TOPNetwork > DLPのアウトソーシングについての考察(前)

Network

DLPのアウトソーシングについての考察(前)

2021/01/12

David Balaban CSO

 2020年は、新型コロナウイルスの感染が拡大する中、情報セキュリティのアウトソーシングに弾みがついた。DLPシステムの運用を外部企業に委託することもその1つだ。それなりの予算を確保できる大企業といえども、DLPシステムの購入にかかるコストは必ずしもリーズナブルではないというのが、セキュリティ責任者らの認識である。そこで2020年は、サブスクリプション型のモデルによるDLPの運用サービスが取り入れられるようになった。この形態なら、費用をかなり抑えられる。導入に必要なシステムや機器を購入したり、そのシステムを扱う人員を採用したりする必要がない。

 こうしたサービスは、SOCの場合と同じような形態で、サービス事業者がシステムとインフラの技術面を完全に支え、DLPのアクティビティのライフサイクル全体をカバーする。顧客企業は、処理済みのイベントの結果のみを受け取って、内部調査を実施するかどうかを判断する。

DLPサービス事業者の利用に必要なこと

 DLPシステムを立ち上げるとしたら、ITプロフェッショナルはまず、社内の情報のうちでどれが機密情報にあたるのかをはっきりさせ、社内規則に明記する必要がある。次に、社内でそのシステムの存在に法的な意味を持たせるための文書を作成する必要がある。特別な規則を適用しておかないと、インシデントが発生した場合に従業員を処罰するのが難しくなる。

 また、コンサルティングの(さらに言えば法的な)支援が必要なのは、最初の段階だけではなく、すべての段階においてだ。最終的に従業員を訴えたり、警察に通報したりすることになった場合、すべての証拠と文書を適切に準備する必要がある。

 DLPシステムの導入を計画している企業には、技術面、分析面、法律面の3つの側面で支援が必要となる。いずれか1つでも欠けていると、システムがまったく機能しないか、効力に欠けるかのどちらかになる。DLPサービスを提供するアウトソーシング企業は、この3つをすべてカバーできる態勢でなくてはならない。

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ