ブラウザがDLPを破壊する：最新の制御をすり抜けるデータの仕組み

現代のDLPの盲点

機密データの損失を防ぐことは、これまでエンドポイントやネットワークの問題として扱われてきました。エージェントを配備し、ファイルを検査し、トラフィックを監視すれば、カバーできる、そう思っていませんか。

私たちの最近の分析によると、ウェブアプリへの機密ファイルのアップロードの46%は、承認されていないアカウントに送信されており、組織がデジタルエコシステム全体を移動するデータの流れを監視・制御する方法における重大なギャップを露呈しています。

セキュリティ・チームは、DLPの適用範囲が広いと考えていますが、実際には、データが今日頻繁に移動している場所、つまりブラウザ内の可視性と制御が不足しているのです。

なぜDLPは失敗し、ブラウザでの作業は隠されているのか

企業のワークフローは、エンドポイント上のソフトウェアからブラウザベースのアプリケーションに移行しています。今日、従業員は一般的にGoogle Workspace、Microsoft 365、Salesforceを使用し、開発者はGitHub、Jira、社内ウェブアプリを利用し、多くの部署ではChatGPTやコピロットのようなAIツールを採用しています。

承認されたウェブアプリにファイルをダウンロード、修正、再アップロードする代わりに、ユーザーはアプリケーションから、またはアプリケーション間でデータをコピーし、様々なツールにファイルをアップロードし、ウェブフォームやAIプロンプトにデータを入力することで、ブラウザで直接データを操作している。

このような活動のリスクをさらに悪化させているのは、従業員が個人アカウントや未承認のインスタンスを制限なく使用することが多いという単純な事実です。

言い換えれば、あなたのチームが頼りにしている従来のDLPコントロールは、現代の活動の多くが起こっている場所では計測されていないということです。

機密データが実際にブラウザからどのように漏れるか

既存のDLP実装が不十分である理由を理解するには、最新の環境でデータ漏洩が実際にどのように発生しているかを見ることが重要です。ブラウザのセッション内で、ユーザーはデータを入力、貼り付け、ウェブページやアプリケーションにアップロードすることができます。

コピー＆ペースト：ユーザーは日常的に機密データ（顧客記録、認証情報、ソースコード）を社内システムからコピーし、個人の電子メール、SaaSアプリ、AIツールに貼り付けています。クリップボードは、従来のほとんどのDLPソリューションでは検査やコンテキスト制御ができない、リスクの高いチャネルになっています。

フォーム入力とAIプロンプト：機密データがファイルとして移動したり、クリップボードの内容から貼り付けられたりするとは限りません。多くの場合、ウェブフォームやSaaSアプリケーション、あるいはAIプロンプトに直接入力されます。

ブラウザセッション内でのみ動作するため、エンドポイントやネットワークのDLPコントロールがトリガーされることはありません。

SaaSやAIツールへのファイルアップロード：ファイルのアップロードは、依然として主要なデータ損失のベクトルであり、表面的には通常の活動のように見えるものです。従業員はソースコード、財務データ、顧客記録をアップロードする。しかし、前述したように、これらのアップロードの最大半分は、個人アカウントや未承認のツールなど、承認されていない宛先にアップロードされている可能性がある。

シャドーアカウントとインスタンス：承認されたドメインやアプリケーション内であっても、リスクと可視性のギャップは存在する。ユーザーが個人アカウントを使ってAIプロンプトにPHIレコードをアップロードしたり、機密ファイルを企業のものではなく個人のGoogleドライブやその他のSaaSツールに保存したりする可能性があります。

従来のDLPの観点からは、このアクティビティはそのドメインでの通常の使用と見分けがつかないことが多い。

ブラウザーでのデータ損失は、しばしば通常のユーザー行動のように見えますが、間違ったコンテキストです。

実際の例ブラウザでの機密データ流出

よくあるワークフローを考えてみましょう。ある開発者が会社のプライベートなGitHubリポジトリにアクセスし、独自のソースコードのブロックをコピーした後、問題のトラブルシューティングのために個人のChatGPTセッションを開きます。そのコードをAIプロンプトに貼り付けると、機密データは事実上組織を離れてしまいます。

ファイルはダウンロードもアップロードもされていない。同社はChatGPTへのトラフィックを許可しているため、ネットワークベースの保護はトリガーされませんでした。従来のDLPコントロールでは、ペースト操作にフラグを立てることはできませんでした。この一連のイベントは、会社の機密データに対する真のリスクを引き起こしているにもかかわらず、良識あるユーザーとブラウザのアクティビティとして表示されます。

ブラウザネイティブDLPを使えば、このようなやり取りが完全に可視化され、強制できるようになります。Keep AwareのようなブラウザベースのDLPソリューションは、機密データを検出し、それが認可されたアプリから発信されたものであることを理解し、それが個人アカウントに結び付けられた認可されていないAIツールに送信されていることを認識します。

ポリシーは、ユーザーの行動をブロックしたり、セキュリティ・チームにその行動を警告したりすることができ、イベントの完全なタイムラインをキャプチャすることで、通常であれば目に見えないものを、明確で実行可能なセキュリティ・シグナルに変えることができる。

ブラウザにおける従来のDLPのギャップ

従来の DLP ソリューションは、エンドポイント、ネットワーク、さらにはクラウド環境からのデータ漏えいを防ぐことに重点を置いた、異なるリスクモデル向けに設計されていました。

エンドポイント DLP は、ブラウザ内でコピー＆ペーストされるデータ、ウェブアプリケーション自体、使用されるユーザーアカウントの種類など、機密データを効果的に管理するために必要な重要なコンテキストデータの可視性を欠いています。

同様に、ネットワークDLPは、プロキシソリューションによって暗号化されたブラウザトラフィックの検査が可能になったとしても、同じように重要なコンテキストを欠いています。

クラウド DLP は、エンドポイント DLP とネットワーク DLP を組み合わせたようなソリューションですが、特定の SaaS インスタンスまたはクラウド環境、つまり IT セキュリティによってすでに認可され管理されている環境に対する可視性と制御を提供します。

従来のDLPは、静止状態のファイルや移動中のデータを監視しますが、今日の従業員で最も広く使用されているアプリケーション内のユーザーアクティビティやセッションコンテキストを検査し、制御するようには設計されていませんでした。

ブラウザネイティブDLP：現代のデータ保護におけるギャップを埋める

ブラウザネイティブDLPは、ユーザーのブラウジングセッション内で直接動作するため、組織は以下のことを可能にする可視性を持っています：

• リアルタイムでのデータ検査（コピー＆ペースト、フォームやプロンプトの入力、ファイルのアップロード）
• コンテキストの把握 （どのアプリケーションが使用されているか、アカウントやインスタンスが企業か個人か、どのような種類のデータが処理されているかなど）
• インラインコントロールの実施 （リスクのあるアクションのブロックや警告、コンテキストに基づく条件付きポリシーの適用、生産性を妨げない安全なワークフローの実現）

このアプローチは、組織の既存のDLPスタックを置き換えるものではありません。ネットワークレベルやエンドポイントツールでは対応できなかった可視性のギャップを埋めることで、DLPを補完します。

Keep Awareは、この機能をブラウザ自体に直接もたらします。ファイル移動のシグナルやネットワーク・トラフィックに依存するのではなく、ユーザーとのインタラクションのポイントで動作し、アプリケーション、インスタンス、アカウントのコンテキストを使用して、入力、コピー/貼り付け、アップロードなどのデータをリアルタイムで分析します。インライン実施ポリシーにより、セキュリティチームは、機密性の高いアクションをブロックし、危険な行動の前にユーザーに警告を発し、セーフガード付きで承認されたワークフローを許可し、アクションの瞬間にAcceptable Use Policiesを強化し、堅牢な証拠収集機能を通じてフォレンジックの詳細を提供することができます。

ブラウザベースのDLPが貴社のセキュリティ戦略にどのように適合するかを検討されている場合は、デモをリクエストして実際の企業環境でKeep Awareがどのように機能するかをご覧ください。

Keep Awareによって後援および執筆されました。