DSPM が役立つデータコンプライアンスと監査対応

クラウドプラットフォームは前例のない俊敏性を提供する一方、コンプライアンスや監査対応に重大なリスクをもたらしています。 

機密データがマルチクラウド環境に広がる中、セキュリティ担当は、次のような監査に関する最も基本的な質問に答えるのに苦戦しています。我々のデータはどこにあるのか? 誰がアクセスできるのか? セキュリティは万全か?

データセキュリティポスチャー管理 (DSPM) は、機密データの所在、データの流れ、サイバーエクスポージャーを継続的に可視化することで、このギャップを解消します。 DSPM は、クラウドセキュリティプログラムをコンプライアンスフレームワークと連携させることで、監査に合格してコンプライアンス適合を実証するために必要なコントロール、エビデンス、自動化を提供します。

クラウドアクセスセキュリティブローカー（CASB）やデータ損失防止（DLP）のようなコンプライアンスツールは、多くの場合、境界に依存したセキュリティ設計になっており、エンドポイントエージェントが必要であったり、今日のクラウドネイティブな現実を反映していない定型のデータフローに依存したりしています。 

したがって次のようなことが可視化できません。

• 管理されていないクラウドアカウントのシャドーデータベース
• SaaS、クラウドストレージ、ワークロード間を移動するデータ
• 機密リソースへの過剰アクセス権のあるユーザー

その結果、監査は手作業で行われ、後手に回ることが多く、ストレスが増します。セキュリティ担当は、インシデント発生後や規制期限の直前に、データマップ、アクセスレビュー、証拠の収集に奔走することになるのです。

DSPM ソリューションは、内部ポリシーの実施と外部規制のコンプライアンスをサポートする継続的で自動化された可視性を提供します。 

主な能力は以下のとおりです。

1.機密データの発見と分類

DSPM プラットフォームは、AWS、Azure、GCP、SaaS サービス全体の構造化データおよび非構造化データをスキャンして 以下を自動分類します。

• 個人を特定できる情報（PII）のような規制データ
• 財務や IP のような独自の機密性のあるデータ
• バックアップ、ログ、古いデータセットなどのシャドーデータ

DSPM は、ほとんどのコンプライアンスフレームワークの中核要件である、最新のデータインベントリの維持に役立ちます。

最終的には、以上のような優れた可視性が、より広範なサイバーエクスポージャー管理プログラムを強化し、アタックサーフェスを縮小する包括的な戦略の一環として、データリスクを特定して優先順位をつけることができます。

2. アクセスガバナンスと権限の分析

DSPM は、誰が、あるいは何が機密データにアクセスできるかを確認し、アクセスの正当性を評価します。 次のことが実現できます。

最小権限の適用

最悪な組み合わせの検出（公開 S3 バケット＋機密データなど）

継続的なアイデンティティとアクセスの監視（クラウドインフラと権限管理（CIEM）の連携）

以上から得られたデータにより、監査人から求められたときにレポートを作成し、ポリシー違反になる前に問題を食い止めることができるのです。

3. 設定ミスとサイバーエクスポージャーの検出

DSPM ツールは、機密データを露呈したり、データが漏洩する可能性のある弱点を作り出したりする設定ミスを検出します。 

一般的な例を挙げます。

• 機密データを含む公開バケット
• データストアへの不正アクセスを提供するオープンポート
• 暗号化されていないデータベース
• 無効化されたデータアクセスのログ

以上のような弱点によって規制対象データが露呈されると、多くの規制下では罰金の対象になることがあります。

DSPM は、監査人や攻撃者よりも先にそのような弱点を検出し、修正するのに役立ちます。 

4. コンプライアンス制御のマッピング

DSPM プラットフォームの中には、検出結果をそのままコンプライアンスフレームワークにつなげられるものもあるため、監査準備に費やす時間が短縮され、単なる文書ではなく実際の証拠を監査人に示すことができます。

5. 自動化されたレポートと監査準備

DSPM は、監査人が必要とするものをまとめるお手伝いをします。

• 現在の所有データを示すデータ目録と分類
• 誰が何を見ることができるかを追跡するアイデンティティアクセスレビュー
• 修正履歴とポリシーの追跡による、修正が実行済であり規制適合であることの証明
• いつ何が変更されたかを文書化したシステムとデータの変更ログ

DSPM は、内部ガバナンスの要件と外部監査人が求める要件の両方をカバーしているため、 サイバーエクスポージャー管理対策の展開を直接支援し、 データのアタックサーフェスを積極的に減らし、重大な情報を保護していることを示すために必要な証拠を得ることができます。

DSPM は、監査に合格し、コンプライアンスを実証するために必要なコントロール、エビデンス、自動化を提供します。 

Tenable がクラウド環境全体でどのように 最小権限の適用をサポートし、シャドーデータの 発見を支援するかを ご覧ください。

DSPM は、監査間際になって準備に追われるという非効率さを取り除き、リアルタイムで情報を提供してデータセキュリティ態勢を継続的に確認できるようにします。DSPM を使えば、定期的なアクセスレビュー、監査証跡の維持、継続的な保証のサポートが可能になり、手作業に煩わされることなく、年間を通じて監査に備えることができます。

クラウドコンプライアンスは、真のリスクを低減することを意図しています。さまざまな監督機関にはそれぞれ異なるガイドラインがありますが、コンプライアンス規制では、多くの場合、組織に対して以下のことが求められます。

• 機密データの保存場所を知っていることを証明する
• 必要な人だけにアクセスを与えるよう制限する
• サイバーエクスポージャーや悪用からデータをどのように保護しているかを示す

DSPM は、動的な可視化と実行可能な制御設定によって以上の要件を満たすのに役立ち、 組織のコンプライアンス適合の意図と是正措置を示し、データアクセスに関するゼロトラストへの移行を支援します。

DSPM をクラウドのパイプラインに統合することによってセキュリティと DevOps の担当者は、データの分類、ポリシーの適用、アクセスレビューをインフラのコード化 (IaC) や CI/CD フローに組み込み、作り込みのコンプライアンスを実施できます。

Tenable Cloud Security の DSPM の機能が次のような面で役立ちます。

• クラウド環境のあらゆる場所にある機密データを検出し、タグ付けする
• データをリスクにさらす設定上の問題を発見する
• 検出結果を GDPR、HIPAA、PCI などのコンプライアンス要件に適合させる
• 監査人が要求する文書をまとめる

Tenable の CSPM・CIEM・脆弱性管理 機能を備えた DSPM は、データエクスポージャーリスクを低減し、コンプライアンスワークフローを合理化するために組織が必要とする文脈と自動化機能を提供します。

Tenable Cloud Security がクラウドデータのコンプライアンスを迅速に自動化し、効率化するのに役立つしくみをご覧ください。