DSPMとは？仕組みと課題

現代の企業は、複雑なクラウド環境やハイブリッドインフラ全体におけるデータの保護において、かつてない課題に直面しています。DSPM（データセキュリティ体制管理）は、場所を問わず機密データに対する包括的な可視性と制御を提供する重要なサイバーセキュリティのアプローチとして台頭しました。

現代の組織におけるデータの急増は、価値の高いデータや機密データの紛失あるいは侵害のリスクを急速に高めています。こうしたリスクにより、データセキュリティはセキュリティ担当者、特に従来の保護戦略を用いている担当者にとって最大の課題となっています。

クラウドサービスの急速な普及とアジャイル開発への移行は、組織がデータを保存、処理、保護する方法を変化させました。組織は現在、複数のクラウド、アプリケーション、ストレージ テクノロジーにわたるデータを管理する必要があります。DSPMは、インフラのセキュリティではなくデータの保護に焦点を当てることで、CSPM（クラウドセキュリティ体制管理）などの既存のセキュリティツールを補完し、より完全なサイバーセキュリティ戦略を構築します。

DSPM（データセキュリティ体制管理）とは、組織のデジタルエコシステム全体にわたる機密データに対して、包括的な可視性と制御を提供するデータファーストのセキュリティ アプローチです。CSPMがインフラのセキュリティに焦点を当てるのに対し、DSPMは機密データがどこに存在していても、それを発見、分類、保護することで、データ保護に特化して対処します。

DSPMは、SaaS、PaaS、パブリッククラウド、マルチクラウド、オンプレミス、あるいはハイブリッド環境など、あらゆる場所にあるデータのセキュリティ体制に影響を与えるすべての要素を把握するための最新の手法を提示します。DSPMを活用することで、価値のあるデータや機密データがどこにあり、誰がアクセスでき、そのセキュリティ体制がどのような状態にあるのかを把握できます。

DSPMは、以下の3つの主要な機能を通じて、組織がデータ資産と保護状況を継続的に把握することを可能にします。

• あらゆる環境における機密データの自動的な発見と分類
• データへのアクセスおよび使用パターンのリアルタイム監視
• データの機密性と露出に基づいたリスクアセスメントと修復

組織は、機密データを大規模に特定、分類、強化できるDSPMソリューションを必要としています。AI技術を活用することで、組織はSaaS、PaaS、パブリッククラウド、マルチクラウド、オンプレミス、ハイブリッド環境にわたってデータを保護し、人中心のリスクを低減することができます。

サイバーセキュリティにおける最大の疑問の一つは、「データはどこにあるのか？」という点です。ビジネス上の重要なデータ、顧客データ、規制対象データなどがどこにあるのかを把握しなければ、保護を始めることはできません。現在のようなアジャイルの時代において、データはあらゆる場所に存在する可能性があります。可視性の向上は、データセキュリティ体制管理の第一歩です。

アナリストやベンダーは、さまざまな種類の体制管理について提唱しています。それらはいずれも、何が問題で、どうすれば修正できるのかという2つの根源的な問いに答えるものです。データセキュリティ体制管理は、データを保護するための比較的新しい指針となるアプローチです。ガートナー社は、2022年のデータセキュリティのハイプサイクルにおいて、「データセキュリティ体制管理は、機密データがどこにあるか、誰がそのデータにアクセスできるか、どのように使用されているか、そしてデータストアやアプリケーションのセキュリティ体制がどうなっているかについての可視性を提供するものである」と定義しています。

ガートナー社はDSPMの有用性を、変革をもたらすものとして高く評価しており、現代のデータセキュリティの課題に対する緊急のソリューションとして位置づけています。

DSPMは、組織のデータを保護するために、体系的な3つのステップで機能します。

• 発見と分析： システムがクラウドサービス、SaaSプラットフォーム、オンプレミス環境にわたるデータの場所を自動的に特定し、カタログ化します。また、セキュリティリスクとなる可能性のあるシャドウデータストアや、忘れ去られたデータベースも検出します。
• リスク検出： DSPMは、アクセスパス、ユーザー権限、データの機密性を分析することで、潜在的な脆弱性を評価します。このプロセスでは、脆弱性の深刻度、データの分類、リソース設定などの要素を精査し、修復作業の優先順位を決定します。
• 継続的な監視： DSPMは、データセキュリティ体制の継続的な評価を行い、新しい脅威や変化するビジネスニーズに適応しながら、規制要件への準拠を確実にします。

プルーフポイントのDSPMソリューションについての詳細を確認し、リスクを特定してアタックサーフェスを最小限に抑えつつ、機密データを発見・分類するプラットフォームをぜひご活用ください。詳細はデータシートでもご確認いただけます。

DSPMによるデータの所在特定と内容分析

アジャイルな環境特性により、データの所在特定は大きな課題となっています。DevOpsやモデル駆動型の組織では、構造化データおよび非構造化データの量が膨大であり、あらゆる場所に分散しながら絶えず拡大し続けています。

従来の環境では、すべてのデータがオンプレミスに保存されていました。そこから、外部からのアクセスを制限し、内部の信頼できるユーザーのみを許可する城と堀型のネットワーク セキュリティ モデルが生まれました。しかし、より柔軟で俊敏なコンピューティングが求められるようになり、従来のアーキテクチャは断片化され、その結果、かなりの量のデータがサードパーティが運営する外部の場所へと移動しました。セキュリティ設計者や実務担当者、コンプライアンス責任者にとって、データの所在におけるこの劇的な変化とデータ量の爆発的な増加は、データ保護に対する異なるアプローチを必要としています。それがデータセキュリティ体制管理です。

DSPMのアプローチは、データ環境が画一的ではないため、アジャイルなアーキテクチャが極めて複雑であることを前提としています。ほとんどの企業において、データは物理的および仮想的な多くの場所に保存されています。Amazon、Microsoft、Googleなどの複数のクラウド サービス プロバイダー、プライベートクラウド、SaaSプロバイダー、SnowflakeやDatabricksなどのPaaSやデータレイクのプロバイダー、ビジネスパートナー、大規模言語モデル、そしてもちろん組織内のオンプレミスサーバーやエンドポイントなどが挙げられます。

データは単に多くの場所へ移動しているだけではありません。マイクロサービスの普及、変更頻度の増加、モデリングのためのアクセス加速、DevOpsによる新しいコードの絶え間ない反復により、データ生成の速度も急増しています。セキュリティ面での悪影響の一つとして、シャドウデータストアや放置されたデータベースが挙げられます。これらは、ミツバチを惹きつける蜜のように攻撃者を誘い込みます。

データの所在を特定することは始まりに過ぎません。チームがデータの性質を理解し、データ保護や監視要件に関する懸念レベルを判断するためには、分類分析が必要です。これは、特にコンプライアンス遵守が義務付けられているデータにおいて不可欠です。

DSPMによるリスクのあるデータの検出と修復の優先順位付け

DSPMの第2段階では、どのデータがリスクにさらされているかを検出します。その前段階として、組織の環境で稼働しているすべてのシステムと関連する運用状況を特定する必要があります。すべてのインフラを検出することで、データへのあらゆるアクセスパスを特定し、どのパスでアクセス権限の変更や保護のための新しい制御が必要かを判断できるようになります。

構造化データと非構造化データは、クラウドネイティブなデータベース、ブロックストレージ、ファイル ストレージ サービスなど、多種多様なデータストアに存在するため、アクセス権の管理は困難な課題です。これらの各環境において、チームはアクセスの設定ミス、過剰なアクセス権限、休止ユーザー、脆弱なアプリケーション、および価値のある機密データにアクセス可能な露出したリソースを特定する必要があります。

これらの課題への対応を進める際、アプリケーション アーキテクチャの急速な進化やマイクロサービス、データストアの変更に伴い、セキュリティチームはデータチームやエンジニアリング チームと密接に連携する必要がある点に注意してください。

データのリスクはアクセス権だけではありません。データの性質そのものもリスク要因となります。チームは、重要度とリスクレベルをランク付けできるように、データの優先順位を決定しなければなりません。そのデータは、独自の機密情報か、規制対象か、価値が高いものか、あるいはその他の機密データか。リスクアセスメントは、脆弱性の深刻度、データの性質、アクセスパス、およびリソース設定の状態を総合的に判断して行われます。リスクが高いほど、その修復が最優先事項となります。

DSPMによるデータリスクの修復と再発防止

リスクのあるデータを保護するには、DSPMの発見および検出フェーズで特定された関連する脆弱性を修復することが不可欠です。従来の環境では境界防御に重点が置かれることが多かったのですが、現代のハイブリッド環境では、より広範なリスクへの対処が求められます。修復には部門横断的なアプローチが必要であり、状況に応じて、ネットワーク、インフラ運用、クラウド設定管理、ID管理、データベース、大規模言語モデル、バックアップポリシー、DevOpsなどの各チームによる協力が不可欠となります。

データセキュリティは通常、各サービスプロバイダーが提供する制御機能によって管理されます。しかし、契約者である企業側も、主に設定管理に関連する以下の課題に対処するという重要な役割を担っています。

• ワークロードがどこで実行されているかを特定する
• データ、インフラ、関連するビジネスプロセスの関係を明らかにし、悪用可能なパスを発見する
• ユーザーや管理者のアカウント権限を検証し、過剰なアクセス権限を持つユーザーやロールを特定する
• クラウドアカウントに関連するすべてのパブリックIPアドレスを調査し、乗っ取りの可能性を確認する

主要なクラウド サービス プロバイダーは、異なるクラウド間で統合された相互運用可能なセキュリティ機能や設定制御機能を提供していません。そのため、組織はマルチクラウドやハイブリッド環境において、セキュリティアクセス制御が適切に設定されていることを自ら実証し、確保する必要があります。

従来の「城と堀」型のサイバーセキュリティ モデルは、外部からのアクセスを制限し、信頼された内部ユーザーのアクセスを許可するものです。慣れ親しんだ手法には安心感を覚えがちですが、セキュリティリーダーはこの現状維持のアプローチに安住すべきではありません。

攻撃の成功事例やデータ侵害が後を絶たない現状は、城と堀モデルがもはや信頼できないことを物語っています。また、このモデルは的外れでもあります。なぜなら、攻撃者は「城」そのものを狙っているわけではないからです。彼らの真の標的はデータです。アジャイル開発が普及した今日、データは実質的にあらゆる場所に存在する可能性があります。しかも、攻撃者がすでに城の内部に侵入していないとどうして言い切れるのでしょうか。

従来の城と堀モデルに頼るのではなく、データをセキュリティ戦略の中心に据えるべき6つの理由を以下に挙げます。

1. CI/CDによるデプロイの急増と絶え間ない変更

ビジネス要件が常に変化し続ける現在、アプリケーション開発の各段階を自動化する必要性が高まっています。継続的インテグレーションおよび継続的デリバリーであるCI/CDは、アプリケーション開発を加速させ、コードベースに頻繁な変更を加えます。CI/CDに馴染みがない方は、次のように考えてみてください。自社のアプリケーション開発者やDevOpsチームは、月に一度や週に一度といった頻度ではなく、一日に5回、10回、15回、あるいはそれ以上の頻度で、アプリケーションに全く新しい機能をデプロイしているのです。

DevOpsチームの高い俊敏性は素晴らしいものですが、一方で迅速なコードの更新はデータセキュリティにリスクをもたらす要因にもなります。サービスの複雑化と変化の高速化に伴い、情報漏洩のリスクは増大します。

特に、DevOpsが頻繁にインスタンスを起動してデータリポジトリに接続している場合や、アプリのテストのために一時的なバケットや忘れ去られたデータのコピーを使用している場合、データは特に高いリスクにさらされます。

2. AIや機械学習によって高まるモデリング用のデータアクセス需要

従来のアプリケーションと比較して、機械学習のワークロードでは、モデルの構築やトレーニングのために、構造化データと非構造化データの両方を膨大な量必要とします。データサイエンティストがモデルの実験を行い、新しいビジネス要件に合わせて進化させるにつれ、テストやトレーニングのために新しいデータストアが次々と作成されます。

本番環境のデータが非本番環境へと絶えず移動することで、潜在的な脆弱性を突いた攻撃にさらされるリスクが生じます。データをセキュリティ戦略の中心に据えることで、本番環境の内外を問わず、データの存在するあらゆる場所に対して確実に管理策を適用できるようになります。

3.マイクロサービスの増加と細分化されたデータアクセス

サッカーやバスケットボール、野球などの球技における鉄則は、ボールから目を離さないことです。この教訓はデータセキュリティにも当てはまります。つまり、データから目を離さないことです。3層アーキテクチャと単一のデータストアで構築されていた従来のアプリケーションでは、これは比較的容易なことでした。そのような環境では、アプリケーションデータを保護するために必要なのは、その一つのデータベースを守ることだけでした。

現代のアプリケーション開発では、独自のデータストアを持つ複数のマイクロサービスが利用されており、それらには重複するアプリケーションデータが含まれています。新機能の追加によって新たなデータストアを伴うマイクロサービスが次々と導入されるため、これがデータセキュリティを極めて複雑にしています。

これらのデータストアへのアクセスパスの数も、時間の経過とともに加速度的に増加します。増え続けるデータストアとアクセスパスのセキュリティ体制を手動で継続的に確認し続けることは不可能です。これこそが、チームがデータから目を離さないために自動化を活用すべきもう一つの理由です。

4.データの増殖により多くの場所にコピーが分散

IaaSやIaCを利用する組織にとって、異なるストレージの場所にデータのコピーが急増することは大きな課題です。これらのアーキテクチャにより迅速な業務遂行が可能になりますが、速さを優先するあまり、拡大するデータに対してセキュリティチェックを適用する監視の目が届かなくなることが多々あります。セキュリティポリシーの最前線にデータを据えることで、データがどこに保存されていても自動的に追跡し、不正アクセスから保護するためのセキュリティ制御を自動的に適用できるようになります。

多くの場合、異なるシステムがそれぞれ独自のセキュリティプロトコルで運用されており、それが可視性の問題や環境間でのセキュリティポリシーの不整合を引き起こしています。組織は現在、圧倒的な量のデータを扱う必要がありますが、その80〜90％はメール、スプレッドシート、さまざまなデジタル形式にわたる非構造化コンテンツです。

5. データアクセスの設定ミスによるクラウド インフラ セキュリティの低下

アクセスの認可はデータセキュリティの柱です。これがなければ、データは攻撃者の格好の標的となります。しかし、認可制御が不適切に実装されていたらどうなるでしょうか。DevOpsによる利用を容易にするために、誰かが制御を簡素化したり削除したりした可能性があります。データがどこにあっても、一貫して制御が適用されているでしょうか。

ガートナー社のアナリストによると、クラウドにおけるデータ侵害のほとんどは、IaaSやPaaSなどのクラウドインフラの設定ミスが原因です。データファーストのセキュリティアプローチでは、データがどこにあっても、データへのアクセス設定が適切に運用されていることを確実にする必要があります。

最も懸念されるのは、攻撃者が長期間にわたってネットワークへの不正アクセスを維持する高度なサイバー攻撃である、APT（持続的標的型攻撃）です。これらの脅威は、システムの停止ではなく、データ漏洩を明確な目的としています。クラウドデータのセキュリティギャップは特に深刻な問題となっており、2023年にはデータ侵害全体の45%をクラウドベースの侵害が占めています。

6.プライバシー規制によるデータの制御と追跡の強化の必要性

コンプライアンスは、データセキュリティを推進する大きな要因です。具体的な例としては、GDPRにおける個人識別情報、PCI DSSにおける決済アカウントデータや機密認証データ、HIPAAにおける個人健康情報などが挙げられます。こうした価値の高い機密データの保護においてコンプライアンス違反が発生すると、多額の罰金が科せられる可能性があります。

重大な違反の場合、GDPRでは最大2,000万ユーロまたは全世界の年間売上高の4%の罰金が科されることがあります。同様に、HIPAA違反では影響を受けたレコード1件につき100ドルから5万ドルの罰金が科される可能性があります。DSPMは、組織がコンプライアンス要件に関連するデータを自動的に検出して分類し、関連する規制ベンチマークに対応付けることを支援します。

データは組織にとって最も価値のある資産です。データファーストのセキュリティポリシーは、環境内のあらゆる場所にあるすべての保護対象データを自動的に発見し、分類できるようにすべきです。セキュリティチームは、保護を確実にするために、価値の高い機密データの所在を100%可視化できなければなりません。従来の城と堀モデルのセキュリティアプローチは、現代の環境では通用しません。これまで述べてきた理由から、データの安全性を維持するためにはセキュリティにおいてデータファースト戦略を採用することが不可欠です。それこそが、DSPMの目的です。

DSPMプラットフォームは、データのセキュリティ体制の評価、リスクの検出と修復、コンプライアンスの確保に関する5つの領域の機能を自動化します。一般的には、エージェントレスで、主要なクラウド（AWS、Azure、GCP、Snowflake）、主要なSaaSアプリケーション、さらにはオンプレミスのデータベースやファイルストアにネイティブに展開できるDSPMプラットフォームを選択することが推奨されます。

また、組織の環境でDSPMを運用する際に、既存ツールのデータと容易に連携できるよう、プラットフォームが包括的なAPIアクセスを提供していることも重要です。当然ながら、データセキュリティ体制の管理そのものを保護対象の機密データと同様に安全に保つため、ロールベースのアクセス制御の実装も不可欠です。これらを備えたツールを導入することで、導入の障壁を最小限に抑え、チームが迅速にDSPMの効果を得られるようになります。

データの発見

発見機能は、「価値のある機密データはどこにあるのか？」という問いに答えるものです。DSPMは、主要なクラウドプロバイダーやSaaSプラットフォーム、さらにはSnowflake、Salesforce、Workdayといった多様なエンタープライズ アプリケーションから、オンプレミスのデータベースやファイル共有に至るまで、広範なデータストアにわたって構造化データ、非構造化データ、および半構造化データを発見する必要があります。これらの情報や、リスクにさらされる可能性のあるその他のオブジェクトは、セキュリティチームに報告されるべきです。

データの分類

分類を行うことで、データが価値のあるものか機密性の高いものか、そしてどのような種類のデータであるかを把握できます。それは「シャドウデータストアが存在するか？」といった問いに答えるものです。何よりもまず、DSPMの分類機能には自動化と正確性が求められます。プラットフォームがこれを自動かつ正確に行えないのであれば、現代のハイブリッド環境でDSPMを導入する意味が失われてしまいます。

自動化においては、以下のようなさまざまな分類機能への対応が不可欠です。

• オブジェクト名、テーブル名、列名だけでなく、データストア内の実際のコンテンツを分析する
• 標準で分類機能を提供する（顧客によるルール定義は作業の遅延を招くため不要）
• 規制対象データ（GDPR、PCI DSS、HIPAAなど）を特定する
• 独自の機密データに合わせて、ユーザーが分類ルールを定義できるようにする
• 新しく追加されたデータベース、テーブル、列内の価値あるデータや機密データを特定する
• 新たな価値あるデータや機密データが発見された際、セキュリティチームに通知する
• データを組織の環境外へ持ち出すことなく、その場でスキャンを行う
• スキャン時にデータのサンプリングを行い、コンピューティング コストを削減する
• 近接分析を用いて、価値あるデータや機密データの検出精度を高める
• 価値あるデータや機密データが誤って分類された場合に、誤検知を修正するためのワークフローを備える

アクセスガバナンス

アクセスガバナンスは、承認されたユーザーのみが特定のデータストアやデータ種別にアクセスできることを保証するものです。DSPMのアクセスガバナンスプロセスは、「誰がどのデータにアクセスできるのか」あるいは「過剰な権限が付与されていないか」といった関連する問題も明らかにします。プラットフォームの自動化機能には、データストアにアクセス可能なすべてのユーザーを特定する機能が含まれている必要があります。また、それらのデータストアにアクセスできるすべてのロールも特定すべきです。

さらに、DSPMはそれらのデータストアにアクセスするすべてのリソースを特定する必要があります。プラットフォームは、各ユーザー、ロール、リソースに関連付けられた権限レベルも追跡しなければなりません。最後に、DSPMはデータストアにアクセス可能な外部のユーザーやロールを検出する必要があります。これらすべての情報は分析に役立てられ、組織のデータストアに関連するリスクレベルを判断する材料となります。

リスク検出と修復

この領域は、脆弱性管理の機能に関するものです。リスク検出には、価値のあるデータや機密データの侵害につながる可能性のある攻撃パスを特定することが含まれます。従来のセキュリティは、通常、ネットワーク機器、サーバー、エンドポイントといった、データを支えるインフラに焦点を当ててきました。

DSPMは、価値のある機密データに影響を与える脆弱性や、そうしたデータにアクセスする安全でないユーザーの検出に重点を置いています。また、GDPR、SOC2、PCI DSSなどの業界ベンチマークやコンプライアンス基準に照らしてデータをチェックします。その主な狙いは、データストア、ユーザー、リソース間の関係を視覚的にマッピングすることで、調査と修復を円滑に進めることにあります。プラットフォームは、価値のある機密データ、アクセス、リスク、設定を組み合わせた独自の検知ルールを構築できる必要があります。また、組織や環境に固有の潜在的なデータ セキュリティ リスクを特定するためのカスタムクエリもサポートすべきです。

リスクが検出された際には、セキュリティチームの特定の担当者に通知が送信されるようにする必要があります。さらに関連するワークフローによって、チケット管理システムなどのサードパーティ製品を自動的に連携させるべきです。利便性を高めるために、最新のグラフ機能を活用して、価値のある機密データに至る攻撃パスを可視化し、検索によって特定できるようにすることが求められます。

コンプライアンスの確保

現代の組織は、価値のある機密データを管理するさまざまな法律や規制を遵守する必要があります。例えば、欧州連合のGDPR（一般データ保護規則）は、氏名、生体データ、公的身分証明書番号、IPアドレス、位置情報、電話番号などの個人データに対するEU市民の権利を保証することを目的としています。遵守しなかった場合の段階的な罰金制度では、企業の全世界における年間売上高の最大4％、または2,000万ユーロのいずれか高い方の額が科される可能性があります。

HIPAA（医療保険の携行性と責任に関する法律）、GLBA（グラム・リーチ・ブライリー法）、PCI DSS（クレジットカード業界データセキュリティ基準）、そして新しいCCPA（カリフォルニア州消費者プライバシー法）などの同様の法律は、特定の種類の価値ある機密データの保護を義務付けています。DSPMは、関連するあらゆる法律や規制に関連する組織内のすべてのデータストアにあるすべてのデータを、自動的に検出して分類できなければなりません。また、データをコンプライアンス ベンチマークへ自動的にマッピングする必要があります。

組織のステークホルダーは、不適切に配置されたPII（個人を特定できる情報）、シャドウデータ、または価値のある機密データを含む放置されたデータストアなど、データコンプライアンスのギャップに関するカバレッジ ヒートマップを受け取れるようにすべきです。また、データ責任者は、地域や部門などの軸でデータコンプライアンスを追跡・管理するためのダッシュボードやレポートを受け取る必要があります。規制対象となる価値ある機密データのセキュリティを確保することに加え、プラットフォームは監査人向けのコンプライアンス文書作成を簡素化し、迅速化させるものでなければなりません。

プルーフポイントのDSPMソリューションは、インプレーススキャンを通じて迅速な価値創出を実現し、セキュリティチームが現代の複雑なデータ環境におけるあらゆるデータセキュリティの課題に対処できるよう支援します。詳細はプルーフポイントまでお問い合わせください。

DSPMの核心的な利点は、データがどこに保存されていても、すべてのデータを継続的に安全に保護する組織の能力を加速させることにあります。データセキュリティ体制の評価とそれに基づく行動は、クラウド全般、アプリケーション、ネットワーク、デバイス、IDなどに影響を与える他の種類のセキュリティ体制管理とは異なります。DSPMはデータそのものにピンポイントで焦点を当てます。

データを安全に保護するための一環として、DSPMはセキュリティ、IT運用、およびDevOpsチームが以下の事項を実現できるよう具体的に支援します。

• 価値のある機密データの発見： 忘れ去られたデータベースやシャドウデータストアを含め、あらゆる環境にわたる価値ある機密データを発見します。
• データの分類とマッピング： 価値のある機密データを分類して規制のフレームワークに対応させることで、露出している領域とその程度を特定します。また、データのリネージを追跡し、データの出所や誰がアクセス権を持っていたかを把握します。
• 攻撃パスの特定： ID、アクセス、脆弱性、設定をデータの機密性と照らし合わせて、価値のある機密データへの攻撃パスを特定します。最も重要なものに基づいてリスクの優先順位を決定します。
• DevSecOpsワークフローとの連携： リスクを修復するためにDevSecOpsワークフローと連携します。特にアプリケーション開発ライフサイクルの初期段階で発生するリスクに対処します。
• 放置されたデータストアの特定： 監視が行き届かず、攻撃者の格好の標的となりやすい放置されたデータストアを特定します。コスト削減のため、これらを廃止したり、より安価なストレージリポジトリに移行したりすることも可能です。
• あらゆるデータの保護： SaaS、PaaS、パブリッククラウド、マルチクラウド、オンプレミス、ハイブリッド環境にあるすべてのデータを保護します。
• LLMおよびAIシステムの保護： 価値のある機密データが意図せず露出するのを防ぐため、LLM（大規模言語モデル）やAIシステムを保護します。

DSPMプラットフォームは、AWS（Amazon Web Services）、Microsoft Azure、GCP（Google Cloud Platform）、Snowflake、およびその他の市場をリードするプロバイダーを含む、組織が利用しているクラウド サービス プロバイダーのセキュリティおよび運用サービスとシームレスに統合されます。DSPMは、プロバイダーのクラウド内で使用されるセキュリティおよび運用ツールの上に不可欠なレイヤーを提供し、SaaS、PaaS、パブリッククラウド、マルチクラウド、オンプレミス、ハイブリッド環境のどこへデータが移動しても、確実に分類および保護されるようにします。

DSPMソリューションの導入は、多くの利点がある一方で、実装を成功させるために組織が対処すべきいくつかの大きな課題も存在します。

• データの複雑性と規模： 多様なクラウドプラットフォームやオンプレミスシステムにわたるデータの管理と保護は、多大な複雑さを伴います。組織は、データ環境全体で一貫したセキュリティポリシーを維持しながら、さまざまなデータタイプ、形式、場所を管理しなければなりません。
• 統合の課題： 従来のセキュリティシステムを運用している組織では、DSPMと既存のセキュリティ ソリューションとのシームレスな相互運用性を確保するのに苦労することがよくあります。この統合には、現在のインシデント対応プロセスを妨げないよう、慎重な計画とテストが必要です。
• ユーザーへの定着とトレーニング： 従業員が新しいデータセキュリティ対策を生産性の妨げと見なし、導入に抵抗を感じる場合があります。DSPMの慣行を定着させるためには、包括的なトレーニング プログラムやチェンジマネジメント戦略が必要です。
• リソース要件： DSPMの実装には、専門知識やインフラへの投資を含む多大なリソースが必要です。特に、複数のクラウドや拠点にまたがる広範なデータ環境を保有する企業にとって、コストの検討は非常に重要です。
• 継続的なメンテナンス： 正確なデータインベントリを維持し、セキュリティポリシーを最新の状態に保つことは、常に直面する課題です。これには、古いシステムや未使用のデータストアの管理、組織の進化に合わせた適切なアクセス制御の維持が含まれます。
• 技術的な設定： 不適切なアクセス制御、保護されていないファイルやディレクトリ、不要な機能へのアクセスなど、適切な設定管理に苦慮する組織は少なくありません。これらの設定ミスが放置されると、セキュリティの脆弱性につながります。

これらの課題は困難に思えるかもしれませんが、適切な計画と段階的な導入アプローチによって効果的に管理することが可能です。これらの障害を乗り越えた組織は、機密データをより適切に保護し、強固なセキュリティ体制を構築することができます。

DSPMの導入を成功させるには、組織の目標やセキュリティ要件に合致した構造的なアプローチが必要です。DSPMの有効性を最大限に高めるための重要なプラクティスを以下に紹介します。

現在のセキュリティ体制の評価

まず、既存のデータ管理の実践方法とセキュリティ管理策を包括的に分析することから始めます。このアセスメントを通じて、現在のセキュリティ対策のギャップを特定し、改善のための基準を確立する必要があります。DSPM戦略の策定に役立てるため、現在のデータフロー、保存場所、およびセキュリティ設定を文書化してください。

適切なDSPMソリューションの選択

既存のセキュリティスタックとシームレスに統合し、自動化機能を提供するDSPMソリューションを選択してください。包括的なデータの発見、分類、およびリスクアセスメントをサポートする機能を備えているかを確認します。そのソリューションは、組織の成長に合わせて拡張でき、進化し続けるセキュリティ要件に適応できるものである必要があります。

機密データの優先順位付け

初期のDSPMの取り組みは、最も重要かつ機密性の高いデータ資産に焦点を当ててください。データの機密性に基づいた明確な分類体系を作成し、各カテゴリーに適したセキュリティ設定を特定します。このリスクベースのアプローチを採用することで、包括的な保護範囲の構築を進めつつ、最も価値のある資産を優先的に保護できるようになります。

セキュリティ意識の文化を醸成する

データ取り扱いに関する明確なポリシーを策定し、データセキュリティの維持において全員が自身の役割を確実に理解できるようにします。特定されたリスクに基づき、新たなポリシーを作成するとともに、それを遵守させるための明確な手順を確立してください。定期的なトレーニングやコミュニケーションを行うことで、組織全体にセキュリティ意識を浸透させることができます。

自動化された制御機能の実装

手作業による工数を削減し、一貫したポリシー適用を実現するために、自動化されたセキュリティ制御を導入します。これには、最小権限アクセスの適用、継続的なモニタリング、およびセキュリティ問題の自動修復などが含まれます。自動化を活用することで、セキュリティチームのワークロードを軽減しながら、高いセキュリティ基準を安定して維持することが可能になります。

モニタリングと調整

リアルタイムのモニタリングと定期的なセキュリティアセスメントを通じて、継続的な可視性を維持します。DSPMのダッシュボードやレポート機能を活用してセキュリティ指標を追跡し、必要に応じてポリシーを調整してください。この継続的なプロセスにより、新たなリスクを特定し、データセキュリティ体制を改善するための機会を見出すことができます。

DSPMは現代のセキュリティ アーキテクチャにおいて極めて重要な役割を果たしますが、他のセキュリティ ソリューションをどのように補完し、またそれらとどう違うのかを理解しておくことは重要です。各ツールは、セキュリティ エコシステムの中で特定の目的を担っています。

CSPM (クラウドセキュリティ体制管理)

CSPMは、クラウドインフラの設定を保護し、セキュリティのベストプラクティスへの準拠を確実にすることに焦点を当てています。CSPMツールは、クラウドリソースを監視し、設定ミスやコンプライアンス違反、インフラ関連のセキュリティリスクを特定します。

CSPMがインフラ層を保護するのに対し、DSPMは環境内にある実際の機密データに焦点を当てる「データファースト」のアプローチを取ります。DSPMは、データの使用パターン、アクセス権限、環境間のデータ移動についてより深い可視性を提供し、CSPMのインフラレベルのセキュリティ制御を補完します。

SIEM（セキュリティ情報およびイベント管理）

SIEMソリューションは、組織のインフラ全体のさまざまなソースからセキュリティイベントを集約・分析し、潜在的なセキュリティ インシデントを検出します。これらのプラットフォームは、不審なアクティビティの特定やリアルタイムの脅威検出に優れています。

DSPMがSIEMと異なる点は、イベントの監視ではなく、データセキュリティポスチャに明確に焦点を当てていることです。SIEMツールがセキュリティイベントやログを追跡するのに対し、DSPMはデータのリスク露出、分類、保護状況を継続的に評価し、データセキュリティに関するより包括的な可視性を提供します。

DLP（データ損失防止）

DLPソリューションは、ネットワーク境界を越える機密データの移動を監視およびブロックすることにより、不正なデータの持ち出しを防止します。これらのツールは、主にデータの出口でのポリシー適用を通じて、データ侵害の防止に重点を置いています。

DSPMは、データ セキュリティ ポスチャとリスク露出を継続的に可視化することで、DLPの予防的アプローチをさらに拡張します。DLPがデータの移動を制御するのに対し、DSPMは発見、分類、リスク評価、そしてデータライフサイクル全体にわたる修復を含む、より広範な視点からデータセキュリティを捉えます。

さまざまな分野の組織が、データセキュリティの実践を強化するためにDSPMを活用しています。主な利用者は以下の通りです。

• 大規模なデータセットを保有する企業
• クラウドサービスの利用者
• 規制の厳しい業界
• テクノロジー企業
• 政府機関
• 中小企業

事例1：すべてのデータストアにわたるデータの発見と分類の自動化

見落とされがちな価値のある機密データの潜在的なソースとして、「シャドウデータストア」と「放置されたデータストア」の2つが挙げられます。これらは、特にデータサイエンティストやデータエンジニアが一時的なテストなどの目的でアドホックに作成した複製である場合、通常のセキュリティ管理の対象外となっていることがよくあります。

このDSPMの事例は、データチームやエンジニアリングチームと密接に連携し、あらゆる環境におけるすべてのデータを自動的に発見、分類、検証できるため、特にセキュリティチームにとって大きなメリットとなります。このプロセスには、ネイティブ データベース、ブロックストレージ、ファイル ストレージ サービスにわたる構造化データおよび非構造化データのインベントリ作成が含まれます。

事例2：データの露出防止とアタックサーフェスの最小化

多くの組織がハイブリッドクラウド戦略を推進するのは、それがイノベーションを可能にするからですが、その結果としてアーキテクチャは絶えず進化し、マイクロサービスやデータストアも変化し続けます。セキュリティチームは、データチームやエンジニアリングチームと足並みを揃え、データの露出やそれに伴うアタックサーフェスを最小限に抑えるためにDSPMを活用します。

DSPMプラットフォームは、放置されたデータストアや古いデータストア、バックアップ、スナップショットなどを含むデータストアと、それらに関連するリソースの設定ミスを継続的にチェックすることで、リスクにさらされているデータを自動的に特定します。また、価値のある機密データへのアクセス権を持つ、脆弱なアプリケーションや露出したリソースを検出します。

事例3：データアクセス権限の追跡と最小権限の徹底

不適切なアクセス権限は、内部関係者による不注意、あるいは悪意のある攻撃者による意図的な行為のいずれかによって、価値のある機密データの不正利用や露出を招く恐れがあります。DSPMを利用することで、セキュリティチームはすべてのデータストアに対するアクセス権限について、簡潔で正確な全体像を自動的に把握できるようになります。

DSPMは、すべてのユーザーのアクセス権限をカタログ化し、それらを実際の使用状況と比較することで、休止状態のユーザーや過剰な権限を持つユーザーを特定します。これによって作成されるToDoリストに基づき、IT管理者は過剰な権限を迅速に修正したり、データに潜在的なリスクをもたらす休止ユーザーのアカウントを削除したりすることが可能になります。

事例4：規制へのコンプライアンスを積極的に監視する

さまざまな法律や規制により、データセキュリティのコンプライアンス監査が義務付けられています。DSPMセキュリティにより、ガバナンス担当者は主要なベンチマークや関連する制御機能に対する継続的なチェックを通じて、コンプライアンスや監査の要件を常に先取りして把握することができます。例えば、PCI DSSの要件3では、加盟店は保存された決済アカウントデータを暗号化やその他の制御手段で保護しなければならないと規定されています。

DSPMは、保存されている決済アカウントデータを特定し、それが暗号化されているかどうかを確認します。このようなコンプライアンス活動は、プラットフォームのデータカタログ、アクセス権限インテリジェンス、およびリスク検出機能によって実現されます。これらすべてが、価値のある機密データのセキュリティ体制を明らかにし、コンプライアンス監査のエビデンスを提供します。

事例5：AI利用の実現

生成AIやLLMは、データセキュリティに重大な課題をもたらしています。適切なデータ分類が行われていないと、価値のある機密情報が意図せず処理されたり露出したりする現実的なリスクが生じます。この課題は、IT部門の監視なしに事業部門が直接導入する「シャドウAI」の蔓延によって、さらに複雑化しています。

このような導入は、セキュリティ対策の不一致を招き、脆弱性を生み出す原因となります。価値のある機密データが、企業のデータガバナンスポリシーに沿わない方法で使用されたり、アクセスされたりする可能性があるためです。DSPMを導入することで、組織はLLMや生成AIアプリケーションにデータが投入される前に価値のある機密データを特定し、データのブロックやマスキング、あるいはその他の方法で意図しない露出を防ぐための適切な措置を講じることができます。

DSPMは、複雑なマルチクラウド環境で事業を展開し、厳しいコンプライアンス要件に直面している組織にとって、極めて重要なセキュリティニーズに対応します。このアプローチは、機密データに対するきめ細かな可視性を提供すると同時に、リスク修復を自動化し、セキュリティ慣行を規制基準に適合させます。

主要なDSPMプラットフォームは、AI駆動のデータ発見とコンテキストに基づくリスクスコアリングを提供し、既存のセキュリティツールとシームレスに統合します。組織は、ポリシー適用の自動化と継続的なコンプライアンス監視を維持できるソリューションを優先すべきです。これらの機能により、チームは運用の効率性を損なうことなく、機密資産を保護することが可能になります。

DSPMソリューションは、最小権限アクセスの徹底とハイブリッド エコシステム全体にわたるデータのマッピングにより、アタックサーフェスを効果的に削減します。適切な戦略をとることで、データセキュリティは、新たな脅威やダイナミックなビジネスニーズに適応するプロアクティブなフレームワークへと進化します。