DSPM がクラウドデータを保護する仕組み

クラウド環境では、機密データが AWS、Azure、GCP、SaaS アプリに及び、管理されていないバケットや忘れられたテスト環境、未承認のサービスに置かれることがよくあります。 

明瞭な可視性がなければ、設定ミスや過剰なアクセス許可は攻撃者の格好の標的となります。

DSPM は、クラウドセキュリティ戦略に欠かせないデータ重視のレイヤーを追加することで、この問題を解決します。 

DSPM は、動いているインフラやデータのみを保護する従来のツールとは異なり、静止状態のデータを継続的に監視し、アイデンティティ、設定、クラウドサービスとの相互作用をマッピングします。

DSPM の機能は 6 つの重要なステップによって構成されています。

データセキュリティポスチャー管理（DSPM）には、機密性の高いクラウドデータを保護し、クラウドセキュリティのリスクを低減するために不可欠な 6 つの方法があります。

1.隠れたシャドー資産も含め、すべてのクラウドデータを検出

最初のステップは自動検出。 DSPM は、データベース、コンテナ、SaaS サービス、さらにはシャドーインフラに至るまで、構造化データ、非構造化データ、半構造化データなど、マルチクラウドのエコシステム全体をスキャンします。

このステップでは、忘れ去られたバケット、放置されたテスト環境、未承認の SaaS アプリなどに潜むシャドーデータを検出します。このような場所は監視されていないことが多いため、攻撃者が好んでエクスプロイトする場所です。

2. 機密データを規制とビジネス価値で分類

検出後、DSPM は規制要件および社内方針に基づいて機密データを自動的に分類します。

以下にタグ付けをすることができます。

• 顧客記録および支払データ
• 知的財産および専有データセット
• 医療関連情報およびその他の規制対象データ

この分類により、データエクスポージャーの実際の影響を理解することができ、どのリスクを優先すべきかがわかります。

3. 誰が、何にアクセスできるかを分析する

DSPM は、人間のユーザー、マシンのアイデンティティ、サービスアカウント、サードパーティの統合を評価し、誰が、どのようなデータにアクセスできるかをマッピングします。

以下を明らかにします。

• 過剰に許可された役割
• 危険な特権の組み合わせ
• 未使用または古くなった権限

この分析はクラウドインフラ権限管理（CIEM）と連携しており、アイデンティティリスクを完全に把握することができます。

4. データ態勢と設定リスクの評価

次に DSPM は、機密データのエクスポージャーとのつながりを直接明らかにしたり、データの脆弱性を生じさせるような設定の問題をチェックします。

以下を探します。

• 誰でもアクセスできるストレージバケットやデータベース
• オフ状態のロギング、弱い暗号化
• 開放されたままになっているネットワークポート、セキュリティのないデータレイク

DSPM は、これらの問題を実際のデータに直接結びつけることで、対処しきれない数のアラートよりも重要なことに集中できるようにします。

5. 攻撃者に悪用される可能性のあるサイバーエクスポージャー経路のモデル化

DSPM は従来の検出手法を超えて、エクスポージャーグラフを構築します。これは、アイデンティティ、設定ミス、機密データがどのように結びついて悪用可能な攻撃経路を形成するかを示す視覚的なマップです。

設定ミスのあるデータストアが以下のようなものと組み合わされることが明らかになるかもしれません。

• 古い管理者認証情報
• 一般公開されているネットワークへのアクセス
• 過剰な権限のあるアイデンティティ

この文脈主導のリスクモデリングは、脆弱性の優先順位付けを支援し、静的な脆弱性スコアでは知ることのできない実世界のリスクの理解を助けます。

6. ガイド付きまたは自動修正によるサイバーエクスポージャーの修正

最後に、DSPM はサイバーエクスポージャーを迅速に解消するのに役立ちます。 以下のような修正手順を提示します。

• 過剰な許可を取り消す
• 機密データを暗号化する
• 一般外部よりのアクセスを制限する

また、CSPM、CIEM、CNAPP、SIEM/SOAR ツールと統合して対応ワークフローを自動化できるため、手作業が減り、素早い問題解決が可能になります。

ポイントインタイムのスナップショットを提供する従来のセキュリティツールとは異なり、DSPM は継続的に機能します。新しいデータストアが出現したり、アイデンティティが変更されたり、設定が変化したりすると、DSPM は自動的に検出、分類してリスクモデルを更新します。

ユーザーは常に以下を把握できるようになります。

• 機密データの保管場所
• 誰にアクセス権があるか
• 攻撃者による可能なエクスプロイト方法

現代のクラウド環境は、マルチクラウド、マルチアイデンティティであり、高速化しているため、 従来のツールだけでセキュリティを確保するのは困難になっています。DSPM は、理論上のリスクではなく、実際の攻撃経路を把握するのに必要な完全な可視性と文脈を得るために必要なデータレイヤーを追加します。

DSPM は、CSPM や CIEM と組み合わせることで、クラウドフットプリント全体のリスクを低減する統合的なサイバーエクスポージャー管理プログラムの構築を可能にします。

DSPM がクラウドのアタックサーフェスをどのように縮小できるか関心がおありでしょうか。高度な DSPM 機能でクラウドセキュリティ態勢を強化する方法をご覧ください。