マカフィーによる、 機密情報の部分コピーも 改ざんも見逃さない情報漏えい対策 第2回 McAfee Data Loss Preventionの タネと仕掛け

たとえ正規のアクセス権があっても、何をやってもよいというわけではない。アクセス制御だけでは実現できない本当の意味での情報漏えい対策を実現するのが、「McAfee Data Loss Prevention」だ。クライアント対策とゲートウェイ対策を組み合わせることで包括的な情報保護を行い、非Windows端末にも対応。そして、最大の特徴は部分コピーや改ざんなどを行ってもその情報を見逃さないタグとフィンガープリントである。

【第1回】 企業をとりまく 情報漏えいの危険な状況 「見せない」だけじゃ「持ち出し」は防げない！ 「アクセスする権利」と「持ち出す権利」は 別ものです

情報そのものに認識コードをつける 　McAfee DLP Host

　情報にアクセスできるのは誰かをコントロールするアクセス制御により、「大事なものを金庫にしまう」ことは出来ても、アクセス者の手を介して持ち出される。つまり、情報そのものを保護しなければ情報漏えいを根本的には防ぐことはできない。

　そこで、正当なアクセス権があっても情報を持ち出すことができないようにするのが、「McAfee Data Loss Prevention」（以下、DLP）である。このDLPは、印刷、メール送信、Web投稿などの情報の持ち出し制限や、外部メディアへのコピーなどのデバイス制御を行う「DLP Host」と、インターネット経由の流出を防ぐ「DLP Gateway」とで構成されている。

図1　DLPのシステムアーキテクチャ

　DLP Hostでは、保護対象のファイルに保護ポリシーなどの認識コードであるタグを付けることで、情報の監視・制御を行う。まず、McAfee ePolicy Orchestrator【注】（以下、ePO）サーバにより、ポリシー設定を展開する必要がある。そのネットワーク上の各クライアントPCに、ePOを通じてDLP Hostのエージェントを配布する。タグを付けるルールは、以下の4種類だ。

（1）ロケーションベースタグ

ネットワーク上の共有フォルダに対して設定。そのフォルダに入っているファイルには自動的にタグが付く。

（2）コンテンツベースタグ

プロジェクト名や社外秘、秘密などの文字列に対して設定すると、それが含まれるファイルにタグが付く。あるいは、クレジットカード番号や電話番号などのリストであるという特徴（何けたの数字の組み合わせが何件以上まとまっているなど）がある場合にタグが付加される。

（3）アプリケーションベースタグ

例えばCADなど知的情報資産に属する特定のアプリケーションで生成されたデータにタグが付く。

（4）マニュアルタグ

任意のローカルファイルに、ピンポイントでタグを付ける。

　例えば（1）のロケーションベースタグの場合、まず、ネットワークに接続されたDLPの管理コンソールから、機密文書の保管場所であるネットワーク上の共有フォルダを指定する（図2）。操作は簡単で、チェックボックスにチェックを入れるだけだ。これが終わると、各クライアントPCからこの機密情報フォルダにコピーされたファイルすべてに、保護ポリシーのタグが付加される。

図2　ロケーションベースのタグ付けイメージ 左側はePOの管理画面。タグをつける対象となる共有フォルダを指定する。 該当のフォルダにファイルを置くことで、自動的にタグがつけられ、保護が行われる。

情報全体だけでなく 　情報の一部、改ざん後の情報も保護

　このタグには、例えば印刷禁止や社外持ち出し禁止といったポリシーが登録されている。このため、機密情報フォルダの文書を開いて印刷しようとした場合、クライアントPCにインストールされているDLPが検知して、これをブロックする。また、このファイルをクライアントのローカルにコピーした場合でも、タグがついたままコピーされるため（図3）、印刷はできない。あるいは、電子メールにそのファイルを添付して送信しようとしても、DLPが検知してブロックする（図4）。

図3　コピーしたファイルは元ファイルのタグが自動的に継承される 図2にて指定した共有フォルダからファイルをローカルにコピーすると、コピーされたファイルもタグが自動的に付けられる

図4　タグが付けられた重要ファイルのメール送信をブロックすることが可能

　しかし、このタグの威力はそれだけではない。例えば、保護対象であるWordの文書から一部分をコピーし、テキストエディタにコピーする。そしてさらに、文中に落書きを加えて別の文書のように装い、ファイル形式をテキストとして保存したとしよう。内容も完全一致ではないし、ファイル形式も異なるファイルになるが、これでもDLPが追跡してタグを付ける。もちろん、一部分をコピーしてメール本文にペーストしたり、Web上の掲示板などに書き込もうとしても、DLPが検知して送信をブロックする。

図5　タグはどこまでも追いかけられる 重要ファイルのタグが付いているファイルのテキストをコピー、その後テキストを修正したファイルを新規に保存したとしても、DLPはデータ部分を元に検出するためきっちりとタグが継承される。

　なぜこのようなことができるのかというと、情報そのものに認識コードをつけてこれをタグとしているからだ。 共有フォルダ内のファイルについては拡張子内に保護対象であることを示す一意のGUID（フィジカル・タグ）が書き込まれる。

　一方で、ローカルPC上のファイルに対しては、タグの付いたファイルを開いた瞬間に、ユニークな識別情報が生成される。 そしてこのファイルをメールに添付して送信する場合には、DLPエージェントがメールの内容を読み取り、あらかじめ保管した識別情報と照合する。 ここで一致すれば保護対象ファイルと認識しタグを付加（バーチャル・タグ）、ポリシーに従った制御を行う。 このため、テキストの部分コピーなどをしても検出できるのである。

「使わせない」は時代に逆行 　DLPがデバイスを適切にコントロール

　今や非常に安価となり、ちょっとしたデータの移動には欠かせないUSBメモリであるが、情報漏えいを防ぐために全面的に利用を禁止している企業も多い。しかし現実的には現場の運用任せとなり、利用を黙認されてしまっているというのが現状ではないだろうか。

　DLPではUSBメモリをはじめとするデバイスを単純にブロックし、デバイスを完全に使わせないということも可能であるが、重要ファイルのコピーをブロックし、その他のファイルをコピーする利便性を犠牲にしない。重要ファイルをコピーしたときには検知ログを取得する「Monitor」モードや、重要ファイルについてはユーザーに通知を行う「Notify User」モードを指定することができる。これはUSBメモリだけではなく、PCに接続されているCD／DVD-ROMドライブやフロッピーディスク、Bluetooth、赤外線デバイスなども設定することができるため、適切にアクセス制御を施しつつPCのデバイスを有効に活用ができるのだ。

アプライアンスで簡単に導入できる   DLP Gateway

　DLP Gatewayの場合は、ネットワーク構成を変えずにインターネットとの境界に設置するだけというのが大きな特徴だ。このため、DLP Hostのエージェントを導入できない非Windows端末や、来客のPCなどによるネットワーク経由の情報流出を防ぐことができる。

　これを実現しているのは、フィンガープリントによるネットワークゲートウェイでのマッチングだ。保護対象ファイルのハッシュを生成してそれを保護ポリシーとともにフィンガープリントとして登録するのである。

　動作の仕組みは、以下のようなものだ。

1. ネットワーク上の共有フォルダ（ロケーション）を指定して保護対象データのフィンガープリントを生成し、それをフィンガープリントサーバにデータベース化する。
2. メール送信やWebのPostによりネットワークから出ようとするデータをDLP Gatewayがスキャンしてフィンガープリントを生成し、フィンガープリントサーバのデータベースと照合する。
3. ある一定以上の割合でマッチしたら保護対象データと判断して、ブロックするなどのアクションを起こす。

　この場合も、フィンガープリントは、データ全体のハッシュではなく、一定の量のデータの固まりごとのハッシュ値を生成し、それをまとめたものをファイルのフィンガープリントとしている。このため、最小で20単語での部分的一致でも検出できるのである。つまり情報の部分的漏えいにも有効である、ということだ。

　DLP Host、DLP Gatewayともに、誰が、いつ、何をしたかのログが残る。また、送信をブロックしたメール本文や添付ファイルがエビデンスとして保存されているため、トラブル発生時の証拠にすることが可能だ。クライアントおよびゲートウェイ対策によりすべてのエンドポイントとサーバからのあらゆる経路を介した情報漏えいを防止するとともに、リスクアセスメントに必要なデータも収集できるというわけだ。これらの情報を、ePOによるさまざまなセキュリティ監視に統合し、企業の情報漏えいリスクを根本的に排除していただきたい。

詳しい資料を差し上げます。 情報漏えいを阻止せよ！ 総合的な保護のための5つの要件 企業の存立を左右しかねない情報漏えいを阻止するための 総合的、包括的な対策とは？ マカフィーの考える情報漏えい対策をまとめた 技術白書を差し上げます