が“ネットワークへの侵入”なのか、“機密情報の持ち出し”なのかで切り分けます。
まとめ(試験直前用)
- DLPは、機密情報の持ち出しを検知・制御する仕組みです。
- メール送信、USBコピー、Webアップロード、印刷などを監視対象にします。
- IDSは侵入の検知、IPSは攻撃の遮断、DMZはネットワーク構成です。
- SG試験では、情報漏えい対策か、侵入対策かで選択肢を切り分けます。
- DLPは技術的対策ですが、情報資産管理や利用ルールとセットで運用します。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【SG試験】
- 入退室管理とは?物理アクセス制御の基本【SG試験】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【SG試験】
- アンチパスバックとは?不正な入退室を防ぐ仕組み【SG試験】
- 監査ログとは?不正検知と追跡の基本【SG試験】