5 分でわかるクラウドセキュリティ強化策: DSPM であらゆるデータ資産を検出、分類、保護する

Tenable のブログシリーズ「5 分でわかるクラウドセキュリティ強化対策」の第 4 回となる今回は、データが指数関数的に増加して脅威がより巧妙になる中で、複雑な取り組みとなっているクラウドデータの保護にフォーカスします。 クラウドデータのセキュリティとコンプライアンスを強化する 5 つの DSPM ベストプラクティスをご確認ください。

クラウド環境に保存され処理されるデータ量が増えるにつれ、サイバー窃盗犯からデータを保護し、厳しい規制に準拠することの複雑さも増しています。

オンプレミスのデータセンターでは管理が行き届いた環境が提供されます。しかし、クラウドで生成されるデータは構造化されず、さまざまなリポジトリに保存されることが多いことから、適切に保護されないリスクが高まります。

GigaOm のアナリスト、Paul Stringfellow 氏が指摘するように、クラウドリポジトリはその使いやすさと見た目のコストの低さから、通常の管理態勢の範囲外で導入されることがよくあります。

「多くの場合、それは特定のタスクに利用された後、元のプロジェクトの所有者によって廃棄され、忘れ去られてしまいます」と彼は記しています。 「それが、確立されたデータストレージ管理とセキュリティ管理の管轄外に存在するシャドーデータリポジトリを生みます」

解決策は、 データセキュリティポスチャ―管理 (DSPM) システムです。このシステムは、組織が複数のクラウドサービスプロバイダー (CSP) を利用している場合でも、すべてのクラウドデータを一元的に可視化し、その他のデータ保護機能も提供します。

「データレジリエンスの主な要素は、機密データストアがどこにあり、何が含まれているのかを把握することです。 知らないものを保護することはできません。DSPM はデータストアの特定と分類に役立ちます」と、Enterprise Strategy Group のアナリスト Todd Thiemann 氏は述べています。

Tenable では、クラウドデータを保護するための重要な要素は、DSPM ツールを、包括的なクラウドネイティブアプリケーション保護プラットフォーム (CNAPP) の一環として統合することであると考えています。 

Tenable のシニアプロダクトマーケティングマネージャーの Diane Benjuya と Lior Zatlavi によれば、DSPM の機能を、他の CNAPP コンポーネントと組み合わせることで、ワークロードやアイデンティティなどの保護も含めた総合的なクラウドセキュリティを実現できるとのことです。 

「データ関連の侵害と、それによるコストが大幅に増加していることを踏まえると、リスクを軽減するために CNAPP に DSPM を統合することが必須となります。 この統合により、セキュリティの取り組みの簡素化とコンプライアンスの向上が実現され、データセキュリティは全体的なセキュリティ戦略に欠かせない要素になります」と彼らは述べています。

以下では、マルチクラウド環境全体でデータを保護する際の鍵となる 5 つの DSPM ベストプラクティスについて解説します。

1 - クラウドデータの継続的な検出と分類

AI モデル、クラウドワークロード、ストレージバケットなどのあらゆるデータに対して、完全な、そして継続的に更新される可視性が求められています。 特に、IT やセキュリティの担当部門が知らないうちに生成され、保存された未知の「シャドーデータ」を検出することが重要になります。 実際、IBMの「Cost of a Data Breach Report 2024 (2024 年データ侵害コストレポート)」によると、管理されていないデータソースに保存された「シャドーデータ」が、すべてのデータ侵害の 35% に関与していることが判明しました。 

すべてのデータ資産は、その機密性に基づいてリスク深刻度レベルを割り当て、企業の機密データや顧客の個人情報などのカテゴリーに分類する必要があります。

このデータの可視性をクラウドセキュリティポスチャー管理 (CSPM) などの他の CNAPP 機能と組み合わせると、組織はセキュリティのギャップ、有害な組み合わせ、潜在的な侵害の影響を正確に特定できると同時に、必要な予防対策と軽減策に優先順位を付けることができます。

2 - データ漏洩を未然に防止

高度な分析を活用し、データ侵害につながる不審なアクティビティにフラグを立てることは極めて重要です。 担当部門は実用的なインサイトと推奨事項を利用して、そのリスクシナリオを積極的に調査し対処することで、攻撃者の一歩先を行くことができます。

たとえば、DSPM を CNAPP のクラウドインフラ権限管理 (CIEM) と統合すると、機密性の高いクラウドデータのセキュリティを危険にさらすこともある、人やマシンのアイデンティティによる異常挙動のアラートが通知されます。 こうしたインサイトを活用することで、適切な修正措置を講じることができ、たとえば疑わしいアイデンティティによるデータアクセスを制限したり完全に無効化したりすることで、潜在的な攻撃経路をブロックできます。

3 - 包括的な規制遵守の合理化

データプライバシーとデータセキュリティに関する法律、規制、業界が定める要件、社内ポリシー、自主的なフレームワークは年々増加しており、コンプライアンス準拠はますます困難な課題となっています。

このようなデータ保護に関する規則や要件をすべて遵守するには、以下のプロセスを自動化してデータセキュリティのコンプライアンス態勢を継続的に評価する必要があります。

• クラウドデータを検出して分類する
• データ保護ポリシーを適用する
• ステップバイステップの修正ガイダンスにより、不正アクセスなどの違反に対処する
• 監査対応の詳細なコンプライアンスレポートを作成する

ここでもまた、CNAPP 統合型 DSPM がプロセスを自動化するだけでなく、脆弱性、設定ミス、過剰な権限を持つアイデンティティなど、コンプライアンス違反のリスクにさらされているクラウドデータへの脅威について、豊富な文脈を踏まえた貴重なインサイトを提供します。 

4 - 迅速かつ的確なインシデント対応の実施

データ漏洩が起きた場合は一刻を争う事態となるため、 迅速かつ的確に対応する必要があります。 DSPM が提供する豊富な文脈に基づいた分析により、セキュリティ部門は以下のことが可能になります。

• 侵害の対象範囲を評価する
• その原因を特定する
• 侵害されたデータにフラグを立てる
• 修正作業の優先順位付け
• 侵入を封じ込める

データ漏洩を統合的に可視化して把握するには、DSPM で CNAPP 統合を活用し、文脈全体を考慮した包括的なインシデント分析を実行することが重要です。データ保護態勢は他の情報と無関係に評価できないからです。 Verizon の「2025 Data Breach Investigations Report (2025 年データ漏洩調査報告書)」(DBIR) からもわかるように、データ窃盗犯はさまざまな攻撃手法を利用しますが、特に認証情報の侵害と脆弱性の悪用を好んで使用しています。

5 - クラウドの拡大にデータセキュリティを組み込む

マルチクラウドデプロイメントが必然的に拡大する中、環境の拡大の中心にはデータセキュリティとコンプライアンスを据える必要があります。 このような拡大シナリオでは、セキュリティ担当部門は CNAPP 統合型 DSPM を導入することで、その取り組みの中にデータ保護を組織的に組み込むことができます。その主な方法は以下のとおりです。

• クラウドデータとそのリスクを完全かつ継続的に更新して可視化する
• マッピングされたデータストアのデータセキュリティ態勢 (設定やアイデンティティ権限を含む) について、文脈を踏まえたインサイトを提供する
• データ資産の機密性を分類する
• クラウドデータにアクセスできる人とマシンのアイデンティティを特定する
• 問題の優先順位付けを可能にし、実行可能で具体的な修正指示を出す

クラウドセキュリティを強化するために、今すぐ 5 分でできるアクションを確認しましょう。

もっと詳しく

• 5 分でわかるクラウドセキュリティ強化対策: クラウド構成セキュリティの重要性
• 5 分でわかるクラウドセキュリティ強化対策: クラウドワークロードを保護する方法
• 5 分でわかるクラウドセキュリティ強化対策: クラウドアイデンティティの保護