DSPM と CSPM の違い

中堅から大企業のセキュリティチームは、クラウドワークロードがどのようなデータを持っているのか、どのようにデータエクスポージャーが発生する可能性があるのかを理解していない場合、どのようにクラウドワークロードを保護すればよいのかという根本的な課題に直面します。

ほとんどの組織がクラウドセキュリティポスチャー管理（CSPM）を採用し、露出したポート、過剰なアクセス許可、安全でないストレージポリシーなど、インフラストラクチャの設定ミスを検出しています。 

CSPMは、クラウドネイティブの脆弱性管理と、クラウドインフラ層における攻撃者のアタックサーフェスを減らすために不可欠です。 しかし、本番データベース・インスタンスが静止状態で暗号化されていないというCSPMアラートを受け取った場合はどうなるでしょうか。 そのデータベースに機密性の高い顧客データが含まれているかどうかはまだわからないため、修正に優先順位をつけたり、設定ミスの実際の影響を把握したりすることは難しいものです。

そこで登場するのが、データセキュリティポスチャー管理（DSPM）です。 これは、真のエクスポージャー管理のための欠落したデータのコンテキストを提供します。

DSPM と CSPMは、どちらか一方だけで完結するものではありません。レイヤリング戦略です。 リスクを理解し、自信を持って対応するためには、インフラとデータのレイヤーを見なければなりません。

CSPMは設定ミスをスキャンすることで、クラウドインフラのリスクを低減します。 クラウド環境は複雑で、ミスがすぐに起こるため、現在ではほとんどのセキュリティチームがこれを使用しています。AWS、Azure、GCPにまたがって動作し、データ漏洩にリードする可能性のある設定の問題を発見します。

CSPMの一般的な検出結果は以下の通りです。

• 公開されるべきでないストレージバケットを公開する
• ログやバージョニングが無効になっているため、問題が発生したときに何が起こったのかがわからない
• 必要以上のアクセス権限を与える過剰なIAMロール
• ファイヤーウォールやネットワークへの無制限なアクセスにより、攻撃者に広く門戸が開かれている

セキュリティチームは CSPM を活用して、次のことを行います。

• 情報漏えいの通知で気づくのではなく、設定ミスを早期に検出します。
• 手作業でチェックすることなく、CISベンチマーキングなどのコンプライアンス標準に対応できます。
• アラートをSIEM/SOARプラットフォームへフィードすることで、すべてを1か所に集約します。
• サービスやワークロード全体のアタックサーフェスを縮小し、インフラレベルでのエクスポージャー管理を改善します。
• リスクにさらされている度合いと潜在的な損害に基づき、優先順位をつけてリスクを分類します。

CSPMは、火事を消すことから防ぐことへとシフトさせます。

しかし、CSPMツールはサービスの中身を評価するものではありません。 オープンバケットに何テラバイトものソースコードがあるのか、数枚のテスト画像があるのかは教えてくれません。 このギャップを埋めるのがDSPMです。

DSPMは、クラウド、SaaS、潜在的にはオンプレミスなど、多様な環境にわたって機密データを検出し、保護します。 特にダイナミックなマルチクラウド環境において、データがどこに存在し、どのように流れ、どのようなエクスポージャーがあるのかを可視化することで、包括的なエクスポージャー管理に不可欠なデータ中心のインサイトを提供します。 

インフラの欠陥に焦点を当てた従来の脆弱性管理とは異なり、DSPMは機密データのリスクに直接対処します。 CSPMがインフラの脆弱性を示すとすれば、DSPMはデータリスクの文脈でなぜそれが重要なのかを明らかにします。

DSPM ツールでできること:

• 機密データ（知的財産、財務データ、ソースコードなど）の発見
• タイプ、規制、カスタムビジネスルールによるデータの分類
• アクセス経路と権限
• 許可されすぎたインターネットへのアクセスやサイバーエクスポージャーを特定
• 感応度、悪用される可能性、ビジネスインパクトに基づいてリスクを評価する

CSPM が問題点を示すのに対し、DSPM はそれがなぜ重要かを示します。

DSPMとCSPMを併用することで、リスクをより完全に把握し、より強固なエクスポージャー管理プログラムを直接サポートすることができます。 この組み合わせがどのように結果を向上させるかを紹介します。

1.アラート量ではなく、データの機密性で優先順位を決定

インフラ脆弱性管理ツールとしてのCSPMは、何百ものアラートを生成するかもしれません。 DSPMは、実際の機密データを暴露するものをフィルタリングするのに役立ち、限られたリソースを最も重要なサイバーエクスポージャーに集中させることができます。

2. 修正プロセスを完結させる

CSPMは設定ミスのあるストレージバケットを検出することがあります。 DSPMは完全なコンテクストを提供します。 どのようなデータが保存されているのか、誰がアクセスできるのか、どのように修復するのかがわかります。

3. コンプライアンス強化

CSPMは、監査準備に不可欠なコントローラーを実証するのに役立ちます。 DSPMは、業界標準が要求するデータ固有の可視性を提供します。

4. 部門を超えたコラボレーションを改善

DSPMはビジネス・コンテキストを追加し、どのデータがリスクにさらされ、どのアプリケーションや部門に影響を及ぼすかを示します。 これにより、セキュリティ、プライバシー、コンプライアンスの各チームが連携して対応できるようになります。

あなたの組織がすでにCSPMを使用している場合、インフラストラクチャの可視性はありますが、機密データのリスクに関するコンテキストが不足している可能性が高いです。 

DSPMは次のようなツールと統合しています。

• アイデンティティとアクセス分析のためのクラウドインフラ権限管理(CIEM)
• クラウドネイティブアプリケーション保護プラットフォーム（CNAPP）によるワークロードとランタイムの保護
• セキュリティ情報イベント管理（SIEM）によるデータリスクアラートの強化

DSPMはデータガバナンスとプライバシーにも役立つ。 機密データがどこに存在し、誰がそれにアクセスしているかを示し、異なるクラウドプラットフォーム間で一貫したポリシーの実施を保証します。

DSPMとCSPMのパワーをフルに活用するには、統合されたポスチャの可視性を提供し、より迅速で効果的なクラウドリスク管理を実現する統合クラウドセキュリティプラットフォームを評価します。

CSPMとDSPMは別物でありながら補完関係にあり、包括的なクラウドセキュリティには不可欠です。 この組み合わせは、インフラのみの視点にとどまらず、データ中心のリスク管理とエクスポージャー管理にまで発展します。

DSPM を評価する際は、既存の CSPM 機能との連携方法を検討します。ベンダーには次の点を確認します。

• インフラとサイバーエクスポージャーを相関させられるか？
• ビジネスインパクトに基づくリスクスコアリングを提供しているか？
• アイデンティティ分析（IAM、サービスアカウントなど）は含まれているか？
• DSPMツールはデータの流れや攻撃経路を可視化できるか？

セキュリティチームは、別々のツールを管理することは複雑で時間がかかり、リスクを断片的にリードすることになるため、CNAPPと統合されたエクスポージャー管理プラットフォームに向かっています。 最高のプラットフォームはCSPMとDSPMを組み合わせているため、クラウドインフラとデータで何が起きているかを確認するためにダッシュボードを行き来する必要がありません。インシデントへの対応が迅速になり、コンプライアンスも苦にならなくなります。

インフラとデータをセキュリティで保護する必要があ。 CSPMは設定の問題を処理し、DSPMは機密データを追跡します。 離れているより一緒にいる方がうまくいきます。

DSPMを活用して、CSPMが生成する多数のアラートに対する重大なビジネス・コンテキストを取得します。 

どのインフラの設定ミスが機密データや規制対象データを直接暴露するかを理解することで、セキュリティチームは修正作業に優先順位を付け、ビジネスやコンプライアンス義務に関わるリスクに限られたリソースを集中させることができます。

効果的なクラウドセキュリティには、セキュリティ、プライバシー、コンプライアンスの各チーム間の強力なコラボレーションも必要であるため、継続的にコラボレーション文化の構築に取り組む必要があります。 

DSPMは、具体的にどのデータがリスクにさらされているのか、どの部門やアプリケーションに影響があるのかを特定することで、重要なビジネスコンテキストを提供します。

Tenable Cloud Security における DSPM と CSPM の連携をご確認ください。統合されたポスチャー可視化により、クラウドリスクを効率的に低減できます。