情報処理試験を勉強していると、「DLPって何?EDRやEPPとどう違うの?」と混乱しがちです。
この記事では、DLPの定義と仕組みを日常の例え話で噛み砕き、過去問の出題パターンまでまとめています。
読み終えたあとに確認テストで仕上げれば、試験本番で確実に得点できる状態になります。
対象試験と出題頻度
DLPは、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者で出題されるテーマです。
「機密情報の持ち出しを検知・ブロックする仕組み」というポイントを確実に押さえておきましょう。
情報セキュリティマネジメント平成29年秋期の午前問題で直接出題されたほか、
令和6年春期の応用情報技術者 午後試験ではEDRの不正解選択肢としてDLPの機能が登場しています。
「出題頻度はそこまで高くないが、選択肢の紛れ込み要員として登場する」という厄介なポジションの用語です。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★☆☆☆
ランクC(応用)余裕があれば覚える
用語の定義
DLP(Data Loss Prevention)とは、一言で言うと
「機密情報を自動的に特定し、その持ち出し・送信・コピーなどを検知してブロックする情報漏えい防止の仕組み」
のことです。
イメージとしては、「空港の手荷物検査」のようなものです。
空港では、乗客が持ち込み禁止の物品(刃物や液体など)をカバンに入れていないか、X線検査で自動的にスキャンします。
乗客本人が「これは大丈夫だろう」と思っていても、検査装置が禁止物品を検知すれば、その場で止められます。
DLPもこれとまったく同じ発想です。社員がメールに添付したファイルやUSBメモリにコピーしようとしたデータの中身を自動的にスキャンし、「これは機密情報だ」と判定したら、送信やコピーをブロックしたり管理者に警告を飛ばしたりします。
従来の情報漏えい対策は「誰がアクセスできるか」をコントロールするアクセス制御が中心でした。しかし、正当なアクセス権を持つ社員が、うっかり機密ファイルを外部に送ってしまうケースは防げません。
DLPは「人」ではなく「データそのもの」を監視する点が従来の対策と根本的に異なります。試験ではここが問われます。
📊 DLPの基本情報
| 項目 | 内容 |
|---|---|
| 正式名称 | Data Loss Prevention(データ損失防止 / 情報漏えい防止) |
| 役割 | 機密情報を自動判別し、外部への持ち出し・送信・コピーを検知・ブロックする |
| 監視対象 | データそのもの(ファイルの中身、メール本文・添付ファイル、クリップボードなど) |
| 従来の対策との違い | アクセス制御は「人」を管理、DLPは「データ」を管理する |
| 主な検知方法 | キーワードマッチング、正規表現、フィンガープリント(データの特徴量照合) |
解説
DLPが注目される背景には、情報漏えい事故の深刻化があります。
IPA(独立行政法人 情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威」でも、内部不正やうっかりミスによる情報漏えいは常にランクインしています。
ファイアウォールやウイルス対策ソフトでは、外部からの攻撃は防げても「正規のアクセス権を持つ社員が機密データを外部に送ってしまう」事態には対処できません。そこで必要になったのが、データの中身を直接監視して流出を止めるDLPという仕組みです。
DLPの3つの監視ポイント
「DLPってどこで何を監視しているの?」という疑問を持つ方が多いので、ここで整理しておきます。DLPの監視対象は、大きく分けて3つあります。
📊 DLPの3つの監視ポイント
| 監視ポイント | 何を見ているか | 具体例 |
|---|---|---|
| ネットワーク | 社外に送信されるデータの中身 | メール送信時の添付ファイル、Webアップロード |
| エンドポイント | 端末上でのデータ操作 | USBメモリへのコピー、印刷、スクリーンショット |
| ストレージ | 保存されているデータの状態 | ファイルサーバーやクラウドストレージ内の機密ファイルの所在把握 |
試験ではここまで細かく問われることはほぼありません。
「DLPはデータの中身を見て、持ち出しを止める仕組み」と押さえておけば十分です。
ただし、応用情報の午後問題や情報処理安全確保支援士を目指す方は、ネットワーク型とエンドポイント型の違いを頭の隅に入れておくと、記述問題で役立ちます。
DLPと他のセキュリティ対策の違い
試験で最も注意すべきは、DLPと似た名前・似た目的の用語との混同です。
「DLPとEDRの違い」「DLPとアクセス制御の違い」は、実際の過去問で引っかけ選択肢に使われています。ここは割り切って「守備範囲が違う」と覚えてしまいましょう。
📊 DLPと他のセキュリティ対策の比較
| 対策 | 目的 | 監視の中心 |
|---|---|---|
| DLP | 機密情報の漏えい防止 | データそのもの(中身) |
| EDR | マルウェア侵入後の検知・対応 | 端末上の不審な挙動 |
| EPP | マルウェアの侵入防止 | パターンマッチングによるファイル検査 |
| アクセス制御 | 権限のない人のアクセス拒否 | ユーザーの権限(人) |
特にEDRとの混同は要注意です。
令和6年春期の応用情報技術者 午後問1では、EDRの動作を問う選択肢に「登録した機密情報の外部へのデータ送信をブロックする」という記述がありました。
これはDLPの機能であり、EDRの機能ではないため不正解です。「データの中身を見て流出を止める=DLP」「端末の不審な挙動を見て隔離する=EDR」。この一語の違いで正誤が分かれます。
DLPがデータを識別する仕組み
DLPが機密情報を見分ける方法は、主にキーワードマッチング(特定の文字列を含むかどうか)、正規表現(クレジットカード番号やマイナンバーなどの数字パターン)、フィンガープリント(機密文書の特徴量を事前に登録し、類似するデータを検出する方式)の3つです。
ITパスポートや基本情報レベルでは、この識別方法の詳細まで問われることはまずありません。「DLPはデータの中身を自動的に判別する」とだけ覚えておけば得点できます。
情報処理安全確保支援士を受ける方は、フィンガープリント方式まで押さえておくと安心です。
💡 DLPの核心を3行で
・機密情報の中身を自動判別し、外部への持ち出し・送信をブロックする仕組み
・従来のアクセス制御が「人」を管理するのに対し、DLPは「データそのもの」を管理する
・EDR(不審な挙動の検知)やEPP(マルウェア侵入防止)とは目的が異なるので混同注意
📌 試験対策のポイント
試験では、DLP製品の具体的な設定手順や導入方法までは問われません。
「機密情報を自動的に特定し、送信やコピーなどの持ち出し操作を検知・ブロックする仕組み」という定義と、EDRやEPPとの違いを確実に区別できれば得点できます。
試験ではこう出る!
DLPは、情報漏えい対策に関する問題で登場します。
単独で大問として出題されるケースは少ないですが、午前問題の選択肢の一つとして、あるいは午後問題の引っかけ選択肢として紛れ込むパターンが目立ちます。
「知らないと失点する」タイプの用語なので、出題パターンを押さえておきましょう。
📊 過去問での出題実績
| 試験回 | 出題内容 | 問われたポイント |
|---|---|---|
| 情報セキュリティ マネジメント H29秋 午前問13 |
「秘密情報を判別し、漏えいにつながる操作に対して警告を発令したり、無効化させたりするもの」を4択から選ぶ問題。選択肢にDLP・DMZ・IDS・IPSが並んだ。 | ・DLPの基本定義(機密情報を判別して漏えい操作をブロック) ・DMZ、IDS、IPSとの区別 |
| データベース スペシャリスト R4秋 午前Ⅱ問20 |
「DLPの機能はどれか」を4択から選ぶ問題。正解は「特定の重要情報を監視して、利用者によるコピー、送信などの挙動を検知しブロックする」。被害額の算出やバックアップとの混同を狙った選択肢が並んだ。 | ・DLPの機能は「コピー・送信の検知とブロック」 ・リスク分析やバックアップはDLPではない |
| 応用情報 R6春 午後問1 |
EDRソフトの動作を選ぶ設問の不正解選択肢として「登録した機密情報の外部へのデータ送信をブロックする」が出題。これはDLPの機能であり、EDRの機能ではないとして不正解。 | ・DLPとEDRの機能を正確に区別できるか ・「機密情報の外部送信ブロック=DLP」 |
情報セキュリティマネジメントの問題では、DLPの定義をストレートに聞く出題でした。
DLP・DMZ・IDS・IPSという紛らわしい4つの略語を正確に区別できるかが勝負です。また、令和6年春期の応用情報 午後問1では、EDRの機能としてDLPの説明が紛れ込んでおり、両者の違いを正確に理解しているかが問われました。
「機密情報の送信をブロックする」はDLP、「不審な挙動を検知して端末を隔離する」はEDR。この区別を頭に入れておくだけで、引っかけ選択肢を確実に見抜けます。
【頻出キーワード】
- 機密情報の自動判別(特定)
- 送信・コピー・印刷の検知とブロック
- データそのものの監視(人ではなくデータ)
- 情報漏えい防止(Data Loss Prevention)
- EDR・EPP・IDS/IPSとの機能の区別
試験問題で「機密情報を自動的に特定し、社外への送信やコピーなどの操作を検知してブロックする仕組み」や「データの中身を監視して情報漏えいを防ぐセキュリティ対策」といった記述があれば、それは「DLP」に関する記述です。
📝 IPA試験での出題パターン
午前問題では「DLPの説明として適切なものを選べ」「秘密情報の漏えいにつながる操作をブロックするものはどれか」といった知識問題が出ます。
ひっかけ選択肢として「侵入検知システム(IDS)」や「侵入防止システム(IPS)」が定番です。どちらもネットワーク上の不正通信を検知・遮断する仕組みであり、データの中身を見て漏えいを防ぐDLPとは目的が異なります。
午後問題では、DLP単体で問われるよりも、EDRやEPPなど他のセキュリティ対策との区別を求められる形式が多いです。「機密情報の外部送信をブロック=DLP」と即答できるようにしておきましょう。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. DLP(Data Loss Prevention)に関する説明として、最も適切なものはどれでしょうか?
- A. 端末上の挙動を常時監視し、マルウェア侵入後の不審な動作を検知して隔離・対応を行う仕組み
- B. ネットワーク上の通信パケットを監視し、不正なアクセスパターンを検知してアラートを発するシステム
- C. 機密情報を自動的に特定し、利用者による送信やコピーなどの持ち出し操作を検知してブロックする仕組み
正解と解説を見る
正解:C
解説:
DLP(Data Loss Prevention)は、機密情報を自動的に特定し、利用者によるメール送信、USBメモリへのコピー、印刷などの持ち出し操作を検知してブロックする情報漏えい防止の仕組みです。従来のアクセス制御が「人」を管理するのに対し、DLPは「データそのもの」を監視する点が最大の特徴です。情報セキュリティマネジメント平成29年秋期の問13でも「秘密情報を判別し、漏えいにつながる操作に対して警告を発令したり、自動的に無効化させたりするもの」としてDLPが正解でした。
選択肢Aは「EDR(Endpoint Detection and Response)」の説明です。EDRはマルウェア侵入後の不審な挙動を検知して端末を隔離・対応する仕組みであり、機密情報の持ち出し防止を目的とするDLPとは守備範囲が異なります。選択肢Bは「IDS(Intrusion Detection System:侵入検知システム)」の説明です。IDSはネットワーク上の不正な通信パターンを検知するシステムであり、データの中身を見て漏えいを防ぐDLPとは目的が異なります。
よくある質問(FAQ)
Q. DLPとは簡単に言うと何ですか?
DLP(Data Loss Prevention)は、機密情報を自動的に特定して、メール送信やUSBコピーなど外部への持ち出し操作を検知・ブロックする情報漏えい防止の仕組みです。空港の手荷物検査のように「データの中身をスキャンして、持ち出し禁止のものを止める」イメージで覚えると分かりやすいです。
Q. DLPとEDRの違いは何ですか?
DLPは「機密情報の持ち出しを止める」仕組み、EDRは「マルウェアに侵入された後に不審な挙動を検知・対応する」仕組みです。DLPはデータの中身を見て漏えいを防ぎ、EDRは端末の挙動を見てマルウェアを封じ込めます。守備範囲がまったく異なるので、両者は併用されます。令和6年春期の応用情報 午後問題でもこの区別が問われました。
Q. DLPは情報処理試験でどのように出題されますか?
午前問題では「DLPの説明として適切なものを選べ」形式が中心です。情報セキュリティマネジメント平成29年秋期ではDLP・DMZ・IDS・IPSの4択で出題されました。午後問題では、EDRやEPPとの区別を問う引っかけ選択肢としてDLPの機能が紛れ込むパターンが多いです。「機密情報の外部送信ブロック=DLP」と覚えておけば対応できます。
Q. DLPとアクセス制御の違いは?試験ではどちらが重要?
アクセス制御は「誰がデータにアクセスできるか」を人単位で管理する仕組み、DLPは「データそのものが外部に出ていかないか」をデータ単位で監視する仕組みです。試験では両方出ますが、DLPについては「データの中身を見る」という特徴を押さえておけば、アクセス制御との混同を防げます。
