dlpとは何ですか? 世界市場およびロシア市場における DLP システムのレビュー
多くの場合、ビジネスの効率は、情報の機密性、完全性、可用性の維持にかかっています。 現在、情報セキュリティ (IS) 分野における最も差し迫った脅威の 1 つは、不正なユーザーの行為から機密データを保護することです。
これは、ウイルス対策、ファイアウォール、侵入防止システム (IPS) などの従来のセキュリティ ツールのほとんどが、後で使用するために情報を社外に転送することを目的とする内部攻撃者 (インサイダー) に対して効果的な保護を提供できないという事実によるものです。 – 販売、第三者への譲渡、パブリックドメインでの出版など。 機密データの偶発的および意図的な漏洩の問題を解決するために、 データ損失防止システム (DLP - データ損失防止).
この種のシステムは、組織の周囲に安全な「デジタル境界」を構築し、すべての送信情報、場合によっては受信情報を分析します。 管理される情報には、インターネット トラフィックだけでなく、他の多くの情報フローも含まれます。たとえば、外部メディア上の保護されたセキュリティ ループの外に持ち出されるドキュメント、プリンタで印刷されるドキュメント、Bluetooth や WiFi などを介してモバイル メディアに送信されるドキュメントなどです。
DLP システムは、保護された情報システムの境界を横切るデータ フローを分析します。 このフローで機密情報が検出されると、システムのアクティブ コンポーネントがトリガーされ、メッセージ (パケット、フロー、セッション) の送信がブロックされます。 データストリーム内の機密情報の識別は、コンテンツを分析し、文書のマーキング、特別に入力されたラベル、特定のセットからのハッシュ関数値などの特別な特徴を識別することによって実行されます。
最新の DLP システムには、機密情報を漏洩から保護するためのソリューションを選択する際に考慮する必要がある膨大な数のパラメータと特性があります。 おそらく、これらの中で最も重要なのは、使用されているネットワーク アーキテクチャです。 このパラメータに従って、検討中のクラスの製品は、ゲートウェイ (図 1) とホスト (図 2) の 2 つの大きなグループに分けられます。
最初のグループは、企業情報システムのすべての送信ネットワーク トラフィックが送信される単一のサーバーを使用します。 このゲートウェイは、機密データの漏洩の可能性を検出するためにそれを処理します。
米。 1. DLP ゲートウェイ ソリューションの機能図
2 番目のオプションは、ネットワークのエンドノード (ワークステーション、アプリケーションサーバーなど) にインストールされる特別なプログラム (エージェント) の使用に基づいています。
米。 2. ホスト DLP ソリューションの機能図
最近、DLP システムの汎用化に向けた強い傾向が見られます。 純粋にホストベースまたはゲートウェイベースと呼べるソリューションは市場には存在しないか、ほとんど存在しません。 長い間、一方向のみで開発を行ってきた開発者でさえ、ソリューションに 2 番目のタイプのモジュールを追加しています。
DLP ソリューションの汎用化への移行には 2 つの理由があります。 1 つ目は、さまざまなタイプのシステムのさまざまな応用分野です。 前述したように、ホスト DLP ソリューションを使用すると、あらゆる種類のローカルおよびネットワーク、つまり機密情報漏洩のインターネット チャネルを制御できます。 ほとんどの場合、組織には完全な保護が必要であるという事実に基づき、両方が必要です。 汎用化の 2 番目の理由は、純粋なゲートウェイ DLP システムでは必要なすべてのインターネット チャネルを完全に制御できないいくつかの技術的特徴と制限です。
潜在的に危険なデータ伝送チャネルの使用を完全に禁止することは不可能であるため、それらを制御下に置くことは可能です。 制御の本質は、送信されるすべての情報を監視し、その中から機密情報を特定し、組織のセキュリティ ポリシーで指定された特定の操作を実行することです。 明らかに、最も重要で時間のかかる主なタスクはデータ分析です。 DLP システム全体の効率は、その品質に依存します。
DLP のデータフロー分析テクニック
機密情報を特定するためにデータ ストリームを分析するタスクは、簡単ではないと言っても過言ではありません。 必要なデータを見つけることは、考慮が必要な多くの要因によって複雑になるためです。 したがって、現在、機密データを送信しようとする試みを検出するためのいくつかのテクノロジーが開発されています。 それぞれの動作原理は他のものとは異なります。
従来、すべての漏れ検出方法は 2 つのグループに分類できます。 1 つ目は、送信されたメッセージまたはドキュメントのテキスト自体の分析 (形態学的分析および統計分析、テンプレート) に基づくテクノロジーです。 ウイルス対策保護と同様に、プロアクティブと呼ぶことができます。 2 番目のグループは、事後対応型の方法 (デジタル指紋とタグ) で構成されます。 文書の性質や文書内の特別なマークの存在によって漏洩を検出します。
形態学的解析
形態素解析は、機密情報の漏洩を検出するための最も一般的なコンテンツ手法の 1 つです。 この方法の本質は、送信されたテキスト内の特定の単語やフレーズを検索することです。
検討中のこの方法の主な利点は、その多用途性です。 形態素解析は、一方では、リムーバブル ドライブにコピーされたファイルから、ICQ、Skype、ソーシャル ネットワーク上のメッセージに至るまで、あらゆる通信チャネルを監視するために使用でき、他方では、あらゆるテキストを分析し、あらゆる情報を追跡するために使用できます。 。 この場合、機密文書には事前処理は必要ありません。 また、保護は処理ルールがオンになった直後に有効になり始め、指定されたすべての通信チャネルに適用されます。
形態素解析の主な欠点は、機密情報を特定する効率が比較的低いことです。 さらに、セキュリティ システムで使用されるアルゴリズムと、保護されたデータを記述するために使用されるセマンティック コアの品質の両方に依存します。
統計分析
統計的手法の動作原理はテキストの確率的分析であり、これによりテキストの機密性または公開性を仮定することができます。 通常、それらの操作にはアルゴリズムの事前トレーニングが必要です。 このプロセス中に、機密文書内で特定の単語やフレーズが見つかる確率が計算されます。
統計分析の利点はその汎用性です。 このテクノロジーは、アルゴリズムの継続的な学習を維持する一環としてのみ通常に動作することは注目に値します。 したがって、たとえば、トレーニング プロセス中にシステムに提示された契約数が不十分な場合、システムはその異動の事実を判断できません。 つまり、統計分析の品質は、その設定の正確さに依存します。 この場合、このテクノロジーの確率的な性質を考慮する必要があります。
正規表現(パターン)
この方法の本質は次のとおりです。セキュリティ管理者は、機密データの文字列テンプレート、つまり文字数とその種類 (文字または数字) を決定します。 この後、システムは分析されたテキスト内で条件を満たす組み合わせの検索を開始し、見つかったファイルまたはメッセージにルールで指定されたアクションを適用します。
テンプレートの主な利点は、機密情報の転送を高効率で検出できることです。 漏洩事故に関しては100%を目指します。 意図的な異動の場合はさらに複雑です。 攻撃者は、使用されている DLP システムの機能を知っているため、特にシンボルを異なるシンボルで分離することでこれに対抗できます。 したがって、機密情報を保護するために使用される方法は秘密にしておく必要があります。
テンプレートの欠点としては、まず、適用範囲が限られていることです。 これらは、個人データの保護など、標準化された情報にのみ使用できます。 検討中の方法のもう 1 つの欠点は、誤検知の頻度が比較的高いことです。 たとえば、パスポート番号は 6 桁の数字で構成されます。 ただし、そのようなパターンを設定すると、6 桁が連続して出現するたびに機能します。 これは、クライアントに送信された契約番号、金額などです。
デジタル指紋
この場合、デジタル指紋は文書の特徴的な要素の集合全体として理解され、将来的には高い信頼性で識別できるようになります。 最新の DLP ソリューションは、ファイル全体だけでなく、そのフラグメントも検出できます。 この場合、準拠度を計算することもできます。 このようなソリューションを使用すると、異なる一致率に対して異なるアクションを記述する差別化されたルールを作成できます。
デジタル指紋の重要な特徴は、テキストだけでなくスプレッドシート文書や画像にも使用できることです。 これにより、当該技術の応用分野が幅広く開かれます。
デジタルタグ
この方法の原理は次のとおりです。選択したドキュメントに特別なラベルが適用され、使用される DLP ソリューションのクライアント モジュールのみに表示されます。 可用性に応じて、システムはファイルに対する特定のアクションを許可または禁止します。 これにより、機密文書の漏洩を防ぐだけでなく、ユーザーによる機密文書の操作方法を制限することもできます。これは、このテクノロジーの疑いのない利点です。
この技術の欠点としては、まず第一に、その適用範囲が限られていることです。 テキストドキュメントとその既存のドキュメントを保護するためにのみ使用できます。 これは、新しく作成されたドキュメントには適用されません。 この欠点は、たとえばキーワードのセットに基づいてタグを自動的に作成する方法によって部分的に相殺されます。 しかし、この側面はデジタルタグの技術を形態素解析の技術、つまり技術の重複に還元してしまう。
デジタルタグ付けテクノロジーのもう 1 つの欠点は、簡単に回避できることです。 ドキュメントのテキストを手紙に手動で入力するだけで十分です(クリップボードを介してコピーするのではなく、入力します)が、この方法は無力です。 したがって、他の保護方法と組み合わせてのみ有効です。
DLP システムの主な機能:
DLP システムの主な機能を次の図に示します (図 3)。
- 電子メール、HTTP、HTTPS、FTP、Skype、ICQ、その他のアプリケーションやプロトコルを使用したインターネット経由の情報転送の制御。
- CD、DVD、フラッシュ、携帯電話などの外部メディアへの情報の保存の制御。
- データの印刷を制御することで情報漏洩を防ぎます。
- 機密データの送信/保存の試みをブロックし、情報セキュリティ管理者にインシデントを通知し、シャドウ コピーを作成し、隔離フォルダーを使用します。
- キーワード、文書タグ、ファイル属性、デジタル指紋を使用して、ワークステーションやファイル サーバー上の機密情報を検索します。
- 機密情報のライフサイクルや移動を監視し、情報漏洩を防止します。
米。 3. DLPシステムの基本機能
DLP システムにおける機密情報の保護は、次の 3 つのレベルで実行されます。
レベル1 - 移動中のデータ– ネットワークチャネル経由で送信されるデータ:
- ウェブ (HTTP/HTTPS プロトコル);
- インスタント メッセージング サービス (ICQ、QIP、Skype、MSN など)。
- 企業および個人のメール (POP、SMTP、IMAP など)。
- ワイヤレス システム (WiFi、Bluetooth、3G など);
- FTP – 接続。
レベル2 - 保存データ– データは以下に静的に保存されます。
- サーバー。
- ワークステーション;
- ラップトップ。
- データ ストレージ システム (DSS)。
レベル3 - 使用中のデータ– ワークステーションで使用されるデータ。
DLP クラス システムには、次のコンポーネントが含まれています。
- 制御および監視センター。
- ユーザーのワークステーション上のエージェント。
- インターネット境界に設置された DLP ネットワーク ゲートウェイ。
DLP システムでは、機密情報はさまざまな特性およびさまざまな方法によって判断できます。主なものは次のとおりです。
- 情報の形態学的分析。
- 情報の統計分析。
- 正規表現 (パターン);
- デジタル指紋方式。
- デジタルマーク方式。
DLP システムの導入は、長い間単なる流行ではなく、必須となってきました。機密データの漏洩は企業に多大な損害をもたらす可能性があり、最も重要なことに、企業の業績に即時的ではなく長期的な影響を与えるためです。仕事。 この場合、被害は直接的なものだけでなく、間接的なものになる可能性もあります。 なぜなら、主な損害に加えて、特に事件に関する情報が公開された場合、会社は「面目を失う」からです。 評判の低下による損害を金銭で見積もることは非常に困難です。 しかし、情報技術のセキュリティを確保するためのシステムを作成する最終的な目標は、情報、そのメディア、および処理プロセスに対する望ましくない影響によって情報関係の主体に生じる損害 (直接的または間接的、物質的、道徳的またはその他) を防止または最小限に抑えることです。
流行の IT 用語であっても、できるだけ適切かつ正確に使用する必要があります。 少なくとも消費者に誤解を与えないために。 自分自身を DLP ソリューションのメーカーであると考えるのは間違いなく流行になっています。 たとえば、最近の CeBIT-2008 展示会では、世界中であまり知られていないウイルス対策製品やプロキシ サーバーだけでなく、ファイアウォールのメーカーのスタンドにも「DLP ソリューション」という文字が頻繁に見られました。 次の角を曲がったところで、エンタープライズ DLP ソリューションの誇らしげなスローガンを掲げた、ある種の CD イジェクター (CD ドライブの開閉を制御するプログラム) が見えるような気がすることがありました。 そして奇妙なことに、これらの各メーカーは、原則として、自社製品のそのような位置付けについて多かれ少なかれ論理的な説明を持っていました(当然、流行の用語から「利益」を得たいという欲求に加えて)。
DLP システムのメーカーとその主要企業の市場を検討する前に、DLP システムとは何を意味するのかを決定する必要があります。 このクラスの情報システムを定義する試みは数多くあります。ILD&P - 情報漏洩の検出と防止 (「情報漏洩の特定と防止」、この用語は 2007 年に IDC によって提案されました)、ILP - 情報漏洩保護 (「情報に対する保護」) 「漏洩」、Forrester、2006 年)、ALS - 漏洩防止ソフトウェア(「漏洩防止ソフトウェア」、E&Y)、コンテンツ監視およびフィルタリング(CMF、Gartner)、侵入防止システム(侵入防止システムに類似)。
しかし、2005 年に提案された DLP - Data Loss Prevention (または Data Leak Prevention、データ漏洩に対する保護) という名前は、ロシア語として (翻訳ではなく類似の用語として) 一般的に使用される用語として定着しました。機密保護システム」は内部関係者の脅威からのデータを採用しました。 同時に、内部脅威は、関連データにアクセスする法的権利とその権限を持つ組織の従業員による(意図的または偶発的)悪用として理解されます。
DLP システムに属するための最も調和的で一貫した基準は、調査機関 Forrester Research がこの市場に関する年次調査中に提唱しました。 彼らは、システムを DLP として分類できる 4 つの基準を提案しました。 1.
マルチチャンネル。 システムは、データ漏洩の可能性のある複数のチャネルを監視できなければなりません。 ネットワーク環境では、これは少なくとも電子メール、Web、IM (インスタント メッセンジャー) であり、メール トラフィックやデータベース アクティビティのスキャンだけではありません。 ワークステーション上 - ファイル操作の監視、クリップボードの操作、電子メール、Web、IM の制御。 2.
一元管理。 システムには、すべての監視チャネルにわたる統合された情報セキュリティ ポリシー管理ツール、分析、およびイベント レポートが必要です。 3.
アクティブな保護。 システムはセキュリティ ポリシーの違反を検出するだけでなく、必要に応じてセキュリティ ポリシーへの準拠を強制する必要があります。 たとえば、不審なメッセージをブロックします。 4.
これらの基準に基づいて、2008 年に Forrester はレビューと評価のために 12 社のソフトウェア ベンダーのリストを選択しました (以下にアルファベット順にリストします。DLP システム市場に参入するためにこのベンダーが買収した企業名を括弧内に示します) ) :
- コードグリーン。
- インフォウォッチ;
- マカフィー (オニグマ);
- オーケストラ;
- リコネックス。
- RSA/EMC (タブラス);
- シマンテック (Vontu);
- トレンドマイクロ (プロヴィラ);
- ヴェルダシス。
- ベリセプト;
- Websense (ポートオーソリティ);
- ワークシェア。
現在、上記の 12 ベンダーのうち、ロシア市場である程度代表されているのは InfoWatch と Websense だけです。 残りはロシアではまったく機能していないか、DLP ソリューションの販売を開始する意向を表明しただけです (トレンドマイクロ)。
DLP システムの機能を考慮して、アナリスト (Forrester、Gartner、IDC) は、保護オブジェクト (監視対象の情報オブジェクトの種類) の分類を導入しています。 このような分類により、特定のシステムの適用範囲を一次近似的に評価することが可能になります。 監視オブジェクトには 3 つのカテゴリがあります。
1. 移動中のデータ (移動中のデータ) - 電子メール メッセージ、インターネット ページャー、ピアツーピア ネットワーク、ファイル転送、Web トラフィック、および通信チャネルを介して送信できるその他の種類のメッセージ。 2. 保存データ (保存データ) - ワークステーション、ラップトップ、ファイル サーバー、専用ストレージ、USB デバイス、およびその他の種類のデータ ストレージ デバイスに関する情報。
3. データ使用中 (使用中のデータ) - 現在処理中の情報。
現在、当社の市場には DLP システムの特性の一部を備えた国内外の製品が約 20 種類あります。 上記の分類の精神に基づくそれらに関する簡単な情報を表に示します。 1 と 2。表にもあります。 1 では、「集中型データ ストレージと監査」などのパラメータが導入されており、さらなる分析と監査のために (すべての監視チャネルの) 単一の保管場所にデータを保存するシステムの機能を暗示しています。 この機能は、さまざまな立法の要件のためだけでなく、(実装されたプロジェクトの経験に基づく) お客様の間での人気のため、最近特に重要性を増しています。 これらの表に含まれるすべての情報は、各企業の公的情報源およびマーケティング資料から取得されたものです。
表 1 と 2 に示されているデータに基づいて、現在ロシアで提供されている DLP システムは 3 つだけであると結論付けることができます (InfoWatch、Perimetrix、および WebSence 社の)。 これらには、最近発表された Jet Infosystem の統合製品 (SKVT+SMAP) も含まれます。これは、複数のチャネルをカバーし、セキュリティ ポリシーを一元管理するためです。
ロシアにおけるこれらの製品の市場シェアについて話すことは非常に困難です。なぜなら、言及されたメーカーのほとんどは販売量、クライアント数、保護されたワークステーションの数を開示しておらず、マーケティング情報のみに限定されているからです。 現時点で主なサプライヤーは次のとおりであるとしか言えません。
- 2001 年から市場に存在する「Dozor」システム。
- InfoWatch 製品は 2004 年から販売されています。
- WebSense CPS (2007 年にロシアおよび世界中で販売を開始)。
- Perimetrix (若い会社で、その製品の最初のバージョンは 2008 年末に Web サイトで発表されました)。
結論として、DLP システムのクラスに属するかどうかは、製品の良し悪しを決めるものではなく、単に分類の問題であり、それ以上のことではないことを付け加えておきたいと思います。
| 会社 | 製品 | 製品の特徴 | |||
|---|---|---|---|---|---|
| 移動中のデータの保護 | 使用中のデータの保護 | 「保存データ」(data-at-rest)の保護 | 一元化されたストレージと監査 | ||
| インフォウォッチ | IWトラフィックモニター | はい | はい | いいえ | はい |
| IW クリプトストレージ | いいえ | いいえ | はい | いいえ | |
| ペリメトリクス | セーフスペース | はい | はい | はい | はい |
| ジェット情報システム | ドゾー ジェット (SKVT) | はい | いいえ | いいえ | はい |
| ジェットウォッチ(SMAP) | はい | いいえ | いいえ | はい | |
| 株式会社スマートライン | デバイスロック | いいえ | はい | いいえ | はい |
| セキュリティIT | ズロック | いいえ | はい | いいえ | いいえ |
| 秘密の番人 | いいえ | はい | いいえ | いいえ | |
| スペクターソフト | スペクター360 | はい | いいえ | いいえ | いいえ |
| ルメンションセキュリティ | サンクチュアリデバイスコントロール | いいえ | はい | いいえ | いいえ |
| ウェブセンス | Websense コンテンツ保護 | はい | はい | はい | いいえ |
| お知らせしました | セキュリティスタジオ | いいえ | はい | はい | いいえ |
| プライムテック | インサイダー | いいえ | はい | いいえ | いいえ |
| アトムパーク ソフトウェア | スタッフコップ | いいえ | はい | いいえ | いいえ |
| ソフトインフォーム | SearchInformサーバー | はい | はい | いいえ | いいえ |
| 会社 | 製品 | DLP システムに属するための基準 | |||
|---|---|---|---|---|---|
| マルチチャンネル | 一元管理 | アクティブな保護 | 内容とコンテキストの両方を考慮する | ||
| インフォウォッチ | IWトラフィックモニター | はい | はい | はい | はい |
| ペリメトリクス | セーフスペース | はい | はい | はい | はい |
| 「ジェットインフォシステムズ」 | 「ドーゾージェット」(SKVT) | いいえ | いいえ | はい | はい |
| 「ドゾルジェット」(SMAP) | いいえ | いいえ | はい | はい | |
| 「スマートライン株式会社」 | デバイスロック | いいえ | いいえ | いいえ | いいえ |
| セキュリティIT | ズロック | いいえ | いいえ | いいえ | いいえ |
| Smart Protection Labs ソフトウェア | 秘密の番人 | はい | はい | はい | いいえ |
| スペクターソフト | スペクター360 | はい | はい | はい | いいえ |
| ルメンションセキュリティ | サンクチュアリデバイスコントロール | いいえ | いいえ | いいえ | いいえ |
| ウェブセンス | Websense コンテンツ保護 | はい | はい | はい | はい |
| 「お知らせしました」 | セキュリティスタジオ | はい | はい | はい | いいえ |
| 「プリムテック」 | インサイダー | はい | はい | はい | いいえ |
| 「アトムパークソフトウェア」 | スタッフコップ | はい | はい | はい | いいえ |
| 「ソフトインフォーム」 | SearchInformサーバー | はい | はい | いいえ | いいえ |
| 「情報防御」 | 「インフォペリメーター」 | はい | はい | いいえ | いいえ |
特定の DLP システムの選択は、必要なデータ セキュリティ レベルに応じて異なり、常に個別に選択されます。 DLP システムの選択と、企業の IT インフラストラクチャへの導入コストの計算に関するサポートが必要な場合は、リクエストを残してください。できるだけ早くご連絡いたします。
DLPシステムとは何ですか
DLPシステム(英語から翻訳されたData Leak Prevention - データ漏洩を防ぐ手段)は、情報システムからの機密情報の漏洩を防ぐ技術および技術装置です。
DLP システムは、データ フローを分析し、安全な情報システムの特定の境界内でのデータの移動を制御します。 これらには、FTP 接続、企業および Web メール、ローカル接続、インスタント メッセージやデータのプリンタへの転送などが含まれます。 機密情報がストリームで変換されると、システム コンポーネントがアクティブになり、データ ストリームの送信がブロックされます。
言い換えると、 DLP システム機密文書や戦略的に重要な文書を厳重に管理し、情報システムから外部への漏洩は企業に取り返しのつかない損害を与える可能性があるだけでなく、連邦法第 98-FZ 号「営業秘密について」および連邦法第 152-FZ に違反する可能性があります。個人データについて」。 情報漏洩の保護についてはGOSTにも記載されています。 "情報技術。 情報セキュリティ管理の実践規則」 - GOST R ISO/IEC 17799-2005。
一般に、機密情報の漏洩は、ハッキングや侵入の結果として、あるいは企業従業員の不注意や過失、さらには内部関係者の努力、つまり企業従業員による機密情報の意図的な転送の結果として発生する可能性があります。 したがって、DLP システムは、機密情報の漏洩を防ぐための最も信頼性の高いテクノロジーです。DLP システムは、文書の言語、書体、送信チャネル、形式に関係なく、保護された情報を内容によって検出します。
また、 DLPシステム情報を電子的に送信するために毎日使用されるすべてのチャネルを完全に制御します。 情報の流れは、確立されたセキュリティポリシーに基づいて自動的に処理されます。 機密情報の取り扱いが会社が定めたセキュリティポリシーに抵触する場合、データの転送はブロックされます。 同時に、情報セキュリティを担当する会社の信頼できる代表者は、機密情報の転送の試みについて警告するインスタント メッセージを受け取ります。
DLPシステムの導入、まず第一に、企業の情報セキュリティのレベルに関する PCI DSS 標準の多くの要件への準拠を保証します。 また、DLP システムは、企業内の機密情報の移動に関するルールに従って、保護された情報をその場所に応じて自動的に監査し、自動制御を提供し、機密情報の違法な漏洩のインシデントを処理および防止します。 情報漏えい防止システムは、インシデントレポートに基づいて全体的なリスクレベルを監視するとともに、遡及分析と即時対応モードで情報漏洩を制御します。
DLP システムは中小企業でも大企業でも導入されており、情報漏洩を防止し、重要な企業情報や機密情報の紛失や移転によって生じる財務的および法的リスクから企業を守ります。
DLP テクノロジー
デジタル ライト プロセッシング (DLP) は、テキサス インスツルメンツによって発明された高度なテクノロジです。 そのおかげで、非常に小さく、非常に軽く (3 kg - 本当に重さですか?)、それにもかかわらず非常に強力な (1000 ANSI Lm 以上) マルチメディア プロジェクターを作成することが可能になりました。
創作の簡単な歴史
遠い昔、遠い銀河系で…
1987 年に、Dr. ラリー・J・ホーンベックが発明した デジタルマルチミラーデバイス(デジタル マイクロミラー デバイスまたは DMD)。 この発明は、テキサス・インスツルメンツのマイクロメカニカル研究の 10 年に及ぶ成果を収めました。 変形可能なミラーデバイス(変形可能ミラーデバイスまたはDMDの繰り返し)。 この発見の本質は、柔軟なミラーを放棄し、安定した位置が 2 つだけある剛性ミラーのマトリックスを採用したことでした。
1989 年、テキサス インスツルメンツは、米国プログラムの「プロジェクター」部分を実施するために選ばれた 4 社のうちの 1 社になりました。 高解像度ディスプレイ。先端研究プロジェクト管理局 (ARPA) からの資金提供を受けています。
1992 年 5 月、TI は最新の ARPA 解像度標準をサポートする最初の DMD ベースのシステムを実証しました。
3 つの高解像度 DMD に基づく DMD の高解像度テレビ (HDTV) バージョンが 1994 年 2 月に放送されました。
DMD チップの大量販売は 1995 年に始まりました。
DLP テクノロジー
DLP テクノロジーを使用して作成されたマルチメディア プロジェクターの重要な要素は、非常に高い反射率を持つアルミニウム合金で作られた微細ミラーのマトリックス (DMD 要素) です。 各ミラーは剛性基板に取り付けられており、可動プレートを介してマトリックス ベースに接続されています。 CMOS SRAM メモリ セルに接続された電極は、ミラーの反対の角度に配置されます。 電場の影響下で、ミラーを備えた基板は 2 つの位置のうちの 1 つを取り、マトリックスのベースにあるリミッターのおかげで正確に 20° 異なります。
これら 2 つの位置は、それぞれレンズと効果的な光吸収体への入射光束の反射に対応し、確実な熱除去と最小限の光反射を実現します。
データ バスとマトリックス自体は、1600 万色の解像度で 1 秒あたり最大 60 以上の画像フレームを提供するように設計されています。
ミラー マトリックスは、CMOS SRAM とともに、DLP テクノロジーの基礎である DMD クリスタルを構成します。
小さな結晶が印象的です。 各マトリクスミラーの面積は16ミクロン以下、ミラー間の距離は約1ミクロンです。 クリスタルは複数個あり、手のひらに簡単に収まります。
テキサス・インスツルメンツが私たちを騙していなければ、合計すると、解像度の異なる 3 種類のクリスタル (またはチップ) が製造されます。 これ:
- SVGA: 848x600; 508,800 ミラー
- XGA: 1024×768、ブラックアパーチャ (スリット間スペース)。 786,432 枚のミラー
- SXGA: 1280x1024; 1,310,720 ミラー
 |
 |
マトリックスができたので、それを使って何ができるでしょうか? もちろん、より強力な光束で照明し、ミラーの反射方向の 1 つの経路に光学システムを配置して、画像をスクリーン上に焦点を合わせます。 逆方向の経路には、不要な光が迷惑にならないように光吸収体を配置するのが賢明です。 単色の画像を投影できるようになりました。 しかし、色はどこにあるのでしょうか? 明るさはどこにありますか?
しかし、これは、DLPの創設の歴史に関するセクションの最初の段落で説明した、同志ラリーの発明だったようです。 何が起こっているのかまだ理解できない場合は、準備をしてください。ショックがあなたに起こるかもしれません:)、なぜなら、この自明のエレガントで非常に明白なソリューションは、今日の画像投影の分野で最も先進的で技術的に進んでいるからです。
回転する懐中電灯を使った子供たちのトリックを思い出してください。その光は、ある時点で合流して明るい円に変わります。 私たちのビジョンのこのジョークにより、最終的にアナログ画像システムを放棄し、完全にデジタルのものを選択することができます。 結局のところ、最終段階のデジタルモニターであっても、本質的にはアナログです。
しかし、ミラーをある位置から別の位置に高頻度で強制的に切り替えるとどうなるでしょうか? ミラーの切り替え時間を無視すると(ミラーの微細な寸法のため、この時間は完全に無視できます)、目に見える明るさは半分以上低下します。 ミラーがある位置と別の位置にある時間の比率を変更することで、画像の見かけの明るさを簡単に変更できます。 また、サイクル周波数が非常に高いため、目に見えるちらつきはまったく残りません。 ユーレカ。 特別なことではありませんが、これはすべて長い間知られていました:)
さて、最後の仕上げです。 スイッチング速度が十分に速い場合は、光束の経路に沿って光フィルターを順番に配置し、それによってカラー画像を作成できます。
実際、それがテクノロジー全体です。 マルチメディアプロジェクターを例に、そのさらなる進化の軌跡をたどります。
DLP プロジェクターの設計
Texas Instruments は DLP プロジェクターを製造していませんが、3M、ACER、PROXIMA、PLUS、ASK PROXIMA、OPTOMA CORP.、DAVIS、LIESEGANG、INFOCUS、VIEWSONIC、SHARP、COMPAQ、NEC、KODAK、TOSHIBA、LIESEGANG、などの他の多くの企業が DLP プロジェクターを製造しています。製造されるプロジェクターのほとんどは持ち運び可能で、重さは 1.3 ~ 8 kg、出力は最大 2000 ANSI ルーメンです。 プロジェクターは3つのタイプに分けられます。
シングルマトリクスプロジェクター
すでに説明した最も単純なタイプは次のとおりです。 シングルマトリクスプロジェクターここでは、青、緑、赤のカラーフィルターを備えた回転ディスクが光源とマトリックスの間に配置されています。 ディスクの回転速度によって、私たちが慣れ親しんでいるフレーム レートが決まります。
画像は各原色によって交互に形成され、通常のフルカラー画像が得られます。
すべて、またはほぼすべてのポータブル プロジェクターは、シングル マトリックス タイプを使用して構築されています。
このタイプのプロジェクターのさらなる発展は、4 番目の透明な光フィルターの導入であり、これにより画像の明るさを大幅に向上させることができます。
3マトリクスプロジェクター
最も複雑なタイプのプロジェクターは、 3マトリックスプロジェクター、光は 3 つのカラー ストリームに分割され、3 つのマトリックスから同時に反射されます。 このプロジェクターは、シングル マトリックス プロジェクターのようにディスク回転速度によって制限されない、最も純粋な色とフレーム レートを備えています。
図からわかるように、各マトリックスからの反射光束の正確な一致 (収束) は、プリズムを使用して保証されます。
デュアルマトリックスプロジェクター
中間タイプのプロジェクターは、 デュアルマトリックスプロジェクター。 この場合、光は 2 つのストリームに分割されます。赤色は一方の DMD マトリックスから反射され、青色と緑色はもう一方から反射されます。 したがって、光フィルターはスペクトルから青または緑の成分を交互に除去します。
デュアルマトリクスプロジェクターは、シングルマトリクスタイプや3マトリクスタイプと比較して中間の画質を提供します。
LCD プロジェクターと DLP プロジェクターの比較
LCD プロジェクターと比較して、DLP プロジェクターには多くの重要な利点があります。
DLP テクノロジーには欠点はありますか?
しかし、理論は理論ですが、実際にはまだやるべきことはあります。 主な欠点は、技術が不完全であり、その結果としてミラーが固着するという問題が発生することです。
実際のところ、これほど微細なサイズでは小さな部品が「くっつく」傾向があり、台座付きの鏡も例外ではありません。
テキサス・インスツルメンツ社は、マイクロミラーの固着を軽減する新素材を開発する努力を行ってきたにもかかわらず、マルチメディア・プロジェクターのテスト時に確認されたように、このような問題は存在します。 インフォーカス LP340。 しかし、注意しなければならないのは、それが実際に生活に支障をきたすわけではないということです。
もう 1 つの問題はそれほど明白ではありませんが、ミラー切り替えモードの最適な選択にあります。 DLP プロジェクターを製造する各企業は、この問題について独自の意見を持っています。
さて、最後に一つ。 ミラーをある位置から別の位置に切り替えるのにかかる時間は最小限であるにもかかわらず、このプロセスでは画面上にほとんど目立たない痕跡が残ります。 無料のアンチエイリアスの一種。
技術開発
- 透明な光フィルターの導入に加えて、ミラー間のスペースと、ミラーを基板に取り付ける柱の面積(画像要素の中央にある黒い点)を縮小するための作業が常に進行中です。
- マトリクスを個別のブロックに分割し、データバスを拡張することにより、ミラーのスイッチング周波数が増加します。
- ミラーの数を増やし、マトリックスのサイズを縮小するための作業が進行中です。
- 光束のパワーとコントラストは常に増加しています。 現在、10,000 ANSI Lm を超える出力と 1000:1 を超えるコントラスト比を備えた 3 マトリクス プロジェクターがすでに存在しており、デジタル メディアを使用する超現代的な映画館での用途が確立されています。
- DLP テクノロジーは、ホーム シアターで画像を表示するための CRT テクノロジーを完全に置き換える準備ができています。
結論
DLP テクノロジーについて言えることはこれだけではありません。たとえば、印刷における DMD マトリックスの使用については触れませんでした。 ただし、嘘をつかないように、テキサス・インスツルメンツが他の情報源から入手可能な情報を確認するまで待ちます。 この短い物語が、完全ではないにせよ、テクノロジーを十分に理解し、他のプロジェクターに対する DLP プロジェクターの利点に関する質問で販売者を苦しめるのに十分であることを願っています。
資料の準備に協力してくれた Alexey Slepynin に感謝します
28.01.2014 セルゲイ・コラブレフ
エンタープライズグレードの製品を選択することは、技術専門家や意思決定者にとって簡単な作業ではありません。 データ漏洩防止 (DLP) データ損失防止システムの選択はさらに困難です。 統一された概念システムの欠如、定期的な独立した比較研究、および製品自体の複雑さにより、消費者はメーカーにパイロットプロジェクトを発注し、独自に多数のテストを実施し、自らのニーズの範囲を決定し、それらをシステムの機能と関連付けることを余儀なくされています。テスト済み
そのようなアプローチは確かに正しいです。 バランスの取れた、場合によっては苦労して勝ち取った決定により、その後の実装が簡素化され、特定の製品を使用するときに失望することを避けることができます。 ただし、この場合の意思決定プロセスは、数年とは言わないまでも、何か月にもわたって長引く可能性があります。 さらに、市場の絶え間ない拡大、新しいソリューションやメーカーの出現により、実装する製品を選択するだけでなく、適切な DLP システムの予備的な候補リストを作成する作業もさらに複雑になっています。 このような状況では、DLP システムの現在のレビューが技術専門家にとって間違いなく実用的な価値があります。 特定のソリューションはテスト リストに含める価値がありますか? それとも、小規模な組織で実装するには複雑すぎるでしょうか? このソリューションは従業員数 10,000 人の会社まで拡張できますか? DLP システムはビジネスクリティカルな CAD ファイルを制御できますか? 公開比較は徹底的なテストの代わりにはなりませんが、DLP を選択する最初の段階で生じる基本的な質問に答えるのに役立ちます。
参加者
InfoWatch、McAfee、Symantec、Websense、Zecurion、Infosystem Jet といったロシアの情報セキュリティ市場で最も人気のある DLP システムが参加者として選ばれました (2013 年半ば時点の Anti-Malware.ru 分析センターによる)。
分析には、レビューの準備時に市販バージョンの DLP システムが使用されたほか、製品の文書化や公開レビューも使用されました。
DLP システムを比較するための基準は、さまざまな規模およびさまざまな業界の企業のニーズに基づいて選択されました。 DLP システムの主なタスクは、さまざまなチャネルを介した機密情報の漏洩を防ぐことです。
これらの企業の製品の例を図 1 ~ 6 に示します。
.jpg) |
| 図 3. シマンテック製品 |
.jpg) |
| 図 4. InfoWatch 製品 |
.jpg) |
| 図 5. Websense 製品 |
.jpg) |
| 図 6. マカフィー製品 |
動作モード
DLP システムの 2 つの主な動作モードは、アクティブとパッシブです。 通常、アクティブはメインの動作モードで、外部メールボックスへの機密情報の送信など、セキュリティ ポリシーに違反するアクションをブロックします。 パッシブ モードは、誤検知の割合が高い場合に、システム セットアップ段階で設定を確認および調整するために最もよく使用されます。 この場合、ポリシー違反は記録されますが、情報の移動に対する制限は課されません (表 1)。
.jpg) |
この点では、検討中のシステムはすべて同等であることが判明しました。 各 DLP はアクティブ モードとパッシブ モードの両方で動作できるため、顧客にはある程度の自由が与えられます。 すべての企業がすぐに DLP をブロッキング モードで使用し始める準備ができているわけではありません。これには、ビジネス プロセスの中断、管理部門の従業員の不満、および経営陣からの苦情 (正当なものを含む) が伴います。
テクノロジー
検出技術により、電子チャネルを介して送信される情報を分類し、機密情報を特定することが可能になります。 現在、本質的には似ていますが、実装が異なる、いくつかの基本的なテクノロジーとその種類が存在します。 各テクノロジーには長所と短所の両方があります。 さらに、さまざまなクラスの情報の分析には、さまざまな種類のテクノロジーが適しています。 したがって、DLP ソリューションのメーカーは、自社製品に最大限のテクノロジーを統合しようとしています (表 2 を参照)。
一般に、これらの製品は、適切に構成されていれば、高い割合で機密情報を認識できるテクノロジを多数備えています。 DLP McAfee、Symantec、Websense はロシア市場にあまり適応しておらず、形態学、音訳分析、マスクされたテキストなどの「言語」テクノロジのサポートをユーザーに提供できません。
制御されたチャネル
すべてのデータ伝送チャネルは漏洩チャネルとなる可能性があります。 たとえ 1 つのオープンチャネルでも、情報の流れを制御する情報セキュリティサービスの努力がすべて無効になる可能性があります。 このため、従業員が業務に使用しないチャネルをブロックし、漏洩防止システムを使用して残りのチャネルを制御することが非常に重要です。
最新の DLP システムは多数のネットワーク チャネルを監視できるにもかかわらず (表 3 を参照)、不要なチャネルをブロックすることをお勧めします。 たとえば、従業員が内部データベースのみを使用してコンピュータで作業している場合、インターネット アクセスを完全に無効にするのが合理的です。
同様の結論が局所漏洩チャネルにも当てはまります。 確かに、この場合、ポートは周辺機器や I/O デバイスなどの接続に使用されることが多いため、個々のチャネルをブロックするのはより困難になる可能性があります。
暗号化は、ローカル ポート、モバイル ドライブ、デバイスを介した漏洩を防ぐ上で特別な役割を果たします。 暗号化ツールは非常に使いやすく、その使用はユーザーに対して透過的です。 しかし同時に、暗号化により、情報への不正アクセスやモバイル ストレージ デバイスの紛失に関連するあらゆる種類の漏洩を排除することが可能になります。
ローカル エージェントの制御の状況は、一般にネットワーク チャネルの場合よりも悪いです (表 4 を参照)。 すべての製品によって正常に制御されるのは、USB デバイスとローカル プリンターのみです。 また、上記の暗号化の重要性にもかかわらず、この機能は特定の製品にのみ存在し、コンテンツ分析に基づく強制暗号化機能は Zecurion DLP にのみ存在します。
漏洩を防ぐには、送信中に機密データを認識するだけでなく、企業環境内での情報の拡散を制限することも重要です。 これを行うために、メーカーは、ネットワーク上のサーバーやワークステーションに保存されている情報を識別して分類できるツールを DLP システムに組み込んでいます (表 5 を参照)。 情報セキュリティ ポリシーに違反するデータは削除するか、安全なストレージに移動する必要があります。
企業ネットワーク ノード上の機密情報を特定するには、電子チャネルを介した漏洩を制御するのと同じテクノロジーが使用されます。 主な違いはアーキテクチャです。 漏洩を防ぐためにネットワーク トラフィックやファイル操作が分析される場合、保存されている情報 (ネットワーク ワークステーションやサーバーの内容) が検査されて、機密データの不正コピーが検出されます。
検討中の DLP システムのうち、情報の保存場所を特定するツールの使用を無視しているのは InfoWatch と Dozor-Jet だけです。 これは電子漏洩を防ぐための重要な機能ではありませんが、漏洩を積極的に防ぐ DLP システムの能力を大幅に制限します。 たとえば、機密文書が企業ネットワーク内にある場合、これは情報漏洩ではありません。 ただし、この文書の場所が規制されていない場合、この文書の場所が情報所有者やセキュリティ担当者に知られていない場合、漏洩につながる可能性があります。 情報への不正アクセスが発生したり、適切なセキュリティ ルールがドキュメントに適用されない可能性があります。
管理のしやすさ
使いやすさや管理のしやすさなどの特性は、ソリューションの技術的能力と同じくらい重要です。 結局のところ、本当に複雑な製品は実装が難しく、プロジェクトにはより多くの時間と労力がかかり、それに応じて資金もかかります。 すでに導入されている DLP システムには、技術専門家の注意が必要です。 適切なメンテナンス、定期的な監査、設定の調整がなければ、機密情報の認識品質は時間の経過とともに大幅に低下します。
セキュリティ担当者の母国語による管理インターフェイスは、DLP システムでの作業を簡素化するための最初のステップです。 これにより、この設定またはその設定が何に関係しているのかを理解しやすくなるだけでなく、システムを正しく動作させるために構成する必要がある多数のパラメーターを構成するプロセスが大幅に高速化されます。 ロシア語を話す管理者にとっても、英語は特定の技術概念を明確に解釈するのに役立ちます (表 6 を参照)。
ほとんどのソリューションは、Web インターフェイスを備えた単一 (すべてのコンポーネント用) コンソールから非常に便利な管理を提供します (表 7 を参照)。 例外は、ロシアの InfoWatch (単一コンソールなし) と Zecurion (Web インターフェイスなし) です。 同時に、両メーカーは、将来の製品に Web コンソールが登場することをすでに発表しています。 InfoWatch 用の単一コンソールが存在しないのは、製品の技術基盤が異なるためです。 独自のエージェント ソリューションの開発は数年間中止されており、現在の EndPoint Security は、同社が 2012 年に買収したサードパーティの EgoSecure (旧名 cynapspro) 製品の後継製品です。
InfoWatch ソリューションの欠点として考えられるもう 1 つの点は、主力 DLP 製品である InfoWatch TrafficMonitor を構成および管理するには、特別なスクリプト言語 LUA の知識が必要であり、システムの操作が複雑になることです。 それにもかかわらず、ほとんどの技術専門家にとって、自分の専門レベルを向上させ、あまり一般的ではないものの追加の言語を学ぶという見通しは前向きに受け止められるべきです。
システム管理者の役割を分離することは、無制限の権限を持つスーパーユーザーの出現や、DLP を使用したその他の不正行為を防ぐリスクを最小限に抑えるために必要です。
ロギングとレポート作成
DLP アーカイブは、システムの動作中にシステムのセンサーによって記録されたイベントとオブジェクト (ファイル、手紙、http リクエストなど) が蓄積および保存されるデータベースです。 データベースに収集された情報は、ユーザーの行動の分析、重要な文書のコピーの保存、情報セキュリティ インシデントの調査の基礎など、さまざまな目的に使用できます。 さらに、すべてのイベントのデータベースは、DLP システム コンポーネントの動作の分析 (たとえば、特定の操作がブロックされる理由の特定) やセキュリティ設定の調整に役立つため、DLP システムの実装段階で非常に役立ちます (表を参照) 8)。
.jpg) |
この場合、ロシアと西側の DLP の間には基本的なアーキテクチャの違いが見られます。 後者はアーカイブをまったく維持しません。 この場合、DLP 自体の保守は容易になります (膨大な量のデータを保守、保存、バックアップ、調査する必要はありません) が、運用は容易ではありません。 結局のところ、イベント アーカイブはシステムの構成に役立ちます。 アーカイブは、情報の転送がブロックされた理由を理解し、ルールが正しく機能したかどうかを確認し、システム設定に必要な修正を行うのに役立ちます。 DLP システムは実装時の初期構成だけでなく、運用中の定期的な「チューニング」も必要であることにも注意してください。 技術専門家による適切なサポートと保守が行われていないシステムでは、情報認識の品質が大幅に低下します。 その結果、インシデントの数と誤報の数の両方が増加します。
報告はあらゆる活動の重要な部分です。 情報セキュリティも例外ではありません。 DLP システムのレポートは、複数の機能を同時に実行します。 まず、簡潔でわかりやすいレポートにより、情報セキュリティサービス管理者は、詳細に立ち入ることなく、情報セキュリティの状態を迅速に監視できます。 次に、詳細なレポートは、セキュリティ担当者がセキュリティ ポリシーとシステム設定を調整するのに役立ちます。 第三に、視覚的なレポートを常に企業のトップ マネージャーに表示して、DLP システムと情報セキュリティ スペシャリスト自身の結果を示すことができます (表 9 を参照)。
このレビューで議論されているほぼすべての競合ソリューションは、トップ マネージャーや情報セキュリティ サービスの責任者にとって便利なグラフィカル レポートと、技術専門家により適した表形式のレポートの両方を提供します。 DLP InfoWatch だけがグラフィカル レポートを欠いているため、評価が低くなりました。
認証
情報セキュリティ ツールと特に DLP の認定の必要性の問題は未解決の問題であり、専門家コミュニティ内でこのテーマについて専門家が頻繁に議論します。 当事者の意見を要約すると、認証自体が重大な競争上の利点をもたらすわけではないことが認識されるべきです。 同時に、何らかの証明書の存在が必須となる多くの顧客、主に政府機関が存在します。
さらに、既存の認証手順はソフトウェア開発サイクルとうまく相関していません。 その結果、消費者は、古いが認定されたバージョンの製品を購入するか、最新ではあるが認定されていない製品を購入するかの選択を迫られます。 この状況における標準的な解決策は、「市販の」認定製品を購入し、その新製品を実際の環境で使用することです (表 10 を参照)。
比較結果
検討した DLP ソリューションについての感想をまとめてみましょう。 全体的には参加者全員から好印象であり、情報漏洩の防止に活用できます。 製品間の違いにより、適用範囲を指定できます。
InfoWatch DLP システムは、FSTEC 証明書を取得することが基本的に重要な組織に推奨できます。 ただし、InfoWatch Traffic Monitor の最新の認定バージョンは 2010 年末にテストされ、証明書の有効期限は 2013 年末に切れます。 InfoWatch EndPoint Security (EgoSecure とも呼ばれる) に基づくエージェント ソリューションは、中小企業により適しており、Traffic Monitor とは別に使用できます。 Traffic Monitor と EndPoint Security を一緒に使用すると、大規模なエンタープライズ環境でスケーリングの問題が発生する可能性があります。
独立した分析機関によると、西側のメーカー (McAfee、Symantec、Websense) の製品は、ロシアの製品に比べて人気が著しく低いとのことです。 その理由は、ローカライゼーションのレベルが低いことです。 さらに、インターフェイスの複雑さやロシア語のドキュメントの欠如は問題ではありません。 機密情報を認識するテクノロジーの機能、事前構成されたテンプレートおよびルールは、西側諸国での DLP の使用に「調整」されており、西側の規制要件を満たすことを目的としています。 その結果、ロシアでは情報認識の質が著しく低下しており、外国規格の要件への準拠は重要ではないことがよくあります。 同時に、製品自体はまったく悪くありませんが、ロシア市場での DLP システムの使用の詳細により、近い将来、国内開発よりも人気が高まる可能性は低いです。
Zecurion DLP は、優れたスケーラビリティ (10,000 を超えるジョブへの実装が確認された唯一のロシア DLP システム) と高い技術的成熟度によって際立っています。 しかし、さまざまな市場セグメントを対象としたエンタープライズ ソリューションの管理を簡素化するのに役立つ Web コンソールがないのは驚くべきことです。 Zecurion DLP の強みには、機密情報の高品質な認識と、ゲートウェイ、ワークステーション、サーバーでの保護、保管場所の特定、データ暗号化ツールなどの漏洩防止のための製品のフルラインが含まれます。
国内 DLP 市場の先駆者の 1 つである Dozor-Jet DLP システムは、ロシア企業の間で普及しており、DLP 開発者でもあるシステム インテグレーター Jet Infosystems の広範なつながりにより、顧客ベースを拡大し続けています。 DLP は、より強力な他の製品よりも技術的に若干遅れていますが、多くの企業でその使用が正当化されます。 さらに、外国のソリューションとは異なり、Dozor Jet ではすべてのイベントとファイルのアーカイブを維持できます。
