データ・セキュリティー体制管理(DSPM)とは、複数のクラウド環境やサービスの中に存在する機密データを特定し、セキュリティー脅威への脆弱性や規制違反のリスクを評価するサイバーセキュリティー技術です。セキュリティー・チームはDSPMで得られるインサイトや自動化を活用して、データ・セキュリティーやコンプライアンスの問題に可能な限り迅速に対処し、再発防止策を講じることができます。
DSPMは市場調査会社のGartner社が最初に取り上げました(データ・セキュリティーのハイプ・サイクルの2022年版)。他のサイバーセキュリティーの技術や手法が採用している保護のモデルの逆を行くことから、「データ・ファースト」のセキュリティーとも呼ばれています。DSPMでは、データの保管や移動、処理に使用するデバイス、システム、アプリケーションを保護することではなく、データを直接守ることに重点を置きます。一方でDSPMは、組織のセキュリティー・テクノロジー・スタックを構成している多数のソリューションを補完する存在でもあります。
市場調査会社のEMA社は、「IBMはGuardiumにDSPM機能を統合したことで、データ・セキュリティーのリーダーとしての地位を確固たるものにした」と述べています。
セキュリティー技術のほとんどは、機密データを保護する手段として、ネットワークへの不正アクセスを阻止するか、あるいは、正規ユーザーや不正ユーザー、アプリケーション・プログラミング・インターフェース(API)、モノのインターネット(IoT)デバイス、その他のエンティティーによる疑わしい行動や悪意のある行動を検出してブロックするという方法を用います。
このような技術を通じて、脅威の検知と対応、およびデータ・セキュリティーは進化しました。しかし、クラウド・コンピューティングや、アジャイルなクラウドネイティブ開発、人工知能(AI)と機械学習(ML)の導入が急激に進んだ結果、アクセス制御や脅威検知の技術では必ずしも対処できないデータ・セキュリティーのリスクや脆弱性が生じています。このような脆弱性があると、組織はデータ侵害や規制違反の危険にさらされる恐れがあります。
このようなデータ・リスクの最たるものがシャドー・データです。シャドー・データとは、元のデータと同じセキュリティー・チームやセキュリティー・ポリシー、セキュリティ制御による監視や管理統制の対象ではないデータ・ストアにバックアップ、コピー、複製されたデータのことです。例えば、反復型の開発とテストの一環として、DevOpsチームが毎日新しいデータ・ストアを多数立ち上げ、機密データをその中にコピーするかもしれません。設定を1つ間違えただけでも、こうしたデータ・ストアの一部またはすべてに関して、データへの不正アクセスの危険性が高まる恐れがあります。
AIやMLのモデル作成のためのデータが必要になっていることも、シャドー・データが生じている要因のひとつです。適切なデータ・セキュリティーやガバナンスについてあまり理解していないユーザーに対しても、組織はデータ・アクセス権の付与を拡大しています。また、マルチクラウド環境(複数のプロバイダーのクラウド・サービスやアプリケーションの利用)や、ハイブリッドクラウド(パブリッククラウドとプライベートクラウド環境を組み合わせてオーケストレーションを行うインフラ)の採用が増えたことも、リスクの拡大につながっています。IBMのデータ侵害コスト・レポートの2023年版によると、データ侵害の82%はクラウド環境に保存されたデータが関係しており、侵害を受けたデータの39%は、プライベートクラウド、パブリッククラウド、ハイブリッドクラウド、オンプレミスを含む複数のタイプのコンピューティング環境に保存されていました。
IBMニュースレターの購読
DSPMソリューションは、組織の機密データを特定し、そのセキュリティー体制を評価し、組織のセキュリティー目標とコンプライアンス要件に沿ってその脆弱性を修復し、特定された脆弱性の再発を防ぐための保護手段と監視を導入します。通常、DSPMソリューションはエージェントレスです(つまり、監視や保護の対象となるそれぞれの資産やリソースに個別のソフトウェア・アプリケーションを導入する必要はありません)。また、高度な自動化が可能です。
セキュリティーの専門家によって詳細は異なる場合がありますが、一般にDSPMの主な構成要素には次の4つがあります。
データ検出
データ分類
リスク・アセスメントと優先順位付け
修復と予防
DSPMソリューションのデータ検出機能は、機密データ資産が存在し得るすべての場所を継続的にスキャンします。例えば、次のような場所がスキャンの対象となります。
オンプレミス環境とクラウド環境(例えばパブリッククラウド、プライベートクラウド、ハイブリッドクラウド)
すべてのクラウド・プロバイダー。例えばAmazon Web Services(AWS)、Google Cloud Platform(GCP)、IBM Cloud、Microsoft Azureのほか、SalesforceなどのSoftware-as-a-Service(SaaS)プロバイダー
すべてのクラウド・サービス。例えばInfrastructure-as-a-Service(IaaS)、Platform-as-a-Service(PaaS)、Database-as-a-Service(DBaaS)
すべてのタイプのデータとデータ・ストア。例えば構造化データと非構造化データ、クラウド・ストレージ(ファイル、ブロック・ストレージ、オブジェクト・ストレージ)、または特定のクラウド・サービス、クラウド・アプリケーション、クラウド・サービス・プロバイダーに関連するストレージ・サービス
一般にデータ分類は事前に定義した基準に基づいてデータ資産を分類します。DSPMのデータ分類ではデータを機密度に応じて分類します。そのために、データ資産ごとに以下を特定します。
データの機密度のレベル。PII、機密、企業秘密関連など
データにアクセスできるユーザー、およびデータへのアクセスを許可する必要があるユーザー
データの保管、処理、使用の方法
データが規制の枠組みの対象かどうか。例えば、医療保険の相互運用性と説明責任に関する法律(HIPAA法)、ペイメント・カード業界データ・セキュリティー標準(PCI DSS)、EUの一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法(CCPA)、その他のデータ保護規則やデータ・プライバシー規則
DSPMは、それぞれのデータ資産に関連する脆弱性を特定し、優先順位を付けます。DSPMが探すのは主に次のような脆弱性です。
設定ミス
設定ミスとは、アプリケーションやシステムのセキュリティー設定が欠落しているか不完全で、組織のデータが不正アクセスに対して脆弱な状態にあることを指します。設定ミスがもたらす結果として最も多く挙がるのは、クラウドのデータ・ストアがセキュアでなくなることですが、そのほかにも、セキュリティー・パッチの適用漏れや、保存時または転送時のデータが暗号化されない、あるいは弱い暗号化が適用されるといった脆弱性があり得ます。設定ミスはクラウドのデータ・セキュリティーで最も一般的なリスクとして広く認識されており、データの損失や漏えいの主な原因のひとつです。
権限の過剰付与(または許可の過剰付与)
権限の過剰付与とは、ユーザーの業務遂行に必要な範囲を超えるデータ・アクセス権限やアクセス許可を付与することです。権限の過剰付与は設定ミスによって生じる場合もありますが、誤りや不注意(あるいは脅威アクターの悪意)によって権限の昇格が意図的に行われる場合や、一時的に付与したはずのアクセス許可が不要になった後で取り消されない場合にも発生します。
データ・フローとデータ系列の問題
データ・フロー分析では、データが置かれていたすべての場所と、それぞれの場所でデータにアクセスした人を追跡します。インフラストラクチャーの脆弱性に関する情報とデータ・フロー分析を組み合わせることで、機密データへの潜在的な攻撃経路が明らかになります。
セキュリティー・ポリシーと規制違反
DSPMソリューションは、データの既存のセキュリティー設定を、組織のデータ・セキュリティー・ポリシーや、組織に適用される規制フレームワークで定められたデータ・セキュリティー要件と対応付け、データの保護が不十分な場所や、組織が規制違反のリスクを抱えている場所を特定します。
DSPMソリューションのレポート機能やリアルタイム・ダッシュボードでは、深刻度に応じて脆弱性に優先順位を付けることができるため、セキュリティー・チームやリスク管理チームは、最も重大な問題の修復に意識を向けることができます。DSPMソリューションの多くは、潜在的なリスクや進行中のデータ・セキュリティーの脅威を解消するためのステップバイステップの修復手順やインシデント対応のプレイブックも備えています。
DSPMソリューションの中には、アプリケーションやシステムの構成、アクセス制御、セキュリティー・ソフトウェアの設定変更を自動化し、潜在的なデータ漏えいに対する保護を強化できるものがあります。また、DevOpsのワークフローと統合して、潜在的なセキュリティー・リスクをアプリケーション開発サイクルの初期段階で修復できるものもあります。
すべてのDSPMは、環境を常に監視して新しいデータ資産を探し、それらのデータに潜在的なセキュリティー・リスクがないかを継続的に監査します。
クラウド・セキュリティー体制管理(CSPM)は、ハイブリッドクラウドやマルチクラウドの環境とサービス全体にわたって、設定ミスやセキュリティー・リスクの特定と修復を自動化および統合するサイバーセキュリティー技術です。
CSPMとDSPMは響きが似ていますが、重点が異なります。CSPMはクラウド・インフラストラクチャー・レベル、特にコンピューティング・ユニット(例えば仮想マシンやコンテナ)やPaaSの実装における脆弱性の発見と修復に重点を置いています。DSPMはデータ・レベルでの脆弱性の発見と修復に重点を置いています。組織がクラウドの導入を拡大するほど、CSPMとDSPMの両方の必要性が高まります。CSPMはクラウド・インフラストラクチャー資産への不正アクセスを制限または防止し、DSPMはそれらの資産に含まれるデータへの不正アクセスを制限または防止します。
DSPMを他のエンタープライズ・セキュリティー・ツールと統合することで、特に組織のデータ・セキュリティー体制を強化するとともに、脅威の検知、防止、対処の機能全般を向上させることができます。
DSPMとIAM
IDおよびアクセス管理(IAM)は、ユーザーのIDとアクセス許可を管理します。IAMの管理の下では、許可されたユーザーとデバイスのみが、適切な理由のもとで、必要なリソースに適切なタイミングでアクセスできます。DSPMとIAMを統合することで、セキュリティー・チームはアクセス許可の変更を自動化し、組織の機密データの保護を強化できます。
DSPMとEDR
エンドポイントの検知と対応(EDR)は、リアルタイム分析とAI駆動型の自動化を使用してエンドポイントを監視および保護し、ウイルス対策ソフトウェアやその他の従来型エンドポイント・セキュリティー技術をすり抜けたサイバー脅威に対する防御を支援します。DSPMとEDRを統合することで、組織のエンドポイント・セキュリティー、データ・セキュリティー、コンプライアンス・ポリシーの一貫性を確保できます。
DSPMとSIEM
セキュリティー情報およびイベント管理(SIEM)は、セキュリティー関連のログ・データやその他の情報を企業全体から収集し、そのデータの相関付けと分析を行います。セキュリティー・チームにとっては、脅威の検知と、インシデント対応の効率化や自動化を行ううえで役立ちます。DSPMにSIEMデータを取り込むことで、データ資産のセキュリティー体制に関連する追加のコンテキストやインサイトを獲得できます。
DSPMとDLP
情報漏えい対策(DLP)の戦略とツールでは、組織がネットワーク全体のデータを追跡して、きめ細かなセキュリティー・ポリシーを適用できることから、データ漏えい、データ流出(データ盗難)、データ損失を阻止するうえで役立ちます。DSPMとDLPを統合することで、DSPMのデータ・フロー分析を強化し、データ・セキュリティーのリスクや機密データの攻撃経路をより正確に特定できます。
シャドー・データを見つけ、データ・フローを分析し、クラウドおよびSaaSアプリケーション全体の脆弱性を明らかにします。コンプライアンスおよびセキュリティー・チームに重要な可視性とインサイトを提供し、企業の機密データを安全に保護し、コンプライアンスに準拠できます。
企業データを複数の環境にわたって保護し、サイバー脅威の調査と修復における可視性を高め、プライバシー規制を満たし、複雑な運用を簡素化します。
コンプライアンスの監査とレポートを自動化し、データとデータソースを検出して分類し、ユーザーアクティビティを監視し、データ・セキュリティーの脅威にほぼリアルタイムで対応します。
ハイブリッドクラウド環境全体でデータを保護し、クライアントの移行とモダナイゼーションをサポートします。
データ侵害の原因や、コストを増減させる要因を理解することが、侵害に対する備えを強化するために重要です。データ侵害に見舞われた550以上の組織の経験から学ぶことができます。
SIEM (セキュリティ情報およびイベント管理) は、組織が業務に支障をきたす前に、潜在的なセキュリティ上の脅威や脆弱性を認識し、対処できるようにするソフトウェアです。
CSPMは、ハイブリッドクラウドやマルチクラウドの環境とサービス全体にわたって、設定ミスやセキュリティー・リスクの特定と修復を自動化および統合します。