平均的なエンタープライズ組織は DLP(Data Loss Prevention)ソリューションを 6 つ保有しており、にも関わらずそれでもまだ「保護が不十分」と感じている組織が多いという。
ガートナー セキュリティ&リスク・マネジメント サミット2025 に登壇したアナリスト、アンドリュー・ベイルス氏はその理由を 4 つのパターンに整理した。以下、順に見ていく。
● パターン 1 :「ツールを買うこと」=「対策実施」の誤解
DLP 導入の経緯を遡ると「インシデントが起きたので急いで入れた」「ベンダーのプレゼンが良かった」「他社事例で名前が出ていた」というものが少なくないという。ビジネス目標やリスクの優先順位を起点に選定が行われたケースはそれよりも少ない。
DLP には、法務、CPO、CRO、CISO 配下の SOC、データ保護チームなど多くのステークホルダーが関わる。ということは、誰が最終的な責任を持つのかが曖昧になりやすいということでもある。
DLP 戦略はビジネス目標と整合していなければならない。企業の成長戦略や日々の業務プロセスを阻害することなく、真に保護すべきコアデータのみをコントロールするという視点だ。これは原則として正しい。しかしその整合を誰が担い、どの会議体で決めるのかが定まっていない組織では、原則はスライドに書かれた文字にすぎない。
● パターン 2 :立派な分類ポリシーがただどこかにあるだけ
そもそもファイルやデータの分類ポリシーを持っていない組織は少ない。問題は、それが実際に機能しているかどうかだ。
たとえば「公開」「内部限定」「機密」「極秘」これら 4 段階の分類は整理されている。しかし、現場の従業員が目の前のファイルをどれに保存すればよいか判断できない状況が続くなら、ポリシーはあっても実質上は存在しないのと変わらない。判断基準の具体例がなんら示されていないか、分類レベルが細かすぎて従業員の判断能力の限界を超えているか、そのどちらかあるいは両方であることが多い。
ここで見落とされがちな点は、データ分類は保護の前提条件であって、それだけでは情報漏洩を防げないことだという。分類ラベルを貼ること自体は何らデータを守らない。分類はアクセス制御、暗号化、伝送の制限といったその後の施策を機能させるための前提条件であり、それ自体がゴールではない。ポリシー整備に労力を注いだ結果、肝心のアクセス制御や暗号化の適用が手薄になっているケースは珍しくないという。
● パターン 3 :気づいたら 6 つあった
冒頭の「平均 6 つ」という数字に戻る。なぜそんなことになるのか。
最大の理由は DLP プロジェクトを「ベンダー選定」から始めるからだ。ユースケースより先にツールが決まり、部門ごとに独自の判断で別のものが導入され、気づけば 6 つになっている。これが現実の経緯である。


