データセキュリティポスチャー管理 (DSPM) ユースケース

データセキュリティポスチャ-管理（DSPM）は、機密データの所在、アクセス可能な人、サイバーエクスポージャーを継続的に可視化します。 DSPMプラットフォームは、データ分類、アクセス分析、構成リスク、サイバーエクスポージャーを結びつけ、単なる脆弱性スコアではなく、組織にとって最も重要なリスクに優先順位を付けます。

最新のDSPMツールはマルチクラウドやSaaS環境をサポートし、AWS、Azure、Google Cloudなどのクラウドプロバイダーと統合します。 これらのソリューションは、クラウドセキュリティポスチャ-管理（CSPM）、クラウドインフラストラクチャ-権限管理（CIEM）、クラウドネイティブアプリケーション保護プラットフォーム（CNAPP）ソリューションと連携し、セキュリティおよびコンプライアンスチームがクラウドデータのリスクをより深く管理できるようにします。

DSPMソリューションを評価する場合、単に機密データを発見するだけではない。 現実の問題を解決することだ：

• データ漏洩を未然に防ぐことはできるのか？
• すべての規制のコンプライアンスを証明できますか？
• アラートノイズを減らし、真のデータエクスポージャーリスクに焦点を当てることができますか？
• 開発者は、自分のコードが機密データとどのように相互作用しているかを理解できますか？

ユースケースは、DSPMの機能をビジネス成果に結びつけるのに役立ちます。

以下は、DSPMの主な使用例である：

1.クラウドのデータ漏洩対策

クラウドのデータ漏洩のほとんどは、単純なミス、パブリック・ストレージ・バケット、過剰に許可されたサービス・アカウント、暗号化されていない機密データから始まる。 

DSPMは、このような危険な組み合わせを攻撃者より先に発見するのに役立ちます。 設定ミスをそれが暴露するデータに直接マッピングし、機密データセットに結びついた外部向け資産など、影響の大きいリスクを特定します。

2. Data privacy compliance

規制により、個人データや規制対象データへのアクセスをコントローラーで管理する必要があります。 

DSPMは、センシティブなデータタイプを継続的に検出し、アクセス可能なユーザーをマッピングし、アクセス制御や残留ポリシーの違反にフラグを立てることで、コンプライアンスをサポートします。 また、監査のための報告や証拠収集もサポートする。

3. 監査の準備

監査人は、データのインベントリ、アクセスログ、保持ポリシー、暗号化範囲などの証拠を求めている。 

DSPMは、クラウドデータランドスケープの生きた記録を提供します。 CSPMと組み合わせることで、データとインフラ全体にわたる包括的なエビデンスを得ることができる。

4. 最小権限の執行

クラウドにおけるアイデンティティ・リスクの低減は、データへのアクセスを制限することから始まる。 

DSPMプラットフォームは、ユーザー、ロール、アプリケーションの権限を分析し、過剰な権限を特定し、アクセスレビューを可能にします。 

CIEM機能と組み合わせることで、アイデンティティとデータ資産に最小権限を適用することができます。

5. シャドーITとシャドーAIの発見

クラウドデータのリスクは、すべて認可されたツールにあるわけではない。 従業員はしばしば、ジェネレーティブAIプラットフォーム、SaaSツール、個人用ストレージアプリなどの不正サービスを利用している。 

DSPMは、シャドーデータとして知られるこのような未承認のデータリポジトリを検出し、承認されたシステム外で機密データが暴露されていることをチームに警告します。

6. DevSecOpsにおけるDSPM

セキュリティはパイプラインの優先事項だ。 開発者向けに統合されたDSPMツールは、以下のことが可能です：

• インフラのコード化でリスクのあるデータアクセスを検出
• 本番稼動前に設定ミスを修正するチームを支援
• ガードレールを自動化し、機密データが誤った場所に着地しないようにする。

DSPMは、開発者が速度を落とすことなく、よりセキュアなサービスを構築するために必要なフィードバックを提供する。

各業界は独自のデータ保護の課題に直面している。 DSPMがお手伝いできることをご紹介しよう：

金融サービス

金融会社は、銀行情報、クレジットカード番号、取引アルゴリズムなど、顧客の機密情報を大量に扱っている。 PCI DSS、SOX、GDPRなどの規制は厳しい。

Your challenge: 機密データは多くの場合、複数のデータベース、クラウドストレージ、レガシーシステムに存在し、時にはシャドーITに隠されていることもある。 承認されたユーザーのみがアクセスできるようにし、監査のためにすべてのアクションをログに記録する必要があります。

DSPMはどのように役立つのか： 金融におけるDSPMは、クラウドおよびオンプレミス環境全体の財務および個人データを自動的に検出し、分類します。 アクセスパターンをモニタリングし、内部脅威や不正な試みを発見する。 DSPMは、過剰権限や休眠アカウントにフラグを立て、最小権限ポリシーを実施する。 また、データの暗号化が PCI DSS 要件に適合していることを保証し、データ漏洩や罰則の回避を支援します。

ヘルスケア

ヘルスケアデータには、保護された医療情報（PHI）、医療記録、リサーチデータが含まれる。 HIPAAのような規制やHHS 405 (d)のような基準は、患者の治療への迅速なアクセスを可能にする一方で、厳格なプライバシーを要求する。

Your challenge: 電子カルテ（EHR）システム、画像アーカイブ、リサーチエンジニアのプラットフォームを横断してPHIを保護すると同時に、クラウドの設定ミスによるデータの漏洩を避ける必要があります。

DSPMはどのように役立つのか： ヘルスケアにおけるDSPMは、PHIがどこに保管されていても、それを識別し、ラベル付けする。 一般にアクセス可能なストレージバケットや暗号化されていない患者データベースなどのリスクに優先順位をつける。 DSPMは、安全でないクラウド設定を自動的に修正し、暗号化を適用し、アプリケーションやサードパーティのプラットフォーム間で患者データがどのように移動するかを追跡できるため、コンプライアンスを維持し、監査に対応することができます。

小売とeコマース

小売業者は膨大な顧客取引を処理し、機密性の高い個人情報および支払データを保存する。 テンポの速いクラウドのデプロイメントと頻繁なサードパーティの統合は、新たなリスクをもたらす。

あなたの挑戦 To マルチクラウド環境にまたがる顧客データベース、決済ゲートウェイ、ロイヤリティプログラムのデータをセキュリティで保護。 急速なアップデートや統合は、機密データを暴露する設定ミスを生む可能性がある。

DSPMはどのように役立つのか： 小売業や電子商取引におけるデータセキュリティポスチャ-管理は、顧客関係管理（CRM）システムや電子商取引プラットフォーム内のPIIや決済データを発見し、分類します。 PCI DSS コンプライアンスのためにクラウド設定をモニタリングし、ウェブアプリケーションファイアウォールや API ゲートウェイのリスクのある設定ミスを検出します。 DSPMはまた、異常なデータ転送を警告するため、潜在的なデータ漏洩に迅速に対応することができます。

製造および産業用制御システム（ICS）

製造業では、ITシステムとオペレーショナルテクノロジー（OT）システムを接続するケースが増えており、セキュリティ上の新たな課題が発生している。 知的財産、独自の設計、重大な生産データをスパイ行為や妨害行為から守らなければならない。

Your challenge: 機密性の高い設計ファイル、製造プロセス、サプライチェーンのデータは、オンプレミスのファイル共有、製品ライフサイクル管理（PLM）システム、特殊なクラウド環境にまたがっていることが多い。 ITとOTシステムのコンバージェンスにより、攻撃経路が増える。

DSPMはどのように役立つのか： 製造およびICSにおけるDSPMは、ITおよびOTシステム内の機密IPおよび製造データを検出し、分類します。 承認されたエンジニアやパートナーだけが重大なデータにアクセスできるように、アクセス・コントローラーを強化します。 DSPMはまた、IoTやSCADAシステムに関連するクラウドインスタンスの設定ミスを検出し、運用を中断させる可能性のある不審なアクセスやデータフローを警告します。

DSPMは複数のチームを調整する：

• セキュリティチームは、データリスクに関連した忠実度の高いアラートを受け取ることができます。
• プライバシーとコンプライアンスが機密データへのアクセスを可視化します。
• ITおよびインフラチームは、クラウドサービス全体の姿勢に関する洞察を得ることができます。
• エンジニアリングは、セキュアなアプリとワークフローを実現するためのコンテキストを取得します。

DSPMはまた、SIEM（セキュリティ情報イベント管理）やSOAR（セキュリティオーケストレーション、自動化、対応）ツールにデータ・コンテキストを直接表示することで、インシデント対応時のコラボレーションを促進します。 

チームは、どの機密資産がリスクにさらされているかを迅速に把握し、滞留時間を短縮し、封じ込めを改善することができます。 

例えば、システムがデータベースの設定ミスを検出した場合、DSPMは規制されたデータがあるかどうか、誰が最近アクセスしたか、不審な行動が観察されたかどうかを表示する。

Tenableクラウドセキュリティは、CSPM、CIEM、クラウド脆弱性管理を含む統合サイバーエクスポージャー管理プラットフォームの一部としてDSPMを提供しています。 

Tenable が支援できることは

• マルチクラウド環境における機密データの検出と分類
• 侵害をリードするサイバーエクスポージャーと有害物質の組み合わせをマッピングする。
• 機密データを保存するシャドーITとリスクの高いAIツールを特定する。
• 機密性と悪用される可能性に基づいてデータリスクの優先順位を決定し、修正する。

Explore how Tenable Cloud Security supports critical DSPM use cases for modern, cloud-first teams.