DSPMは、またしてもシャドーITの再来か

トニー・フラム（プロダクトマネジメント担当 ディスティンギッシュド・エンジニア）

2026年3月19日 5 読了時間：5分

データ・セキュリティ・ポスチャー・マネジメント（DSPM）は、私を含め多くの人にとって、少々謎めいた存在です。私はよく、DSPMとは一体何なのか、 DSPMとは一体何なのかDSPMとは一体何なのか、というやや学術的な議論に巻き込まれることがよくあります。そうした議論を重ねた末、私は次のように結論づけました。DSPMの本質は、単に 「探すよう指示していないデータ」を検知するデータセキュリティソリューションに他ならない。分類（何が機密情報かを決定する基準）を定義する必要はありません 機密情報であるかかを決定する手段）やポリシー（ どこで機密データを検索すべきか 、および 見つけた際の対応方法を記述するもの）を定義する必要はありません。）などです。これを起動するだけで、あなたが気づいていなかった機密データを見つけ出し、見つかったものをすべてカタログ化してくれます。簡単です。

私は今でもこの定義を支持していますが、同僚のスハース・コダガリが、これよりもはるかに洞察に富んだ表現でそれを言い表しており、私はその言葉が頭から離れません。彼はこう言いました。「DSPMは、まさにシャドーITの再来だ」と述べたのだが、この言葉に私は衝撃を受けた。 これは本質的には社内ジョークのようなものだが、説明させてほしい。

約10年前にさかのぼると、Secure Web Gateway SWG）市場はすでに十分に定着しており、基本的にはありふれた存在となっていました。SWGソリューションは、すべてのWebトラフィックを監視し、任意のコンテンツをブロックし、環境内のほぼあらゆるデバイスから送信されるHTTPリクエストを一つ残らず記録することができます。  これは強力な技術であり、一般的に、あらゆる包括的なセキュリティスタックにおいて絶対に不可欠であると見なされています。その後、Cloud Access Security Broker CASB）市場が登場しました。これは主に、当社の前身企業の一つであるSkyhigh Networksによって開拓されたもので、同社は今日でも「シャドウIT」と呼ばれるソリューションを開発しました。

シャドウITとは何をするものなのでしょうか？　私からの質問で説明させてください。 twtimg.com が何なのかご存知ですか？ おそらくご存じないでしょうが、これは「Twitter images」の略称であり、かつてTwitterと呼ばれていたXに関連する数多くのドメインの一つです。 もしSWGソリューションのレポートデータでこれを見かけたとしても、それが何なのか見当もつかないでしょう。 別の例を挙げましょう。 sanpdf.comを例に挙げましょう。 ご存知ない方は、Googleで検索すれば、SanPDFがドキュメント変換ツールであることがすぐに分かります。 ドメイン自体は明確ですが、SanPDFに関するセキュリティ上の質問に、どれほど簡単に答えられるでしょうか？ 利用規約の文言から、変換されたデータを自社目的で使用する権利が彼らにあると言えるでしょうか？ 彼らがデータを安全に保管しているかご存知ですか？ 要するに、ユーザーにその使用を許可すべきか判断できますか？  おそらく、その答えは分からないでしょう。これこそがシャドウITの役割です。シャドウITは、SWGレポートの内容を理解し、ビジネスリスクに基づいた合理的なポリシーを策定する手助けをしてくれます。

ここで興味深いのは、シャドウIT対策ベンダーであるSkyhigh Networksには、ウェブトラフィックを検査したり、何かをブロックしたりする基本的な機能がなかったという点だ。  同社はSWGのログデータをインポートし、リスクがどこにあるかを示す有益なレポートを作成し、それを基にポリシーを定義できるようにしていた。シャドーITは、許容できない特定のリスク要素を定義できるようにすることで、Webポリシーの構成要素を生成することができ、それによってブロックすべきアプリケーションとその関連ドメインのリストが作成された。ここがジョークのオチだ――シャドーITは 自力でポリシーを適用することができなかった。彼らは、 が、あるいは独自のプロキシを構築するかのいずれかを選ばざるを得ませんでした。  シャドーITは、SWGへの依存を続けるか、あるいは冗長なプロキシになるかのいずれかを選択せざるを得なかったという状況に追い込まれ、どちらの選択肢も顧客にとっては魅力的ではありませんでした。

これは、今日の純粋なDSPMソリューションを象徴する完璧な例えです。現在のSecurity Service Edge SSE）ベンダーは、承認済みのクラウドアプリケーション、Webトラフィック、プライベートアプリなどにおけるデータを保護するために必要な可視性と制御機能をすべて備えています。では、DSPMはどのような価値を提供するのでしょうか？  DSPMは、SSEのデータセキュリティ技術をより効果的に活用できるよう支援します かつてシャドウITが組織のSWG技術の活用を促進したのと同様に。最新のSSEポートフォリオを活用すれば、データを正確に分類し保護することは可能ですが、どのような対策を講じても、「自分が把握していないリスクは何か？」という懸念はつきものです。  ユーザーが機密データを送信しているアプリのうち、防止策としてポリシーを策定していなかったものはどれか？ 自社が扱っている機密データの種類で、これまで考慮していなかったものは何か？ 全く気づいていない法律に違反していないか？ DSPMは、こうした疑問に答えることを目指しています。DSPMは、 あらゆる あらゆる種類の機密データ どこに あらゆる場所からあらゆる種類の機密データを検索します。Shadow ITがそうであったように、あなたが知らないことを明らかにし、自らを守るためのポリシーを構築できるようにします。

課題は、多くのDSPMベンダーが現在、かつてのシャドウITと同じ状況に陥っているという点だ。つまり、彼らは 依存し続けるか か、あるいは 不要になる。 ほとんどの純粋なDSPMソリューションは、あくまで検出ツールに過ぎず、 保護 。現在、これらのベンダーは、検出されたデータに対する保護を実施するために既存のSSEベンダーに依存するか、あるいは、多くの顧客がSSEへの投資を通じて既に導入している保護機能と同等の機能セットを構築しなければならない。多くのベンダーが、既存のSSEソリューションのCASB部分と完全に重複するIaaSおよびSaaSアプリケーションとのAPI連携をすでに構築していることから、彼らの選択はすでに下されたようだ。

堅牢なSSEソリューションを導入し、さらにDSPM専門ベンダーにも投資している組織の立場に立ってみてください。DSPMソリューションによって機密データがどこに配置されているかは把握できていますが、実際に検出されたデータを保護するにはSSEソリューションを使用する必要があります。  たとえばMicrosoft 365と統合された2つの別々のソリューションがあり、両方のツールが同じデータをスキャンしようとする際に、MicrosoftのAPIレート制限に抵触してしまう可能性が高いでしょう。このアプローチは理にかなっているでしょうか？また、もしあなたが純粋なDSPMベンダーであるなら、この問題をどのように解決しますか？CASB市場がおよそ10年前に解決済みの問題に対して、改めてソリューションを構築するのでしょうか？

私は市場の予言者というわけではありませんが、DSPMとシャドウITの間に類似点があることは否定できません。DSPMが、主にSSEといった、自らが強化しようとしているテクノロジースタックに吸収されていくという同じ道をたどる可能性があると考えられるのは、少なくとも理にかなっていると思います。なぜ組織は、 両方を DSPM と SSEソリューションの両方を導入しなければならないのでしょうか？ 発見されたデータを実際に保護するために最終的に必要となるSSEスタックに、DSPMの自動検出アプローチを不可欠な要素として組み込む方が理にかなっているのではないでしょうか？ 市場は、シャドーITの場合と同様の結論に達するだろうと私は推測しています。つまり、検出と適用は同一のプラットフォームに属すべきだということです。

ブログへ戻る