DSPMの「デジャヴ」：なぜ我々はシャドウITの「紙の盾」を再構築しているのか

トニー・フラム（プロダクトマネジメント担当 ディスティンギッシュド・エンジニア）

2026年3月19日 5 読了時間：5分

データ・セキュリティ・ポスチャー・マネジメント（DSPM）は、私を含め多くの人にとって、少々謎めいた存在です。私はよく、DSPMとは一体何なのか、 DSPMとは一体何なのかDSPMとは一体何なのか、というやや学術的な議論に巻き込まれることがよくあります。そうした議論を重ねた末、私は次のように結論づけました。DSPMの本質は、単に 「探すよう指示していないデータ」を検知するデータセキュリティソリューション。分類（何が機密情報かを決定する基準）を定義する必要はありません 機密情報であるかかを決定する手段）やポリシー（ どこで機密データを検索すべきか 、および 見つけた際の対応方法を記述するものです）。ただ実行するだけで、あなたが気づいていなかった機密データを見つけ出し、見つかったものをすべてカタログ化します。シンプルです。）などです。これを起動するだけで、あなたが気づいていなかった機密データを見つけ出し、見つかったものをすべてカタログ化してくれます。シンプルです。

私は今でもこの定義を支持していますが、同僚のスハース・コダガリが、これよりもはるかに洞察に富んだ表現でそれを言い表しており、私はその言葉が頭から離れません。彼はこう言いました。「DSPMは、まさにシャドウITの再来だ」と述べたのだが、この言葉に私は衝撃を受けた。 これは本質的には社内ジョークのようなものだが、説明させてほしい。

約10年前にさかのぼると、Secure Web Gateway SWG）市場はすでに十分に定着しており、基本的にはありふれた存在となっていました。  SWGソリューションは、すべてのWebトラフィックを可視化し、任意のコンテンツをブロックし、環境内のほぼあらゆるデバイスから送信されるHTTPリクエストを1つ残らず記録することができます。これは強力な技術であり、一般的に、包括的なセキュリティスタックにおいて絶対に不可欠な要素であると見なされています。その後、Cloud Access Security Broker CASB）市場が登場しました。これは主に、当社の前身企業の一つであるSkyhigh Networksによって開拓されたもので、同社は今日でも「シャドウIT」と呼ばれるソリューションを開発しました。

シャドウITとは何をするものなのでしょうか？ 私からの質問で説明させてください。 twtimg.com が何なのかご存知ですか？おそらくご存じないでしょうが、これは「Twitter images」の略称であり、かつてTwitterと呼ばれていたXに関連する数多くのドメインの一つです。もしSWGソリューションのレポートデータでこれを見かけたとしても、それが何なのか見当もつかないでしょう。もう一つ、ランダムな例を挙げましょう。 sanpdf.comです。ご存知ない方は、Googleで検索すれば、SanPDFがドキュメント変換ツールであることがすぐに分かります。ドメイン自体は明確ですが、SanPDFに関するセキュリティ上の質問に、どれほど簡単に答えられるでしょうか？彼らの利用規約には、変換されたデータを自社の目的で使用する権利が明記されていますか？データが安全に保管されているかご存知ですか？要するに、ユーザーにその使用を許可すべきかどうか、判断できますか？ おそらく、その答えは分からないでしょう。これこそがシャドウITの役割です。シャドウITは、SWGレポートの内容を理解し、ビジネスリスクに基づいた合理的なポリシーを策定する手助けをしてくれます。

ここで興味深いのは、シャドーITベンダーであるSkyhigh Networksには、ウェブトラフィックを検査したり、何かをブロックしたりする基本的な機能がなかったという点です。同社はSWGのログデータをインポートし、リスクがどこにあるかを示す有益なレポートを作成し、それを基にポリシーを定義できるようにしていました。シャドーITは、許容できない特定のリスク要素を定義できるようにすることで、ウェブポリシーの構成要素を生成することができ、それによってブロックすべきアプリケーションとその関連ドメインのリストが作成される仕組みでした。 ここがオチです――Shadow IT 自力でポリシーを適用することができなかった。彼らは、 が、あるいは独自のプロキシを構築するかのいずれかを選ばざるを得ませんでした。 シャドーITは、SWGへの依存を続けるか、あるいは冗長なプロキシになるかのいずれかを選ばざるを得なかったという状況に追い込まれ、どちらの選択肢も顧客にとっては魅力的ではありませんでした。

これは、今日の純粋なDSPMソリューションを象徴する完璧な例えです。現在のSecurity Service Edge SSE）ベンダーは、承認済みのクラウドアプリケーション、Webトラフィック、プライベートアプリなどにおけるデータを保護するために必要な可視性と制御機能をすべて備えています。では、DSPMはどのような価値を提供するのでしょうか？ DSPMは、SSEのデータセキュリティ技術をより効果的に活用できるよう支援します これは、かつてシャドウITが組織のSWG技術の活用を促進したのと同様の仕組みです。最新のSSEポートフォリオを活用すれば、データを正確に分類し保護することは可能ですが、どのような対策を講じても、「自分が把握していない情報は何か？」という不安はつきものです。ユーザーが機密データを送信しているアプリのうち、防止策としてポリシーを策定していないものはどれでしょうか？ 自社が扱っているにもかかわらず、これまで考慮していなかった機密データの種類は何でしょうか？全く気づいていない法律に違反している可能性はないでしょうか？DSPMは、こうした疑問に答えることを目指しています。DSPMは、 あらゆる あらゆる種類の機密データ どこで あらゆる種類の機密データを検索します。Shadow ITがそうであったように、あなたが知らないことを明らかにし、自らを守るためのポリシーを構築できるようにします。

課題は、多くのDSPMベンダーが現在、かつてのシャドウITと同じ状況に陥っているという点だ。つまり、彼らは 依存し続けるか か、あるいは 不要になる。ほとんどの純粋なDSPMソリューションは、あくまで検出ツールに過ぎず、 保護 。現在、これらのベンダーは、検出されたデータに対する保護を実施するために既存のSSEベンダーに依存するか、あるいは、多くの顧客がSSEへの投資を通じて既に導入している保護機能と同等の機能セットを構築しなければならない。多くのベンダーが、既存のSSEソリューションのCASB部分と完全に重複するIaaSおよびSaaSアプリケーションとのAPI連携を既に構築していることから、彼らの選択はすでに下されたようである。

堅牢なSSEソリューションを導入し、さらにDSPM専門ベンダーにも投資している組織の立場に立ってみてください。DSPMソリューションによって機密データが配置されている場所は特定できましたが、実際に検出されたデータを保護するにはSSEソリューションを使用する必要があります。 たとえばMicrosoft 365と統合された2つの別々のソリューションがあり、両方のツールが同じデータをスキャンしようとする際に、MicrosoftのAPIレート制限に抵触してしまう可能性が高いでしょう。このアプローチは理にかなっているでしょうか？また、もしあなたが純粋なDSPMベンダーであるなら、この問題をどのように解決しますか？CASB市場がおよそ10年前に解決した問題に対して、改めてソリューションを構築するのでしょうか？

私は市場の予言者というわけではありませんが、DSPMとシャドウITの間に類似点があることは否定できません。DSPMが、主にSSEといった、自らが強化しようとしているテクノロジースタックに吸収されていくという、同じ道をたどる可能性があると考えられるのは、少なくとも理にかなっていると思います。なぜ組織は、 両方の DSPM と DSPMとSSEソリューションの両方を導入しなければならないのでしょうか？発見されたデータを実際に保護するために最終的に必要となるSSEスタックに、DSPMの自動検出アプローチを不可欠な要素として組み込む方が理にかなっているのではないでしょうか？市場は、シャドーITの場合と同様、最終的には「検出と適用は同一のプラットフォームに属すべきだ」という結論に達するのではないかと私は考えています。

ブログへ戻る