DSPM vs. CSPM

中堅から大企業のセキュリティチームは、クラウドワークがどのようなデータを持っているのか、どのようにデータエクスポージャーが発生する可能性があるのかを理解していない場合、どのようにクラウドワークを保護すればよいのかという根本的な課題に頭を悩ませている。

ほとんどの組織がクラウドセキュリティポスチャ-管理（CSPM）を採用し、露出したポート、過剰なアクセス許可、安全でないストレージポリシーなど、インフラストラクチャの設定ミスを検出しています。 

CSPMは、クラウドネイティブの脆弱性管理と、クラウドインフラ層における攻撃者の攻撃対象領域を減らすために不可欠です。 しかし、本番データベース・インスタンスが静止状態で暗号化されていないというCSPMアラートを受け取った場合はどうなるでしょうか。 そのデータベースに機密性の高い顧客データが含まれているかどうかはまだわからないため、修正に優先順位をつけたり、設定ミスの実際の影響を把握したりすることは難しい。

そこで登場するのが、データセキュリティポスチャ-管理（DSPM）である。 これは、真のサイバーエクスポージャー管理のための欠落したデータのコンテキストを提供します。

DSPM vs. CSPMはどちらか一方だけの話ではない。 レイヤリング戦略だ。 リスクを理解し、自信を持って対応するためには、インフラとデータのレイヤーを見なければならない。

CSPMは設定ミスをスキャンすることで、クラウドインフラのリスクを低減します。 クラウド環境は複雑で、ミスがすぐに起こるため、現在ではほとんどのセキュリティチームがこれを使用している。 AWS、Azure、GCPにまたがって動作し、データ漏洩にリードする可能性のある設定の問題を発見します。

CSPMの一般的な検出結果は以下の通りである：

• 公開されるべきでないストレージバケットを公開する
• ログやバージョニングが無効になっているため、問題が発生したときに何が起こったのかがわからない。
• 必要以上のアクセス権限を与える過剰なIAMロール
• ファイヤーウォールやネットワークへの無制限なアクセスにより、攻撃者に広く門戸が開かれている。

セキュリティチームはCSPMに依存している：

• 情報漏えいの通知で気づくのではなく、設定ミスを早期に検出する。
• 手作業でチェックすることなく、CISベンチマーキングなどのコンプライアンス標準に対応できます。
• アラートをSIEM/SOARプラットフォームへフィードすることで、すべてを1か所に集約
• サービスやワークロード全体のアタックサーフェスを縮小し、インフラレベルでのサイバーエクスポージャー管理を改善する。
• リスクにさらされている度合いと潜在的な損害に基づき、優先順位をつけてリスクを分類する。

CSPMは、火事を消すことから防ぐことへとシフトさせる。

しかし、CSPMツールはサービスの中身を評価するものではない。 オープンバケットに何テラバイトものソースコードがあるのか、数枚のテスト画像があるのかは教えてくれない。 このギャップを埋めるのがDSPMなのだ。

DSPMは、クラウド、SaaS、潜在的にはオンプレミスなど、多様な環境にわたって機密データを検出し、保護します。 特にダイナミックなマルチクラウド環境において、データがどこに存在し、どのように流れ、どのようなエクスポージャーがあるのかを可視化することで、包括的なサイバーエクスポージャー管理に不可欠なデータ中心のインサイトを提供します。 

インフラの欠陥に焦点を当てた従来の脆弱性管理とは異なり、DSPMは機密データのリスクに直接対処する。 CSPMがインフラの脆弱性を示すとすれば、DSPMはデータリスクの文脈でなぜそれが重要なのかを示す。

DSPMツールはあなたをサポートします：

• 機密データ（知的財産、財務データ、ソースコードなど）の発見
• タイプ、規制、カスタムビジネスルールによるデータの分類
• 地図上のアクセス・パスと権限
• 許可されすぎたインターネットへのアクセスやサイバーエクスポージャーを特定する。
• 感応度、悪用される可能性、ビジネスインパクトに基づいてリスクを関連付ける

CSPMが何が問題なのかを示すとすれば、DSPMは、それがなぜ問題なのかを示す。

DSPMとCSPMを併用することで、リスクをより完全に把握し、より強固なサイバーエクスポージャー管理プログラムを直接サポートすることができる。 この組み合わせがどのように結果を向上させるかを紹介しよう：

1.アラート量ではなく、データの機密性で優先順位を決定

インフラ脆弱性管理ツールとしてのCSPMは、何百ものアラートを生成するかもしれない。 DSPMは、実際の機密データを暴露するものをフィルタリングするのに役立ち、限られたリソースを最も重要なサイバーエクスポージャーに集中させることができます。

2. 修正の閉ループ修正

CSPMは設定ミスのバケットを表示するかもしれません。 DSPMは完全なコンテクストを提供する。 どのようなデータが保存されているのか、誰がアクセスできるのか、どのように修復するのかがわかる。

3. コンプライアンス強化

CSPMは、監査準備に不可欠なコントローラーを実証するのに役立つ。 DSPMは、業界標準が要求するデータ固有の可視性を提供します。

4. 部門を超えたコラボレーションを改善

DSPMはビジネス・コンテキストを追加し、どのデータがリスクにさらされ、どのアプリケーションや部門に影響を及ぼすかを示します。 これにより、セキュリティ、プライバシー、コンプライアンスの各チームが連携して対応できるようになります。

あなたの組織がすでにCSPMを使用している場合、インフラストラクチャの可視性はあるが、機密データのリスクに関するコンテキストが不足している可能性が高い。 

DSPMは次のようなツールと統合している：

• アイデンティティとアクセス分析のためのクラウドインフラ権限管理(CIEM)
• クラウドネイティブアプリケーション保護プラットフォーム（CNAPP）によるワークロードとランタイムの保護
• セキュリティ情報イベント管理（SIEM）によるデータリスクアラートの強化

DSPMはデータガバナンスとプライバシーにも役立つ。 機密データがどこに存在し、誰がそれにアクセスしているかを示し、異なるクラウドプラットフォーム間で一貫したポリシーの実施を保証します。

DSPMとCSPMのパワーをフルに活用するには、統合されたポスチャの可視性を提供し、より迅速で効果的なクラウドリスク管理を実現する統合クラウドセキュリティプラットフォームを評価する。

CSPMとDSPMは別物でありながら補完関係にあり、包括的なクラウドセキュリティには不可欠である。 この組み合わせは、インフラのみのViewにとどまらず、データ中心のリスク管理とサイバーエクスポージャー管理にまで発展する。

DSPMを評価するのであれば、既存のCSPM機能とどのように連携するかを検討すること。 ベンダーに聞いてみてください：

• インフラとサイバーエクスポージャーを相関させられるか？
• ビジネスインパクトに基づくリスクスコアリングを提供していますか？
• アイデンティティ分析（IAM、サービスアカウントなど）は含まれていますか？
• DSPMツールはデータの流れや攻撃経路を可視化できるか？

セキュリティチームは、別々のツールを管理することは複雑で時間がかかり、リスクを断片的にリードすることになるため、CNAPPと統合されたサイバーエクスポージャー管理プラットフォームに向かっています。 最高のプラットフォームはCSPMとDSPMを組み合わせているため、クラウドインフラとデータで何が起きているかを確認するためにダッシュボードを行き来する必要がない。 インシデントへの対応が迅速になり、コンプライアンスも苦にならなくなる。

インフラとデータをセキュリティで保護する必要がある。 CSPMは設定の問題を処理し、DSPMは機密データを追跡する。 離れているより一緒にいる方がうまくいく。

DSPMを活用して、CSPMが生成する多数のアラートに対する重大なビジネス・コンテキストを取得する。 

どのインフラの設定ミスが機密データや規制対象データを直接暴露するかを理解することで、セキュリティチームは修正作業に優先順位を付け、ビジネスやコンプライアンス義務に関わるリスクに限られたリソースを集中させることができます。

効果的なクラウドセキュリティには、セキュリティ、プライバシー、コンプライアンスの各チーム間の強力なコラボレーションも必要であるため、継続的にコラボレーション文化の構築に取り組む。 

DSPMは、具体的にどのデータがリスクにさらされているのか、どの部門やアプリケーションに影響があるのかを特定することで、重要なビジネスコンテキストを提供します。

Want to see how DSPM and CSPM work together inside Tenable Cloud Security? Explore how unified posture visibility helps you reduce cloud risk faster.