データセキュリティポスチャ―管理 (DSPM)

データセキュリティポスチャ-管理（DSPM）は、クラウド環境全体のデータエクスポージャーリスクを特定し、削減します。 

DSPMソリューションは、機密データを検出し、分類し、その移動方法をマッピングし、そのデータをリスクにさらす可能性のある過剰な許可や安全でない設定にフラグを立てる。

単独で動作する従来のデータ保護ツールとは異なり、DSPMはクラウド・ネイティブなリスクに焦点を当てている。 マルチクラウド、マルチアイデンティティ、ハイベロシティ、ハイエクスポージャーなど、今日の複雑な環境を考慮している。

DSPMプラットフォームは、セキュリティチームが重大な疑問に答えるのを助ける：

• 機密データはどこにあるのか？
• 誰が、何がアクセスできるのか？
• そのアクセスは必要なのか、過剰な許可なのか？
• データが一般に公開されたり、攻撃者に脆弱になるような設定ミスはないか？

When done right, DSPM gives you a continuous view of cloud data risk, not just snapshots. It enables proactive remediation before incidents occur and supports DSPM use cases across security, compliance, privacy and DevSecOps teams.

クラウドはデータのスプロールを容易にした。 チームは数秒でサービスを立ち上げ、テラバイトの顧客データを保存し、何百ものサードパーティAPIと統合することができる。 しかし、この柔軟性には代償が伴う。 機密データの所在やサイバーエクスポージャーを見失いがちだ。

DSPMは、データのロケーション、コンフィギュレーション、アクセス・パス、アイデンティティを可視化することで、この問題に対処する。 過剰な権限、共有シークレット、シャドーストレージ、暗号化されていない資産など、気づかないうちにクラウド資産に潜んでいる暗部に光を当てます。

また、機密データにマッピングされた証拠とコントロールに裏打ちされたフレームワークをサポートすることで、クラウドのコンプライアンスと監査態勢を強化します。 

また、クラウドセキュリティの成熟度が進化するにつれて、DSPMは、サイバーエクスポージャー管理プラットフォームやクラウドネイティブアプリケーション保護プラットフォーム（CNAPP）などのクラウドネイティブセキュリティ戦略との連携を深めることができます。

1.センシティブなデータを自動的に発見・分類
DSPMツールは、AWS、Azure、GCP、SaaSプラットフォーム上の構造化・非構造化データをクロールし、センシティブなデータを深く発見・分類します。 データ分類モデルを使用して、ビジネスデータに関連する規制データやカスタムデータ、機密データにタグ付けを行います。

2. データの流れと関係をマップ
DSPM は、機密データがクラウドサービス、アプリケーション、API、アイデンティティを通じてどのように移動するかを可視化します。 これにより、設定ミスやアクセス許可が過剰な場合に、サイバーエクスポージャーによる影響範囲や、どのデータセットが最もリスクにさらされるかを把握することができます。

3. 過剰なアクセスや有害な組み合わせを検出
DSPMソリューションは、allAuthenticatedUsersや管理者ロールを持つサービスアカウントなどの問題を表面化するためにアクセスポリシーを分析します。 公開バケット、脆弱な暗号化、オープンポートによるサイバーエクスポージャーと組み合わせることで、攻撃者が悪用される可能性のある重大なリスクが生まれる。

4. リスクの優先順位付け
DSPM ソフトウェアは、アラートで溢れかえる代わりに、データエクスポージャーリスクをデータの機密性、悪用される可能性、ビジネスインパクトに関連付けるため、どのサイバー脅威が貴社固有のニーズや環境における実際のリスクに相当するかをチームが把握できます。 

5. 自信を持って修正
トップのDSPMプラットフォームは、コンテキストに基づいた修正ガイダンスを提供します。 これには、アクセスの削除、データの暗号化、S3ポリシーの修正、未使用の権限の取り消しなどが含まれる。 クラウドセキュリティポスチャ-管理(CSPM)やクラウドインフラストラクチャ-権限管理(CIEM)ツールとの統合により、施行の効率化が図れます。

DSPMは連続的なサイクルをたどる：

1.Discovery
クラウド環境のデータストア、データベース、コンテナ、SaaSサービス、シャドウインフラをスキャンします。 構造化データ、非構造化データ、半構造化データを検出し、未承認のツールや管理されていないクラウド資産に存在する可能性のあるシャドウデータを追跡します。

2. 分類
コンプライアンスフレームワークとビジネスロジックに基づいて、機密データに自動的にラベル付けを行います。 DSPMは、知的財産や専有データのカスタム分類もサポートする。

3. アクセス解析
人間のユーザー、マシンのアイデンティティ、サービスアカウント、サードパーティの SaaS 統合、ワークロードなど、誰が、どのようなデータにアクセスできるかを評価します。 このステップはCIEMの能力に合致している。

4. 姿勢評価
公開バケット、無効なログ、オープンポート、過度に許可されたロール、安全でないデータレイクなど、クラウドの設定ミスをスキャンします。 DSPMは、これらのコンフィギュレーション・リスクを、それらが影響するデータ資産に直接結びつけます。

5. リスクモデリング
サイバーエクスポージャーグラフを使用し、設定ミスしたリソース、許可しすぎたアクセス、機密データ間の有害な組み合わせをマッピングする。 DSPMは、セキュリティチームが攻撃経路を可視化し、影響の大きいリスクに優先順位を付けるのに役立ちます。

6. 修正と対応
ガイド付きの修正とポリシーの自動化を使用して、最も重要なサイバーエクスポージャーに優先順位を付けて修正します。 セキュリティオーケストレーション、自動化、レスポンス（SOAR）、クラウドネイティブアプリケーション保護プラットフォーム（CNAPP）、またはセキュリティ情報イベント管理（SIEM）ツールを組み合わせることで、レスポンスを自動化することができます。

DSPMは、今日のクラウドデータに関する最大の課題に対処する、実用的でインパクトの大きいユースケースを通じて価値を提供します。 サイバーエクスポージャーは、データ漏洩の防止からコンプライアンスの確保まで、チームがデータエクスポージャーをプロアクティブに管理し、セキュリティとビジネスニーズの整合性を図るのに役立ちます。 

DSPMを使用してリスクを軽減する一般的な方法をいくつか紹介する：

• 攻撃者がデータ漏洩を行う前に、リスクの高いデータ漏洩経路を特定し、データ漏洩の可能性を低減します。
• 業界標準や規制に沿った機密データのコンプライアンスとコントローラーを実証する。
• 監査準備のため、規制されたデータセットのインベントリーとポリシーのエビデンスを維持する。
• 最小権限アクセスを強制することでリスクを低減します。
• 機密データを保存または使用する不正なサービスを検出する。
• クラウドフットプリント全体のAI関連データリスクを特定し、軽減します。
• 開発者がパイプラインの早い段階で危険なサイバーエクスポージャーを検出できるようにする。
• データレジデンシー、主権、使用ポリシーの持続可能なコントローラーを確立する。

DSPMは、DevSecOpsライフサイクルにデータエクスポージャーに関する洞察をもたらし、開発者のシフトレフトを支援し、コードが本番環境に入る前にリスクの高いデータの取り扱いを検出します。

DSPMをCI/CDパイプラインに組み込むと、インフラのコード化（IaC）、コンテナイメージ、API、デプロイメントマニフェストをリアルタイムでスキャンします。 テスト環境に残された機密データやコンテナに焼き付けられた秘密などの問題に警告を発する。

この可視性により、開発者は問題を早期に修正することができる。 ストレージを暗号化し、権限を厳格化し、埋め込まれた秘密が環境全体に広がる前に削除することができる。

DSPMは、サービスアカウントに結びついた秘密へのパブリックアクセスなど、有害な組み合わせを発見し、明確な修正ステップを提供します。 ポリシーのコード化ワークフローによって修正を自動化することもできる。

その結果、リリースがスムーズになり、デプロイメント後の不測の事態が減り、セキュリティと開発スピードの整合性が向上する。

DSPMはコンプライアンス重視のDevOpsもサポートする。 プライバシー・バイ・デザインの原則を実施し、データガバナンスのチェックを開発パイプラインに直接追加することが容易になります。

チームは自動的にレポートを作成することができ、施行ゲートはデータ関連のポリシー違反をブロックするため、監査にかかる時間を節約し、リスクを軽減することができます。

最終的に、DSPMはコード、データ、デプロイメントを1つの統一されたパイプラインで結びつけ、ビルド、テスト、デプロイメント中に機密データが漏れることがないようにする。 セキュリティ、コンプライアンス、開発者の敏捷性を同期させます。

シャドーデータとは、古いデータベース、忘れ去られたテストバケット、ガバナンスの枠組みの外で立ち上げられたSaaSアプリなど、あなたが管理またはモニタリングしていない場所に隠れている機密情報のことです。

クラウドのダークサイド、つまり攻撃者が好んでエクスプロイトしようとする監視されていない表面と考えてほしい。

DSPMは、承認された環境を超えてシャドーデータに対処する。 接続されているすべてのアカウント、サービス、コンテナ、シャドーSaaSアプリの構造化データと非構造化データをスキャンします。 検出結果をマップ化し、忘れ去られたテストバケツやAIモデルのトレーニングデータセットであっても、機密性の高いコンテンツをどこにでもハイライトする。

発見後、DSPMは各リポジトリを分類し、コンテキスト化する。

• 管理されていないデータレイクに機密情報はあるのか？
• 放置された開発用バケツにソースコードが眠っていないか？

それだけでは終わらない。 

DSPMは、アイデンティティとコンフィギュレーション分析をオーバーラップさせ、期限切れの管理者認証情報に結びついた、忘れられたデータストアへのパブリック書き込みアクセスのような、有害な組み合わせを捕捉します。

ガイド付き修正により、シャドウデータを再びコントローラーに戻すことができます。 承認されたストレージへの移行、危険なアクセスの取り消し、古くなったコピーの削除、保存が必要なものの安全な暗号化などが可能です。

DSPMは、これらの未知のリスクに対する可視性とコントローラーを取り戻すことで、アタックサーフェスを縮小し、未追跡リスクの最も一般的な原因の1つを排除します。

規制は、誰が機密データにアクセスできるか、それを裏付ける確かな証拠とともに、厳重に管理することを求めている。

そこで、DSPMがコンプライアンスに役立つ。 コンプライアンス・プログラムを強化するワークフローを自動化し、監査の手間を大幅に軽減します。

これは、財務記録や保護された医療情報など、規制に基づいたカテゴリーに基づいて継続的にデータを発見し、分類することから始まる。 データがどこに存在し、誰がアクセスし、どこにサイバーエクスポージャーがあるかがわかる。

その後、DSPMはコンフィグレーションとアイデンティティ設定をチェックし、それらがポリシー要件に合致していることを確認する。 つまり、必要な場所には暗号化を施し、一般からのアクセスを遮断し、権限は最小権限基準に従うということだ。

コンプライアンスから外れた場合、DSPMは見やすく、リスクスコア付きのダッシュボードでフラグを立てます。

監査役が現れたら、準備はできている。 DSPMは、データセットをコントローラーにマッピングし、修正ステップを表示し、タイムスタンプを含むアーティファクト豊富なレポートを提供します。 監査人が求めるのは、約束ではなく証拠であることを忘れてはならない。

また、カスタマイズ可能なダッシュボードを使用して、コンプライアンス状況や修復までの時間を追跡することもできます。

規制が変われば、DSPMも対応する。 データ・カテゴリーを更新し、カスタム・ラベリングをサポートし、新しい要件を満たすために分類モデルを微調整する。

継続的なモニタリングにより、クラウド環境が進化しても、セキュリティ態勢を監査対応に維持できます。

DSPMは、監査の摩擦を減らし、罰金のリスクを低減し、チームがより少ない労力で認証準備態勢を維持できるよう支援します。

DSPMの核心は、的を絞った測定可能な方法でクラウドデータのリスクを軽減することにある。 インフラストラクチャとアイデンティティの可視性にデータ・コンテキストを追加することで、理論上の脆弱性だけでなく、実際の攻撃経路を明らかにすることができます。

マルチクラウドやSaaS環境における機密データを自動的に検出することから始まる。

そこからDSPMはサイバーエクスポージャー・グラフ（アイデンティティ、コンフィギュレーション、ネットワーク経路、データがどのように相互作用するかを示す視覚的モデル）を構築する。 

暗号化されていないデータベースと古くなった管理者認証情報の組み合わせが、攻撃者にとっていかに直接的な経路となるかがわかるだろう。 これらの明確な攻撃経路は、修正作業の指針となる。

DSPMはまた、リスクスコアリングを適用し、実際のリスクに優先順位をつける。 ダミーデータが流出するテストバケツは、実際の顧客レコードを公開する設定ミスのデータストアよりもスコアが低くなる。 これは、修正をビジネスの優先順位に合わせるのに役立つ。

危険なサイバーエクスポージャーを特定したら、ガイド付き修正機能により、アクセスの取り消し、データの暗号化、設定の調整を簡単に行うことができます。 DSPMはCIEM、CSPM、SIEM/SOARまたはCNAPPツールと統合し、手動および自動応答が可能です。

継続的モニタリングが組み込まれているため、クラウドのリスク削減は1回限りの取り組みではない。 DSPMは、新しいデータストア、コンフィギュレーションのドリフト、アイデンティティの変更をリアルタイムで監視し続けるため、組織はサイバーエクスポージャーのエクスポージャーをより少なくすることができます。

ではそれによって何が起きるのでしょうか。クラウド・アタックサーフェスの減少、データ漏洩インシデントの減少、セキュリティチーム、開発チーム、ガバナンスチーム間の連携強化が実現します。

CSPMは、インフラ構成、ネットワーク、ワークロード、サービスのセキュリティに重点を置いています。 

DSPMはデータという欠落したレイヤーを追加する。

CSPMはパブリック・バケットやオープンなファイヤーウォール・ルールを警告することはできるが、そのリソースに顧客データが含まれているかどうかはわからない。 DSPMはその質問に答え、サイバーエクスポージャーの全容を示します。

CSPMは、家の鍵や窓をチェックするようなものだと考えてほしい。 ドアを開けっ放しにしていたり、窓の鍵を開けっ放しにしていたりすると、それを教えてくれる。 しかし、中にどんな貴重品があるかはわからない。 

何がリスクなのか？ オープンなバケットや公開されたデータベースに機密性の高い顧客データがあるかどうかを表示します。

併用した場合、DSPM vs. DSPM。 CSPM 重層的な可視性を提供する。 インフラの欠陥を検出し（CSPM）、データへの影響を評価（DSPM）することで、リスクを正確に把握することができます。

DSPMをサイバーエクスポージャー管理戦略に組み込むことで、セキュリティ体制を強化することができます。 データ・アタックサーフェス全体を明確に把握できるため、リスクを積極的に軽減することができます。 

DSPMは、マルチクラウド環境における機密データの所在、アクセス可能なユーザー、設定ミスによる危険なサイバーエクスポージャーを示します。

DSPMとCSPMおよびCIEMを統合したサイバーエクスポージャー管理プラットフォームにより、リスクを一元的に把握することができます。 

• CSPMはパブリック・ストレージ・バケットにスポットを当てる。
• CIEMは特権ユーザーを強調します。
• DSPMは、これらの検出結果を、リスクにさらされている実際の機密データと結びつける。 

スーパー・アドミニストレータのユーザーが、顧客データを含む一般に公開されたデータベースにアクセスするような、有害な組み合わせが明らかになる。 これらの問題は、単独では重大度に見えないかもしれないが、組み合わさることで、悪用される可能性のある深刻な攻撃経路を露呈することになる。

DSPMは、すべての設定ミスを追いかけるのではなく、データの機密性、アクセスの重大度、ビジネスへの影響に基づいて優先順位を付けることができます。 また、特定の権限の取り消しや、公開されたデータストアの暗号化など、状況に応じた明確な修正ステップも用意されているため、チームは迅速に対応することができます。

DSPMを使えば、騒々しいアラートから実用的なインテリジェンスへと移行できる。 対応がより迅速かつ的確になり、アタックサーフェスが縮小することで、現実のデータリスクを直接的に低減することができる。

すべてのDSPMプラットフォームが同じレベルの保護を提供しているわけではない。 クラウドデータのリスクを低減するには、基本的なディスカバリーを超えて、コンテキストに基づいた実用的なインテリジェンスを提供するソリューションが必要です。

AWS、Azure、GCP、SaaSアプリを一貫して可視化できるように、マルチクラウドとSaaS環境をサポートするDSPMプラットフォームを探しましょう。 ワークロードを中断させることなく継続的にモニタリングを行いながら、盲点を避け、運用上のオーバーヘッドを削減するために、エージェントレスでAPIベースのスキャンを使用すべきである。

自動検出は、忘れられたバケット、管理されていないデータベース、未承認のSaaSツールなどのシャドーデータを発見するために重大度である。 検出結果が出たら、DSPMはデータを機密性と規制要件によって分類し、重要なものに優先順位をつけられるようにする。

また、アイデンティティ、ロール、権限を分析し、過剰に許可されたアカウントや有害な権限の組み合わせを検出しなければならない。 文脈も重要だ。 DSPMは、孤立したアラートだけでなく、設定ミス、アイデンティティ、データがどのようにつながって実際の攻撃経路を形成するかを示すべきである。

統合が鍵だ。 

優れたDSPMソリューションは、CSPM、CIEM、CNAPPツールと連携し、統合されたリスク・ビューを実現する。 また、サイバーエクスポージャーの深刻度とビジネスへの影響を基本値としたリスクスコアリングを適用し、どの問題を最初に修正すべきかがわかるようにする。

最後に、指導による修正を探す。 最良のDSPMプラットフォームは、アクセス許可の取り消し、データの暗号化、公開アクセスの無効化といった明確なステップを提供し、自動化オプションによって対応を迅速化する。

DSPMに関するよくある質問

DSPMはどのようなデータを保護するのか？

DSPMは、顧客記録、支払いデータ、健康情報、IP、ソースコードなど、構造化および非構造化機密データを保護します。 また、クラウドネイティブ環境全体のシャドーデータのセキュリティにも役立つ。 

DSPMはコンプライアンスに必要ですか？

義務ではないが、DSPMは継続的なデータの可視化とリスクコントロールを提供することで、コンプライアンス義務を果たすのに役立つ。 多くの監査人は現在、データ分類とアクセスガバナンスの証明、およびDSPMがサポートするデータ・インシデントのリスクを低減する対策の証拠を期待している。 

DSPMはDLPやCSPMの代わりになるのか？

いいえ。DSPMはそれらのツールを補完するものだ。 DLPは、ユーザーが機密ファイルをUSBドライブやクラウドストレージにコピーするのをブロックするなど、不正なアクセスや共有を防止するポリシーを実施することで、静止時、移動時、使用中のデータを保護します。 CSPMはインフラをセキュリティで保護する。 DSPMは、特に動的でクラウドネイティブな環境における、静止状態のデータとそのサイバーエクスポージャーに焦点を当てている。

TenableはDSPMを提供していますか？

はい。 Tenable Cloud Security は、クラウド全体の機密データを検出、分類、保護するDSPM機能を備えています。 DSPMは、CSPM、CIEM、クラウド脆弱性管理など、より広範なサイバーエクスポージャー管理戦略の一環である。

Tenableのデータセキュリティポスチャ-管理機能は、DSPM、CSPM、脆弱性管理、アイデンティティリスク分析を統合した統合クラウドセキュリティプラットフォームの一部です。 Tenableを使用すると、深い可視性を得ることができます：

• 機密データの場所
• データの流れ
• 誰がアクセスできるか
• どのサイバーエクスポージャーが本当のリスクをもたらすか

データアクセスをクラウドの設定ミス、過剰な権限ロール、外部への露出にマッピングすることで、Tenableは最も重要なギャップを見つけ、修正することを支援します。 DSPMは、より広範なサイバーエクスポージャー管理戦略の一環であり、重大度なクラウドデータを保護するための明確さとコンテキストを提供します。

Learn how Tenable Cloud Security supports data security posture management.