データ・セキュリティー・ポスチャー管理(DSPM)とは、複数のクラウド環境やサービスの中に存在する機密データを特定し、セキュリティー脅威への脆弱性や規制違反のリスクを評価するサイバーセキュリティー・テクノロジーです。
セキュリティー・チームはDSPMで得られるインサイトや自動化を活用して、データ・セキュリティーやコンプライアンスの問題に迅速に取り組み、再発を防止できます。
DSPMは市場調査会社のGartner社がデータ・セキュリティーのハイプ・サイクルの2022年版で最初に取り上げました。他のサイバーセキュリティーのテクノロジーや手法が採用している保護のモデルの逆を行くことから、「データ・ファースト」のセキュリティーとも呼ばれています。
DSPMでは、データの保管、移動、処理に使用するデバイス、システム、アプリケーションを保護することではなく、データを直接守ることに重点を置きます。一方でDSPMは、組織のセキュリティー・テクノロジー・スタックを構成している多数のソリューションを補完する存在でもあります。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
セキュリティー技術のほとんどは、機密データを保護する手段として、ネットワークへの不正アクセスを阻止するか、あるいは、正規ユーザーや不正ユーザー、アプリケーション・プログラミング・インターフェース(API)、モノのインターネット(IoT)デバイス、その他のエンティティーによる疑わしい行動や悪意のある行動を検出してブロックするという方法を用います。
こうしたテクノロジーによって、データ・セキュリティーや、脅威の検知と対応は進化してきました。しかし、クラウド・コンピューティング、アジャイルなクラウドネイティブ開発、さらには人工知能(AI)と機械学習(ML)の両方の導入が急激に進んだ結果、こうしたテクノロジーでは必ずしも対処できないデータ・セキュリティーのリスクや脆弱性が生じました。その結果、組織はデータ侵害のリスクや、法規制への準拠違反のリスクにさらされる可能性があります。
このようなデータ・リスクの最たるものがシャドー・データです。シャドー・データとは、元のデータと同じセキュリティー・チーム、ポリシー、制御による監視や管理統制の対象となっていないデータ・ストアに対してバックアップ、コピー、複製されたデータのことです。例えば、反復型の開発とテストの一環として、DevOpsチームが毎日新しいデータ・ストアを多数立ち上げ、機密データをその中にコピーするかもしれません。設定を1つ間違えただけでも、こうしたデータ・ストアの一部またはすべてに関して、データへの不正アクセスの危険性が高まる恐れがあります。
AIやMLのモデル作成のためのデータが必要になっていることも、シャドー・データが生じている要因のひとつです。適切なデータ・セキュリティーやガバナンスについてあまり理解していないユーザーに対しても、組織はデータ・アクセス権の付与を拡大しています。また、マルチクラウド環境(複数のプロバイダーのクラウド・サービスやアプリケーションの利用)や、ハイブリッドクラウド(パブリッククラウドとプライベートクラウド環境を組み合わせてオーケストレーションを行うインフラ)の採用が増えたことも、リスクの拡大につながっています。
IBMのデータ侵害コスト・レポートの2025年版によると、データ侵害の72%はクラウド環境に保存されたデータが関係しており、侵害を受けたデータの30%は、プライベートクラウド、パブリッククラウド、ハイブリッドクラウド、オンプレミスを含む複数のタイプのコンピューティング環境に保存されていました。
DSPMソリューションは、組織の機密データを特定し、そのセキュリティー体制を評価し、組織のセキュリティー目標とコンプライアンス要件に沿ってその脆弱性を修復し、特定された脆弱性の再発を防ぐための保護手段と監視を導入します。
通常、DSPMソリューションはエージェントレスです(つまり、監視や保護の対象となるそれぞれの資産やリソースに個別のソフトウェア・アプリケーションを導入する必要はありません)。また、高度な自動化が可能です。
セキュリティーの専門家によって詳細は異なる場合がありますが、一般にDSPMの主な構成要素には次の4つがあります。
データ検出
データ分類
リスク・アセスメントと優先順位付け
修復と予防
DSPMソリューションのデータ検出機能は、機密データ資産が存在し得るすべての場所を継続的にスキャンします。例えば、次のような場所がスキャンの対象となります。
オンプレミス環境とクラウド環境(例えばパブリッククラウド、プライベートクラウド、ハイブリッドクラウド)。
すべてのクラウド・プロバイダー。例えばAmazon Web Services(AWS)、Google Cloud Platform(GCP)、IBM Cloud、Microsoft Azureのほか、SalesforceなどのSoftware-as-a-Service(SaaS)プロバイダー。
すべてのクラウド・サービス。例えばInfrastructure-as-a-Service(IaaS)、Platform-as-a-Service(PaaS)、Database-as-a-Service(DBaaS)。
すべてのタイプのデータとデータ・ストア。例えば構造化データと非構造化データ、クラウド・ストレージ(ファイル、ブロック・ストレージ、オブジェクト・ストレージ)、または特定のクラウド・サービス、クラウド・アプリケーション、クラウド・サービス・プロバイダーに関連するストレージ・サービス。
一般にデータ分類は事前に定義した基準に基づいてデータ資産を分類します。DSPMのデータ分類ではデータを機密度に応じて分類します。そのために、データ資産ごとに以下を特定します。
DSPMは、それぞれのデータ資産に関連する脆弱性を特定し、優先順位を付けます。DSPMが探すのは主に次のような脆弱性です。
設定ミス
設定ミスとは、アプリケーションやシステムのセキュリティー設定が欠落しているか不完全で、組織のデータが不正アクセスに対して脆弱な状態にあることを指します。設定ミスがもたらす結果として最も多く挙がるのは、クラウド・データ・ストレージがセキュアでなくなることですが、ほかにも、セキュリティー・パッチの適用漏れや、データの暗号化の欠如などの脆弱性があり得ます。設定ミスはクラウドのデータ・セキュリティーで最も一般的なリスクとして広く認識されており、データの損失や漏えいの主な原因のひとつです。
権限の過剰付与(または許可の過剰付与)
権限の過剰付与とは、ユーザーの業務遂行に必要な範囲を超えるデータ・アクセス権限やアクセス許可を付与することです。権限の過剰付与は設定ミスによって生じる場合もありますが、誤りや不注意(あるいは脅威アクターの悪意)によって権限の昇格が意図的に行われる場合や、一時的に付与したはずのアクセス許可が不要になった後で取り消されない場合にも発生します。
データ・フローとデータ系列の問題
データ・フロー分析では、データが置かれていたすべての場所と、それぞれの場所でデータにアクセスした人を追跡します。インフラストラクチャーの脆弱性に関する情報とデータ・フロー分析を組み合わせることで、機密データへの潜在的な攻撃経路が明らかになります。
セキュリティー・ポリシーと規制違反
DSPMソリューションは、データの既存のセキュリティー設定を、組織のデータ・セキュリティー・ポリシーや、組織に適用される規制フレームワークで定められたデータ・セキュリティー要件と対応付け、データの保護が不十分な場所や、組織が規制違反のリスクを抱えている場所を特定します。
DSPMソリューションのレポート機能やリアルタイム・ダッシュボードでは、深刻度に応じて脆弱性に優先順位を付けることができるため、セキュリティー・チームやリスク管理チームは、最も重大な問題の修復に意識を向けることができます。DSPMソリューションの多くは、潜在的なリスクや進行中のデータ・セキュリティーの脅威を解消するためのステップバイステップの修復手順やインシデント対応のプレイブックも備えています。
DSPMソリューションの中には、アプリケーションやシステムの構成、アクセス制御、セキュリティー・ソフトウェアの設定変更を自動化し、潜在的なデータ漏えいに対する保護を強化できるものがあります。また、DevOpsのワークフローと統合して、潜在的なセキュリティー・リスクをアプリケーション開発サイクルの初期段階で修復できるものもあります。
すべてのDSPMは、環境を常に監視して新しいデータ資産を探し、それらのデータに潜在的なセキュリティー・リスクがないかを継続的に監査します。
クラウド・セキュリティー体制管理(CSPM)は、ハイブリッドクラウドやマルチクラウドの環境とサービス全体にわたって、設定ミスやセキュリティー・リスクの特定と修復を自動化および統合するサイバーセキュリティー・テクノロジーです。
CSPMとDSPMは響きが似ていますが、重点を置くものが異なります。CSPMはクラウド・インフラストラクチャー・レベル、特にコンピューティング・ユニット(例えば仮想マシンやコンテナ)やPaaSの実装における脆弱性の発見と修復に重点を置いています。DSPMはデータ・レベルでの脆弱性の発見と修復に重点を置いています。
組織がクラウドの導入を拡大するほど、CSPMとDSPMの両方の必要性が高まります。CSPMはクラウド・インフラストラクチャー資産への不正アクセスを制限または防止し、DSPMはそれらの資産に含まれるデータへの不正アクセスを制限または防止します。
DSPMを他のエンタープライズ・セキュリティー・ツールと統合することで、特に組織のデータ・セキュリティー体制を強化するとともに、脅威の検知、防止、対処の機能全般を向上させることができます。
IDおよびアクセス管理(IAM)は、ユーザーのIDとアクセス許可を管理します。IAMの管理の下では、許可されたユーザーとデバイスのみが、適切な理由のもとで、必要なリソースに適切なタイミングでアクセスできます。DSPMとIAMを統合することで、セキュリティー・チームはアクセス許可の変更を自動化し、組織の機密データの保護を強化できます。
エンドポイントの検知と対応(EDR)は、リアルタイム分析とAI駆動型のオートメーションを使用してエンドポイントを監視および保護し、ウイルス対策ソフトウェアやその他の従来型エンドポイント・セキュリティーのテクノロジーをすり抜けたサイバー脅威に対する防御を支援します。DSPMとEDRを統合することで、組織のエンドポイント・セキュリティー、データ・セキュリティー、コンプライアンス・ポリシーの一貫性を確保できます。
セキュリティー情報およびイベント管理(SIEM)は、セキュリティー関連のログ・データやその他の情報を企業全体から収集し、そのデータの相関付けと分析を行います。セキュリティー・チームにとっては、脅威の検知と、インシデント対応の効率化や自動化に役立ちます。DSPMにSIEMデータを取り入れることで、データ資産のセキュリティー体制に関連する追加のコンテキストや洞察を獲得できます。
データ損失防止(DLP)の戦略とツールは、組織がネットワーク全体のデータを追跡して、きめ細かなセキュリティー・ポリシーを適用できることから、データ漏えい、データ窃盗(データ盗難)、データ損失を阻止するうえで役立ちます。DSPMとDLPを統合することで、DSPMのデータ・フロー分析を強化し、データ・セキュリティーのリスクや機密データの攻撃経路をより正確に特定できます。