データセキュリティポスチャー管理 (DSPM) ユースケース

データセキュリティポスチャー管理 (DSPM) は、機密データがどこに存在し、誰がアクセスでき、どのようなエクスポージャーがあるかについて、継続的な可視性を提供します。 DSPM プラットフォームは、データ分類、アクセス分析、構成リスク、サイバーエクスポージャーを結びつけ、単なる脆弱性スコアではなく、組織にとって最も重要なリスクに優先順位を付けます。

最新の DSPM ツールはマルチクラウドや SaaS 環境をサポートし、AWS、Azure、Google Cloud などのクラウドプロバイダーと統合します。これらは クラウドセキュリティポスチャー管理 (CSPM)、 クラウドインフラストラクチャおよびエンタイトルメント管理 (CIEM)、およびクラウドネイティブアプリケーション保護プラットフォーム (CNAPP) ソリューションと連携し、セキュリティおよびコンプライアンスチームがクラウドデータのリスクをよりきめ細やかに制御できるようにします。

DSPM ソリューションを評価する際に問われるのは、単に機密データを「発見する」ことではありません。現実の課題を解決できるかどうかです。具体的には、次のような点が問われます。

• データ漏洩を未然に防ぐことはできるか?
• すべての規制に対するコンプライアンスを証明できるか?
• アラートノイズを減らし、真のデータ漏洩リスクに焦点を当てられるか?
• 開発者は、自分のコードが機密データとどのように相互作用しているかを理解できるか?

ユースケースは、DSPM の機能をビジネスの成果に結びつけるための指針となります。

主な DSPM ユースケースをご紹介します。

1.クラウドのデータ漏洩対策

クラウドにおけるデータ漏洩の大半は、公開バケット、権限過多のサービスアカウント、暗号化されていない機密データといった、単純な設定ミスから始まります。

DSPM は、攻撃者よりも先にこうした危険な組み合わせを検出します。設定ミスとそれによって露出するデータを直接紐付け、機密データセットに関連する外部公開アセットなど、影響度の高いリスクを明確にします。

2. データプライバシー規制の遵守

各種規制により、個人情報や規制対象データへのアクセスを適切に管理することが求められています。

DSPM は、機密データの種別を継続的に自動検出し、アクセス権限の保有者を可視化するとともに、アクセス制御やデータ所在地ポリシーの違反を検知することで、コンプライアンス対応を支援します。また、監査に向けたレポート作成や証拠収集の機能も備えています。

3. 監査の準備

監査人が求めるのは、データインベントリ、アクセスログ、保存ポリシー、暗号化の適用状況といった具体的な証拠です。 

DSPM は、クラウド上のデータ環境に関する動的な記録を継続的に提供します。 CSPM と併用すれば、データとインフラの両面にわたる包括的な証拠を取得できます。

4. 最小権限の適用

クラウドにおけるアイデンティティリスクの軽減は、データへのアクセス制限から始まります。 

DSPM プラットフォームは、ユーザー、ロール、およびアプリケーションにわたる権限を分析し、過剰な特権を特定し、アクセスレビューを可能にします。 

CIEM 機能と組み合わせることで、アイデンティティとデータ資産全体にわたって最小特権を適用する限を適用することができます。

5. シャドー IT とシャドー AI の検出

クラウドデータのリスクは、必ずしも承認されたツール内にのみ存在するわけではありません。従業員が、生成 AI プラットフォームや SaaS ツール、個人用ストレージアプリなどの非承認サービスを利用することは珍しくありません。

DSPM は、シャドーデータとして知られるこのような未承認のデータリポジトリを検出し、承認されたシステム外で機密データが露出していることをチームに警告します。

6. DevSecOps における DSPM

セキュリティはパイプラインの優先事項です。 開発者向けの統合機能を備えた DSPM ツールであれば、以下のことを実現できます。

• インフラのコード化のデプロイ時に、リスクの高いデータアクセスを検出
• 本番稼動前に設定ミスをチームが修正できるよう支援
• 機密データの誤った保存先への送信を防ぐ自動ガードレールの実装

DSPM は、開発のスピードを維持しながら、よりセキュアなサービス構築に必要なフィードバックを開発者に提供します。

業界ごとに異なるデータ保護の課題に対し、 DSPM は次のように解決を支援します。

金融サービス

金融機関は、銀行口座情報、クレジットカード番号、取引アルゴリズムなど、機密性の高い顧客情報を大量に扱っています。PCI DSS、SOX、GDPRといった規制も非常に厳格です。

課題: 機密データは多くの場合、複数のデータベース、クラウドストレージ、レガシーシステムに存在し、時にはシャドー IT に隠れていることもあります。 承認されたユーザーのみがアクセスできるようにし、監査に備えてすべての操作を確実に記録する必要があります。

DSPM による解決策: 金融業界における DSPM は、クラウドおよびオンプレミス環境全体にわたって、金融データと個人データを自動的に発見・分類します。アクセスパターンを監視して内部脅威や不正アクセスを検出し、 過剰な権限や休眠アカウントを特定して、最小権限のポリシーを適用します。さらに、データの暗号化が PCI DSS の要件を満たしているかを確認し、情報漏洩や罰則の回避を支援します。

ヘルスケア

医療データには、保護対象医療情報 (PHI)、診療記録、研究データなどが含まれます。HIPAA や HHS 405 (d) などの規制では、厳格なプライバシー保護と同時に、迅速な患者ケアのためのアクセスも求められています。

課題: 電子カルテ (EHR) システム、画像アーカイブ、研究プラットフォーム全体で PHI を保護すると同時に、データを露呈しかねないクラウドの設定ミスは必ず防ぐ必要があります。

DSPM による解決策: ヘルスケアにおける DSPM は、PHI が保存されている場所を特定しラベル付けします。また、公開ストレージバケットや暗号化されていない患者データベースなどのリスクを優先的に評価します。DSPM は、安全でないクラウド設定を自動修正し、暗号化を適用し、患者データがアプリケーションやサードパーティ製プラットフォーム間でどのように移動するかを追跡するため、コンプライアンスを維持し、監査に備えられる状態を常に保つことができます。

小売・Eコマース

小売業者は膨大な顧客取引を処理し、機密性の高い個人情報 (PII) や決済データを保存しています。テンポの速いクラウドのデプロイな展開や頻繁なサードパーティ統合により、新たなリスクが生じています。

課題: マルチクラウド環境全体にわたって、顧客データベース、決済ゲートウェイ、ロイヤルティプログラムデータを保護する必要があります。 急速なアップデートや統合によって設定ミスが発生し、機密データが露呈する可能性がありま

DSPM による解決策: 小売・E コマースにおける DSPM は、CRM システムや E コマースプラットフォーム内の PII や決済データを発見・分類します。PCI DSS 準拠のためのクラウド設定を監視し、Web アプリケーションファイアウォールや API ゲートウェイにおけるリスクのある設定ミスを検出します。また、不審なデータ転送を警告するため、潜在的な情報漏洩にも迅速に対応できます。

製造および産業用制御システム (ICS)

製造業では IT とオペレーショナルテクノロジー (OT) システムの連携が進んでおり、新たなセキュリティ課題が生じています。知的財産、独自設計、重要生産データを、スパイ行為や妨害行為から保護する必要があります。

課題: 機密性の高い設計ファイル、製造プロセス、サプライチェーンデータは、オンプレミスファイル共有、製品ライフサイクル管理 (PLM) システム、および特殊なクラウド環境にまたがって存在することがよくあります。 また、IT と OT システムの統合により、攻撃経路が増加しています。

DSPM による解決策: 製造業および ICS における DSPM は、IT および OT システム内の機密 IP や製造データを発見・分類します。アクセス制御を適用し、権限を持つエンジニアやパートナーのみが重要データにアクセスできるようにします。また、IoT や SCADA システムに関連するクラウドインスタンスの設定ミスを検出し、運用を妨害する可能性のある不審なアクセスやデータフローを警告します。

DSPM は複数のチームをシームレスに連携します。

• セキュリティチーム: データリスクに紐づいた高精度のアラートを取得
• プライバシーおよびコンプライアンス担当: 機密データへのアクセス状況を可視化
• IT およびインフラチーム: クラウドサービス全体のセキュリティ態勢に関するインサイトを獲得
• エンジニアリング: アプリケーションとワークフローを保護するための文脈を獲得

さらに DSPM は、インシデント対応時に、SIEM や SOAR ツール内にデータの文脈を直接提示することで、部門間の連携を促進します。 

チームはどの機密資産がリスクにさらされているかを迅速に把握し、滞留時間を短縮するとともに封じ込めを改善できます。

例えば、システムがデータベースの設定ミスを検出した場合、DSPM はそのデータベースに規制対象データが含まれているか、最近誰がアクセスしたか、不審な動作が観察されたかを示します。

Tenable Cloud Security は、CSPM、CIEM、クラウド脆弱性管理を含む統合エクスポージャー管理プラットフォームの一部として、DSPM を提供しています。 

Tenable のソリューションは以下を支援します。

• マルチクラウド環境における機密データの検出と分類
• 侵害につながるエクスポージャー経路および危険な設定の組み合わせの可視化
• 機密データを保存するシャドー IT やリスクの高い AI ツールの特定
• 機密性と悪用可能性に基づくデータリスクの優先順位付けと修正

クラウドを主軸とする現代のセキュリティチームにとって重要な DSPM ユースケースを、Tenable Cloud Security がどのように支えるか、その詳細をぜひご確認ください。