データセキュリティの進化：従来のDLPからDSPMへ

Hari Prasad Mariswamy - プロダクトマネジメント担当ディレクター

2025年2月20日 5 分で読めます

概要

データセキュリティは常に企業にとって最重要課題であった。しかし、ビジネスの急速なデジタル化とデータ環境の複雑化が進む中、従来のセキュリティ対策では不十分となっている。こうした課題に対処するため、データセキュリティは進化を遂げており、新たなアプローチとして「データセキュリティポスチャー管理（DSPM）」が登場している。

DSPMとは？

DSPMは、組織のデータ資産を管理し、保護するための包括的なアプローチです。これには、データの可視性を確保し、そのセキュリティ態勢を評価し、脅威から保護するための対策を講じることが含まれます。データセキュリティのワークフローを自動化することで、DSPMは組織がリスクをプロアクティブに特定し、軽減することを可能にし、データが常に保護されるようにします。

DSPMが重要である理由

DSPMの重要性は、以下の重要なユースケースに対応できる能力によって強調されます。

1. データディスカバリと分類: DSPMソリューションは、環境全体でデータを継続的にスキャンし、包括的なインベントリを作成し、機密性、リスクレベル、コンプライアンス要件に基づいてデータをタグ付けおよび分類します。この可視性により、組織は保有するデータとその場所を正確に把握できます。
2. アクセスガバナンス: 機密データに誰がアクセスできるかを理解することは、DSPMの要です。アクセス権限を分析し、アクセスパターンを監視することで、DSPMは組織が最小権限アクセス（least-privilege access）ポリシーを適用し、データ保護規制への準拠を確実にします。
3. リスク分析とセキュリティ態勢評価: DSPMは、データの脆弱性、設定ミス、アクセス異常を分析することで、セキュリティ態勢を継続的に評価します。この継続的な評価により、リスクに関するリアルタイムの洞察が得られ、組織は発生した脆弱性を優先順位付けして対処することができます。
4. 自動修復とポリシー適用: DSPMソリューションは、セキュリティとコンプライアンスの問題に迅速に対処するための自動ポリシー適用を可能にします。アクセス制御の調整や機密データの暗号化など、自動化されたワークフローにより、継続的な手動監視を必要とせずにリスクが効率的に対処されます。

従来のDLPとDSPMの比較

従来のDLPソリューションは、主にエンドポイント、ネットワーク、クラウドアプリケーション、電子メールを横断するデータの移動を監視および制御することで、データ流出の防止に重点を置いています。DLPは、不正なデータ転送をブロックするための事前定義されたポリシーを適用し、機密情報が組織の管理された環境から流出しないようにします。しかし、DLPは既知のリスクと事前定義されたルールに基づいて動作するため、データを分類し、ポリシーを効果的に管理するには、多くの場合、かなりの管理労力が必要です。

一方、DSPMはデータセキュリティに対し、よりプロアクティブで包括的なアプローチをとります。DSPMは、単にデータ損失を防ぐだけでなく、機密データがどこに存在し、誰がアクセスし、マルチクラウドおよびオンプレミス環境でどのように使用されているかについて深い可視性を提供します。設定ミス、セキュリティギャップ、コンプライアンスリスクをリアルタイムで特定し、データ侵害が発生する前に組織が是正措置を講じることを可能にします。DLPがデータの移動とポリシー適用に焦点を当てるのに対し、DSPMはデータディスカバリ、リスク評価、セキュリティ態勢の強化を重視しており、現代のクラウドファースト企業にとって不可欠なツールとなっています。

DSPMにおけるSSEの役割

DSPMとSecurity Service Edge (SSE) ソリューションの統合

主要なSSEベンダーによる最近のDSPM買収は、組織がDSPMを包括的なセキュリティ提供の一部として期待していることを示唆しています。より多くのベンダーがDSPMをSSEスイートに統合するにつれて、完全に統合されたSSE-DSPMソリューションは、セキュリティ運用を統合し、合理化しようとしている企業にとって、より魅力的なものとなります。

SSEは、Secure Web Gateway (SWG)、Cloud Access Security Broker (CASB)、Zero Trust Network Access (ZTNA)、およびその他の高度なセキュリティ機能を統合し、以下の機能を提供することでDSPMの成果を強化する強制エンジンとして機能します。

• 全チャネルにおけるデータの可視性と保護: SSEは、機密データがSaaS、IaaS、エンドポイント、またはプライベートアプリケーションのどこに存在していても、継続的に監視および保護されることを保証します。CASBとSWGは、不正なデータ露出を防ぐためのインラインセキュリティ制御を提供し、オンデマンドスキャンはクラウドストレージやコラボレーションツール内のリスクを検出します。
• ユーザーおよびエンティティ行動分析 (UEBA) によるプロアクティブなリスク軽減: DSPMは潜在的なデータ露出リスクを特定しますが、SSEにおけるUEBAは、ユーザー行動の異常を検出することでさらに一歩進んだ対策を提供します。ユーザーが突然、異常に大量の機密データをダウンロードしたり、制限されたファイルにアクセスしたりした場合、リスクベースのポリシーによってアラートや自動応答がトリガーされることがあります。
• 継続的なコンプライアンスとセキュリティ態勢管理 (CSPM): DSPMは、クラウドの設定ミスやポリシー違反を監視するためにCSPMに依存し、不適切なアクセス制御や設定ミスのストレージバケットによって機密データが露出したままにならないようにします。SSEは、リアルタイムで修復措置の適用を支援し、規制フレームワークへの継続的な準拠を保証します。
• ZTNAによるゼロトラストアクセス制御: ZTNAは、ID、デバイスの態勢、およびコンテキストリスクに基づいて、重要なデータへのアクセスが許可されることを保証します。DSPMは過度に露出したデータを特定するのに役立ち、ZTNAは最小権限アクセスを適用することで、不正アクセスや内部脅威のリスクを低減します。
• 活動監視とデータリスクプロファイリング: DSPMの有効性は、SSEによる継続的な活動監視とユーザーリスクプロファイリングと組み合わせることで向上します。データアクセスパターン、アプリケーションの使用状況、ユーザーリスクスコアを関連付けることで、組織はセキュリティ体制の全体像を把握し、潜在的なデータ侵害を防ぐための適応型ポリシーを適用できます。

DSPMにおけるAIの新たな役割: AI Security Posture Management (AI-SPM)

企業がAIサービスをますます取り入れるにつれて、AIによってもたらされる固有のリスクに対処するために、AI Security Posture Management (AI-SPM)という新たな分野が進化してきました。AI-SPMは、企業データがAIモデルとどのように相互作用するかについての可視性と制御に焦点を当て、未検証または保護されていないAIサービスによって機密情報が意図せず処理されるのを防ぎます。AI-SPMが提供するもの：

• AIインタラクションの可視性: AI-SPMは、さまざまなAIサービス全体でのデータ使用状況を監視し、データセキュリティポリシーへの準拠を保証します。
• AIワークフローにおけるデータリスク分析: AIワークフローでデータがどのように処理されるかを評価することで、AI-SPMは不正な共有や保存などのリスクを特定し、機密情報が保護された状態を維持します。

SSEプロバイダーがDSPM機能を拡張するのに適している理由

DSPMがデータリスクを特定し評価する一方で、Security Service Edgeは誤用を防ぎ、ポリシーを適用し、セキュアなアクセスを可能にする強制レイヤーとして機能します。両者を組み合わせることで、ハイブリッドおよびマルチクラウド環境全体で機密データを保護するための包括的なアプローチが提供され、組織は規制順守を維持しながら進化するセキュリティ脅威の一歩先を行くことができます。

SWG、CASB、ZTNA、CSPM、UEBA、リスクベースの監視といったSSE機能を活用することで、組織はDSPMの洞察を実行可能なセキュリティ制御に変換し、機密データがどこに存在し、どのようにアクセスされても保護されることを保証できます。

これらのSSEに裏打ちされた機能は、組織がDSPMを基本的なデータ監視を超えて拡張することを可能にし、より詳細なデータ保護とリスク管理を実現します。

結論

DSPMは、包括的なデータセキュリティ戦略の重要な要素です。DSPMの核となる原則を理解し、SSEやAI-SPMのような先進技術を活用することで、組織は貴重なデータ資産を効果的に保護できます。主要なSecurity Service Edgeソリューションプロバイダーとして、Skyhigh Securityは、お客様がDSPMの導入を進め、堅牢なデータセキュリティ体制を確立できるよう支援することに尽力しています。

ブログへ戻る