• このシリーズの第 2 回目では、関係者の同意を得て、DLP の永続的な賛同を得る方法について説明します。
• 最も一般的な DLP の異論に対する明確な回答を準備しておけば、リーダーシップ (またはエンド ユーザー) があなたに向けるあらゆる躊躇に備えることができます。
• 適切な DLP ソリューションは、シームレスな統合やポリシー適用制御などの機能により、価値を簡単に証明できるようになります。

適切なプレイブックがあれば簡単です。しかし、経営陣の承認が得られなければ、プログラムは行き詰まってしまいます。GenAIによってクラウドアプリ、メール、エンドポイントを介した機密データの拡散が加速する中、 漏洩リスク（およびコスト）は急速に増大しています。

しかし、DLPはしばしば後回しにされがちです。複雑すぎる、コストがかかりすぎる、あるいはクラウドサービスプロバイダーがカバーしてくれるだろうと思われているからです。しかし、本当にそうでしょうか？こうした見方が正しいかどうかはさておき、その躊躇は、激しい攻撃を仕掛ける攻撃者に隙を与えてしまうことになります。

CTO、CISO、法務チームと話し合う際には、善意と漠然としたリスク警告だけでは不十分です。コスト、拡張性、継続性といった、彼らの言葉で説明することが大切です。本書は、DLPプログラムを前進させるために不可欠なサポートを確保するためのガイドです。

ステークホルダーが「はい」と言うために必要なこと

DLPに対するステークホルダーの視点はそれぞれ異なります。彼らの理解を得るには、自身の視点をステークホルダーの視点に合わせて調整し、彼らの優先事項に基づいて主張を展開する必要があります。

大物選手にピッチを成功させる方法は次のとおりです。

• 最高技術責任者（CTO）。DLPを、既存のスタックにスケーラブルでスムーズなレイヤーとして組み込むことができます。時間のかかる一括置き換えは不要です。合理化された、よりスマートな制御を実現します。
• 最高情報セキュリティ責任者（CISO）またはリスク管理責任者。リスク選好度を重視した提案を心がけましょう。DLPがデータストリーム全体にわたって測定可能なポリシーベースの制御を提供し、インシデントに発展する前に脅威を常に把握できることを示しましょう。
• コンプライアンス、プライバシー、あるいは法務。防御力でリードしましょう。DLPは、法規制や監査の義務を容易に遵守し、高額な罰金から保護します。
• 部門長および事業部門のリーダーの皆様。事業継続性を重視します。DLPは業務の中断を防ぎ、データがどこに保存されていても漏洩することなくチームの生産性を維持します。
• コミュニケーションチーム。コミュニケーションチームと早期に連携することで、混乱を軽減し、チーム間の信頼関係を構築します。

全員が一致団結すれば、勢いが生まれ、賛同が固まります。しかし、誰もが簡単に納得できるとは限りません。

反発は起こるものです。それを抑える方法をご紹介します。

ビジネスにおける大きな変化の多くと同様に、抵抗に遭遇することは避けられません。しかし、専門家がレビューしたスクリプトを使って準備しておけば、不意を突かれることはありません（反対意見を持つ人を1人か2人説得できるかもしれません）。
万全のプレゼンのために、以下の回答を心得ておきましょう。

「DLP の責任の所在が明確ではありません。」

回答：分かりました。分けましょう。テクノロジー部門がツールを運用し、コンプライアンス部門がルールを設定します。あるいは、 DLPを、私たちのミッションに最も近いチーム（セキュリティ、コンプライアンス、リスク）の下に置くこともできます。

「高すぎるよ。」

回答：確かにそうですが、現在、侵害の平均被害額は488万ドル、知的財産（IP）の漏洩額は1件あたり173ドルです。DLPは、そのような事態に対処したり、 GDPRに基づく2,000万ドルの罰金を科せられたりするよりはるかに安価です。

「複雑すぎて、どこから始めればいいのか分かりません。」

回答：問題ありません。まずは小規模から始めましょう。データセット1つ、ユースケース1つです。まずは短期的な成果を上げて、その後スケールアップしていきます。（こうした短期的な成果は、経営陣がDLPへの取り組みを継続的に承認する動機にもなります。）

「当社のクラウド/SaaSツールはすでにデータを保護しています」

回答：確かにそうですが、標準設定ではアプリ間で移動するデータはカバーされません。優れたDLPソリューションは、あらゆる場所にあるすべてのデータを保護する一貫したポリシーを実現します。

「私たちは保護ではなく革新に焦点を当てる必要があります。」

回答：GenAIモデルがデータを漏洩したり、改ざんしたりした場合、対応は困難です。堅牢なDLPがプロンプトと出力を監視するため、AIツールとやり取りするデータは安全に保たれます。そのため、お客様はイノベーションに集中できます。

経営陣の承認を得ると計画は実行に移されますが、ユーザーがロールアウトに同意しない場合は、最善の計画でもうまくいかなくなる可能性があります。

ユーザーを邪魔するのではなく、参加させる

プログラムを成功させるには、エンドユーザーの賛同も不可欠です。それは明確で誠実なコミュニケーションから始まります。

プログラムに対する信頼を築くために役立ついくつかの方法を次に示します。

• DLPポリシーの背後にある「理由」を説明することから始めましょう。そうすることで、ユーザーは、これらのポリシーが個人を保護するためのものではなく、組織全体を保護するものであることを理解できます。
• 双方向のコミュニケーションチャネルを開設しましょう。フィードバックループは、ユーザーが回避策を講じる前に、問題を早期に発見するのに役立ちます。
• DLP の意識を社内文化に根付かせましょう。ランチ＆ラーニング、ニュースレターでのヒント提供、社内ウェビナーなどを通じて、ユーザーに最新のセキュリティのベストプラクティスを周知できます。

賛同が得られなければ、意図しないリスクが生じたり、さらに悪いことに、新たな管理策を積極的に回避したりする可能性があります。

目標から目を離さないで

はっきりさせておきましょう。同意の取り付けはローンチで終わるわけではありません。これらは大きな成果ですが、プログラムの長期的な価値を証明する必要があります。

それは、最初に承認したステークホルダーに合わせて、応答時間やKRIなどの適切な指標を追跡・報告することから始まります。継続的な報告は、継続的な投資の正当性を高め、経営陣がデータセキュリティの適切な側面を維持できるようにします。このシリーズの次のブログでは、重要な指標をご紹介しますので、ぜひご覧ください。

Symantec DLP で差別化を図り、サポートを活性化しましょう

アナリストも認める通り、シマンテックがDLPのリーダーであるのには理由があります。エンドポイント、クラウド、メールを網羅する統合データセキュリティポリシーにより、チームはスマートな導入と迅速な拡張を実現できます。組み込みのリスクスコアリング、シームレスな統合、簡素化されたワークフロー、そして総コストの削減により、経営陣への訴求力は抜群です。

Broadcomが2025年の米国で最も優れたサイバーセキュリティ企業の1つに選ばれたことにSymantec DLPが寄与したことは、驚くべきことではありません。SymantecのDLPは、IDC MarketplaceやRadicati Groupから「トッププレイヤー」として繰り返し評価されています。Symantecは、お客様のデータ保護にとどまらず、保護を測定可能な重要な進歩へと導きます。

ホワイトペーパーを読んで共有することで、DLPの価値を自信を持ってアピールできます。プログラムを継続させるための指標に関する次回の記事もお楽しみに。