企業の情報資産は増え続け、複数のクラウド環境に分散して格納しているケースも一般的です。文字通り資産拡大の余地ではありますが、機密情報の漏えいなどのセキュリティ脅威のリスクも同様に拡大しています。リスク低減に向けては、どこに機密情報が存在し、適切に保護されているかを可視化することが重要です。
分散する機密情報の所在と保護状況を可視化し、リスクを抑える施策となるのがDSPMという手法です。本記事では、DSPMについて、概要、求められる背景、仕組み、導入のメリットと注意点を解説します。
DSPMとは?
DSPMは、2022年に米Gartnerがデータセキュリティのハイプサイクルで取り上げたサイバーテクノロジーです。以下に、概要や従来のテクノロジーであるDLPとの違いを説明します。
DSPMの概要
DSPMとは、「Data Security Posture Management」の略で、データセキュリティ体制管理と訳されます。マルチなクラウドやオンプレミスの環境に機密情報を持つ企業が、膨大な量に及ぶデータのセキュリティ管理を効率的に行うことができるテクノロジーです。
DSPMの大まかな仕組みとしては、クラウドサービス上のデータから機密情報を特定・モニタリングし、セキュリティ脅威に対し適切な保護を受けているかどうかを監視・チェックし、問題があれば通知を受けて即座に脆弱性への対処を行うというものです。この機密情報の特定や監視チェック、通知の仕組みなどはDSPMのソリューションとして包括的に提供されています。
DSPMによるデータセキュリティ管理によって、企業や組織のセキュリティリスクを低減することが大きな利用目的となります。
DLPとの違い
従来からクラウド上のデータセキュリティで利用されてきたのがDLP(Data Loss Prevention)です。DLPはあらかじめ定義しておいた重要度の高いデータに対し監視を行い、転送や共有などの移動をブロックして保護する仕組みです。重要なデータの流出を防止することが主眼となります。
一方のDSPMでは、重要なデータがどこにあり、誰がアクセスし、どう使用されているか、可視化して機密性を担保することを主眼としています。可視化した問題に対し、データ格納先の設定ミスを見つけ対応する機能なども提供します。
DSPMとDLPは補完しあう関係にあります。DSPMが提供する管理情報をもとにDLPのポリシーを設定し、監視・保護の有効性を高めることなどが可能です。
DSPMが必要とされる背景
クラウドサービスの登場、普及ののち、ハイブリッドクラウドやマルチクラウドの浸透は速く、データの格納先となるアーキテクチャには大きな変化がありました。飛躍的にデータの格納先となり得る領域が広がったことで、データセキュリティに関するリスクも新たに浮かび上がってきました。
その一つが、シャドーデータやダークデータと呼ばれる管理外データの存在です。さらにはクラウド上では柔軟性の高い構成変更が可能で、データコピー、共有、移動が容易なことも、データを保護することから考えれば管理を難しくする要因となります。
クラウド環境上のデータセキュリティ対策としてDSPMより先にDLPが登場しましたが、マルチクラウドへの対応などには不十分でした。増え続けるデータに対し、機密情報を指定して対応する管理の手間が膨大となるためです。そこで求められたのが、データ格納先となるクラウドやオンプレミス環境から自動的に機密情報を検出する仕組みです。
また、セキュリティ人材の不足もDSPMが必要とされる理由の一つです。DSPMによるデータセキュリティ管理業務の効率化は、人手不足の解消策としても期待されています。
DSPMの仕組み
DSPM全体は、複数のソフトウェアテクノロジーによる機能を組み合わせて構成されています。説明する資料により分類に幅はあるものの、概ねは下記の組み合わせです。
- データ検出と分類
- 管理すべき機密データが格納される可能性のあるクラウドサービス上をスキャンし、機密情報とリスクを検出する機能です。このスキャンは継続的に繰り返し行います。
- 管理対象の情報が検出された場合、機密度合いなどをもとにした分類を行います。また、機密データについては、脆弱性スキャン、ペネトレーションテスト、セキュリティ監査などの手法でデータが適切に保護されているかの確認も行います。
- リスクアセスメントと優先順位付け
- 検出したクラウド上の機密情報とその保護状況に対し、リスクアセスメントを行う機能です。セキュリティポリシーなどのセキュリティ要件に沿って、設定ミス、不適切な権限設定、データへのアクセス者、利用方法などにより、対処の優先順位付けをして利用者に提供します。
- 修復と予防
- 検出した不適切な設定などのリスクに対し、適切なデータ保護を自動的に行う機能です。データ保護の修復および予防の具体的な内容としては、アプリやシステムの設定変更、アクセス制御変更などがあげられます。プレイブックによって対応フローを定められる機能を持つ場合もあります。
導入によるメリットと注意点
DSPMを導入するメリットと注意点として、下記があげられます。
もっとも期待されるメリットは、マルチクラウド、ハイブリッドクラウドなどに分散するデータを管理対象としてカバーできることです。新たなデータのあり方に対応した管理が望め、データセキュリティにおけるリスクを最小限に抑えることが可能です。例えば、クラウド上のデータがランサムウェアによって利用不可能になることを防げます。
自動的に機密データを検出し、対応までをカバーできることから、データ管理業務を効率化・自動化し、人員やコストの削減につながることもメリットに挙げられます。
また、データ保護に対して各種のガイドラインを適用して、企業のコンプライアンス遵守を実現できる点もメリットとなります。EUの一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法(CCPA/CPRA)などの法律、規制がその対象です。
導入に際しての注意点として、データセキュリティ担当者の業務負担の増加があげられます。DSPMでは膨大なデータを対象とするため、誤検知や過剰な通知の設定があると担当者に多大な対処が求められる可能性があります。
またDSPMは、クラウド、オンプレミスなどのマルチな環境を統合的にカバーする高度な仕組みです。導入、運用には技術力とリソースが必要となるため、体制づくりも重要となります。
