データセキュリティの進化：従来のDLPからDSPMへ

ハリ・プラサド・マリスワミ - プロダクト・マネジメント・ディレクター

2025年2月20日 5 分で読む

概要

データ・セキュリティは企業にとって常に最重要課題である。しかし、ビジネスの急速なデジタル化とデータ環境の複雑化により、従来のセキュリティ対策では不十分になっている。こうした課題に対処するため、データ・セキュリティに対する新たなアプローチが登場した：データ・セキュリティ体制管理（DSPM）である。

DSPMとは？

DSPMは、組織のデータ資産を管理し保護するための包括的なアプローチである。DSPMでは、データを可視化し、セキュリティの状態を評価し、脅威から保護するための対策を実施します。データ・セキュリティのワークフローを自動化することで、DSPMは組織がプロアクティブにリスクを特定し、軽減することを可能にし、データが常に保護されていることを保証します。

なぜDSPMが重要なのか？

DSPMの重要性は、次のような重要なユースケースに対応する能力によって強調できる：

1. データの発見と分類：DSPMソリューションは、環境全体のデータを継続的にスキャンして包括的なインベントリを作成し、機密性、リスクレベル、コンプライアンス要件に基づいてデータをタグ付けして分類します。この可視化により、企業は保有するデータとその所在を正確に把握することができます。
2. アクセス・ガバナンス：誰が機密データにアクセスできるかを把握することは、DSPMの要です。アクセス許可を分析し、アクセス・パターンを監視することで、DSPMは最小権限のアクセス・ポリシーを実施し、データ保護規制へのコンプライアンスを確保します。
3. リスク分析とセキュリティ態勢評価：DSPMは、データの脆弱性、設定ミス、アクセス異常などを分析することで、セキュリティ体制を継続的に評価します。この継続的な評価により、リスクに対するリアルタイムの洞察が得られるため、組織は脆弱性が発生した場合に優先順位を付けて対処することができます。
4. 自動修復とポリシー実施：DSPMソリューションは、自動化されたポリシー実施により、セキュリティとコンプライアンスの問題に迅速に対処します。アクセス制御の調整や機密データの暗号化など、自動化されたワークフローにより、常に手動で監視することなく効率的にリスクに対処できます。

従来のDLPとDSPMの比較

従来の DLP ソリューションは、エンドポイント、ネットワーク、クラウドアプリケーション、および電子メール間でのデータの移動を監視および制御することにより、データの流出を防止することに主眼を置いていました。DLP は、事前に定義されたポリシーを適用して不正なデータ転送をブロックし、機密情報が組織の管理環境から外部に漏れないようにします。しかし、DLPは既知のリスクと事前に定義されたルールに基づいて運用されるため、多くの場合、データを分類し、ポリシーを効果的に管理するために多大な管理労力を必要とします。

一方、DSPMはデータ・セキュリティに対してよりプロアクティブで包括的なアプローチを取る。DSPMは、単にデータ損失を防ぐだけでなく、機密データがどこに存在し、誰がアクセスし、マルチクラウドやオンプレミス環境でどのように使用されているかを詳細に可視化します。設定ミス、セキュリティ・ギャップ、コンプライアンス・リスクをリアルタイムで特定し、データ侵害が発生する前に是正措置を講じることができます。DLPがデータの移動とポリシーの実施に重点を置いているのに対し、DSPMはデータの発見、リスク評価、セキュリティ態勢の強化に重点を置いており、クラウドファーストの現代企業にとって重要なツールとなっている。

DSPMにおけるSSEの役割

DSPMとSecurity Service Edge （SSE）ソリューションの統合

最近の大手SSE企業によるDSPMの買収は、企業がDSPMを包括的なセキュリティ製品の一部として期待していることを示唆している。DSPMをSSEスイートに統合するベンダーが増えるにつれ、SSEとDSPMを完全に統合したソリューションは、セキュリティ運用の統合と合理化を目指す企業にとってより魅力的なものとなっている。

を統合するSSESecure Web Gateway(SWG）を統合した Cloud Access Security Broker(CASB）を統合している、 Zero Trust Network Access(ZTNA）などの高度なセキュリティ機能を提供し、DSPMの成果を強化するエンフォースメント・エンジンとして機能します：

• すべてのチャネルにわたるデータの可視性と保護：SSEは、機密データがSaaS、IaaS、エンドポイント、プライベートアプリケーションのいずれに存在するかにかかわらず、継続的に監視および保護されることを保証します。CASBとSWGは、不正なデータ露出を防ぐインライン・セキュリティ・コントロールを提供し、オンデマンド・スキャンはクラウド・ストレージとコラボレーション・ツールのリスクを検出します。
• UEBA（User & Entity Behavior Analytics）によるプロアクティブなリスク軽減：DSPMは潜在的なデータ・エクスポージャー・リスクを特定しますが、SSEのUEBAはユーザー行動の異常を検出することでさらに一歩踏み込みます。ユーザが突然、異常に大量の機密データをダウンロードしたり、制限されたファイルにアクセスしたりした場合、リスクベースのポリシーによってアラートや自動応答をトリガすることができます。
• 継続的なコンプライアンス＆セキュリティ体制管理（CSPM）：DSPMはCSPMを利用してクラウドの誤設定やポリシー違反を監視し、不適切なアクセス制御やストレージバケットの誤設定によって機密データが漏洩しないようにします。SSEは、リアルタイムで是正措置を実施し、規制フレームワークへの継続的なコンプライアンスを保証します。
• ZTNAによるゼロ・トラスト・アクセス制御：ZTNAは、重要データへのアクセスがID、デバイスの姿勢、コンテキスト・リスクに基づいて許可されるようにします。DSPMは過剰に露出されたデータの特定を支援し、ZTNAは最小権限アクセスを実施することで、不正アクセスや内部脅威のリスクを低減します。
• アクティビティ・モニタリングとデータ・リスク・プロファイリング：DSPMは、SSEによる継続的なアクティビティ・モニタリングとユーザー・リスク・プロファイリングと組み合わせることで、その効果をさらに高めることができます。データ・アクセス・パターン、アプリケーションの使用状況、ユーザーのリスク・スコアを関連付けることで、企業はセキュリティ状況の全体像を把握し、潜在的なデータ侵害を防止するための適応的なポリシーを適用することができます。

DSPMにおけるAIの新たな役割：AIセキュリティ姿勢管理（AI-SPM）

企業がAIサービスをますます取り入れるようになるにつれ、AIがもたらす特有のリスクに対処するために、AI Security Posture Management（AI-SPM）という新たなサブ分野が発展してきた。AI-SPMは、企業のデータがAIモデルとどのように相互作用するかを可視化し制御することに重点を置き、機密情報が未検証または保護されていないAIサービスによって不用意に処理されるのを防ぎます。AI-SPMは以下を提供します：

• AIインタラクションの可視化：AI-SPMは、様々なAIサービスにおけるデータ利用を監視し、データセキュリティポリシーの遵守を保証します。
• AIワークフローにおけるデータリスク分析：AIワークフローにおけるデータの扱い方を評価することで、AI-SPMは不正な共有や保存などのリスクを特定し、機密情報の保護を確保します。

SSEプロバイダーがDSPM機能の拡張に有利な立場にある理由

DSPMがデータリスクを特定・評価する一方で、SSEは不正使用を防止し、ポリシーを実施し、セキュアなアクセスを可能にするエンフォースメントレイヤーとして機能します。DSPMとSSEを組み合わせることで、ハイブリッド環境やマルチクラウド環境全体で機密データを保護する包括的なアプローチが実現し、企業は規制コンプライアンスを維持しながら、進化するセキュリティの脅威に先手を打つことができます。

SWG、CASB、ZTNA、CSPM、UEBA、リスク・ベース・モニタリングなどのSSE機能を活用することで、企業はDSPMの洞察を実用的なセキュリティ・コントロールに変えることができ、機密データがどこに存在し、どのようにアクセスされるかにかかわらず、機密データを確実に保護することができる。

SSEがサポートするこれらの機能により、企業はDSPMを基本的なデータ監視の枠を超えて拡張することができ、より詳細なデータ保護とリスク管理が可能になる。

結論

DSPMは、包括的なデータ・セキュリティ戦略の重要な要素である。DSPMの基本原則を理解し、SSEやAI-SPMなどの先進技術を活用することで、企業は貴重なデータ資産を効果的に保護することができます。Skyhigh Security 、SSEソリューションのリーディングプロバイダーとして、お客様がDSPMの旅に出発し、強固なデータセキュリティ体制を実現できるよう全力でサポートします。

ブログへ戻る