データ損失防止(DLP)は、データの特性、つまりその内容に基づいてデータを保護することを可能にします。本日、Cloudflare OneプラットフォームのネイティブパーツとしてのDLPの導入について発表できることを大変嬉しく思います。早期アクセスにご興味のある方は、この記事の末尾をご覧ください。
Cloudflare OneのDLPソリューションを構築する過程で、私たちは様々な規模と業種のお客様にお話を伺い、お客様の経験、使用している製品、欠けているソリューションについて知ることに集中しました。その結果、お客様が抱えている大きな課題や不満が明らかになりました。私たちは、これらの問題を解決する製品を、包括的なZero Trustソリューションの一環として提供できることを嬉しく思います。
お客様はデータの流れを把握するのに苦労している
お客様の中には、長年にわたってDLPソリューションを組織で使用している方もいらっしゃいます。エンドポイントエージェントを導入し、カスタムルールセットを作成し、インシデント対応パイプラインを構築しています。中には、企業ネットワーク上のクレジットカード番号を追跡するオリジナルツールや、何十万ものデータ完全一致ハッシュを追跡するルールセットを構築しているお客様もいます。
一方で、DLPがまったく初めてというお客様もいらっしゃいます。このようなお客様は、寄せ集めの小規模なチームで多くのITおよびセキュリティ機能をサポートしています。DLPに割くためのリソースがなく、他の作業を後回しにしてでもDLPを始めたいとは考えていません。
今でも多くのお客様が、SaaSツールの急激な増加により、データがどこに移動し、どこに存在するのかわからなくなってしまったという話をしています。データを企業のサーバーからクラウドに移行することで、可視性と制御が失われています。データ保護プログラムを確立しているチームでさえ、ネットワークの可視性を向上させるために努力しています。皆さんが次のような同じ質問をされています。
- データの行き先は?
- アップロードやダウンロードは、企業や個人のSaaSインスタンスとの間で行われているか?
- 機密データを保存しているアプリケーションは何か?
- そのアプリケーションにアクセスできるのは誰か?
- ファイルリポジトリからの大規模なダウンロードを確認し、ブロックすることは可能か?
多くのお客様が、これらの問題を解決していないために遅れを取っていると感じているようですが、同じ問題は他の多くのお客様でも発生しています。しかし、このような苦労は、遅れを取っているということではなく、より良い解決策が必要であるということなのです。このことから、DLP製品の構築が正しい選択であることは明らかですが、なぜCloudflare Oneの一環として提供するのでしょうか?
データ損失防止とZero Trustの関連性
Zero Trustネットワークアーキテクチャは、基本的にお客様のデータを保護するために設計されています。保護されたアプリ、マシン、リモートデスクトップへのアクセス試行をすべてチェックすることで、お客様のデータはIDとデバイスポスチャーに基づいて保護されます。DNSとHTTPのフィルタリングにより、コンテンツカテゴリーとレピュテーションに基づいてデータが保護されます。また、API駆動型のCASBを追加することで、アプリケーションの設定に基づいたデータ保護も実現します。
それぞれのアーキテクチャで、データは新しい識別子に基づいて保護されます。上記の識別子により、データにアクセスしたユーザー、アクセスしたデバイスの所有者、データの移動先、移動先の設定などを把握することができます。しかし、移動されたデータについてはどうでしょうか?
データ損失防止では、データの特性、つまりその内容に基づいてデータを保護することができます。例えば、機密性の高いデータや秘密データは、キーワード、パターン、ファイルタイプなど、さまざまな方法で識別することができます。これらの指標は、ネットワークを介して、またはネットワークから送信される情報を理解するのに役立ちます。
Cloudflare Oneに組み込まれたDLPでは、これらの識別子を組み合わせて、お客様の組織に合わせたルールを作成することができます。お客様のニーズに合わせて、ユーザー、方法、場所、内容を指定することができるのです。Cloudflareは、お客様のネットワークとデータを包括的かつ詳細に理解し、お客様が簡単に保護を実装できるようにすることを目指します。
仕組み
1. データの特定
DLPプロファイルがZero Trustダッシュボードに追加されました。これらのプロファイルは、保護するデータを定義する場所です。キーワードを追加したり、正規表現を作成したりして、機密データの存在を識別できるようになります。クレジットカード番号などの一般的な検出向けのプロファイルは、Cloudflareが提供する予定です。
2. HTTPポリシーの作成
DLPプロファイルを設定した後、Cloudflare Gateway HTTPポリシーを作成し、機密データを組織外に送信することを許可またはブロックできます。Gatewayは、HTTPトラフィックを解析し、DLPプロファイルで指定されたキーワードや正規表現に一致する文字列をスキャンします。
Cloudflareを選ぶ理由
DLPを包括的かつ大規模に導入することには、大きな課題があります。それは、Cloudflareが得意とする問題です。当社のネットワークは、世界のインターネット接続人口の95%に、50ミリ秒以内で安全にトラフィックを配信します。また、想像を超える速度とスケールでお客様のトラフィックを送信して保護する、市場をリードする製品もサポートしています。私たちは、自社の強力なネットワークと、このような問題を解決してきた経験を活かして、データ損失防止を請け負い、その成果に大いに期待しています。
順番待ちリストに登録する
Cloudflareでは、データ損失防止製品のクローズドベータを開始します。早期アクセスにご興味のある方は、こちらのフォームにご記入の上、本日より順番待ちリストにご登録いただけます。
今後の展開は?
DLPについてはまだ始まったばかりです。すでに多くの成長計画があり、リモートブラウザの分離など、他のCloudflare One製品との統合も予定されています。