シャドーデータと DSPM

シャドーデータとは、一元的な IT やセキュリティコントロールの管理範囲外のクラウド環境に保存された機密情報を指します。

シャドーデータは、多くの場合以下に起因します。

• 開発環境、ステージング環境、テスト環境で追跡管理されていないデータ
• 分析や機械学習のために作成されたバックアップデータやコピー
• 廃止されたアプリケーションやプロジェクトが残したデータ
• SaaS 統合やサードパーティサービスの設定ミス

シャドーデータには、個人を特定できる情報（PII）、個人健康情報（PHI）、財務データなどの規制対象記録が含まれる場合があります。 その場合、適切なアクセスコントロールや暗号化や監視が行われていないため、データが攻撃者にとって格好の標的となり、監査時には問題視されることになります。

特に、開発が分散していたり、迅速な規模拡張があったり、複数のクラウドサービスプロバイダーが存在する組織では、シャドーデータが急増することがあります。 

このようなデータ資産は文書化されていないことが多いため、セキュリティ担当は、その設定やアクセス権限のある人がわからないばかりか、その存在すら知らないことがあります。 監視されないまま放置されたシャドーデータは、目に見えない脅威領域となります。

現代のクラウド環境は動的であり分散化されています。 オンデマンドでインフラがプロビジョニングされ、API 経由でツールが統合され、アジャイル開発手法に則って迅速に仕事が進められています。 このような環境では、データを複製するのは簡単ですが、それを追跡するのは難しいのです。

セキュリティ担当はとても追いついていけません。

なぜなら、シャドーデータは、従来のデータ損失防止機能（DLP）を回避するからです。

効果的なサイバーエクスポージャー管理プログラムの基本原則は、アタックサーフェス全体でるあらゆる形態のサイバーリスクを先行的に特定、評価、削減することです。 

シャドーデータはアタックサーフェスの深刻な盲点であり、DSPM はそれに直接対処することができます。

DSPM は、データがどこに存在し、アイデンティティ、設定、ネットワーク経路がどのように組み合わさって悪用可能な攻撃経路を作り出すかを理解できる綿密な可視性を提供します。 

単に管理されていないデータがあることを知るだけでなく、そのデータが漏洩した場合に重大な影響を及ぼす可能性があることを理解する必要があるのです。

DSPM をより広範なサイバーエクスポージャー管理プラットフォームと統合すれば、リスクの全体像が把握できます。 例えば、知らないうちに、シャドーデータが過剰特権のあるアカウントや設定ミスのクラウドサービスに接続されていることが分かります。そうすれば、攻撃と影響の可能性に基づいて修正に優先順位をつけることができます。

新しいシャドーデータを継続的に監視すれば、攻撃者のアタックサーフェスが拡大するのを防ぐことができます。 攻撃者が隠れた資産を悪用する前に、サイバーエクスポージャーを縮小させるのです。

データセキュリティポスチャー管理は、継続的な発見、分類、サイバーエクスポージャー分析を提供することによってシャドーデータの課題に直接対応します。

その方法をご紹介します。

1.未知データの発見とインベントリ作成

DSPM プラットフォームは、クラウドストレージ、データベース、SaaS プラットフォーム、シャドー インフラをスキャンし、以下のような管理されていない、あるいは忘れられたデータ資産を検出します。

• S3 バケット、ブロブストレージ、未管理データレイク
• 未使用のデータベースインスタンスまたはテスト環境
• 機密記録を含むクラウドネイティブのログ、レポート、エクスポート

2. リスクとコンプライアンスのためのデータの分類

DSPM ツールは、分類モデルを適用して、コンプライアンスフレームワークやソースコードや IP のようなカスタムデータタイプに従って機密情報をタグ付けします。

3. サイバーエクスポージャーと最悪な組み合わせの分析

DSPM は、誰が、あるいは何がデータにアクセスできるのか、インフラの設定ミス（公開バケットや脆弱な IAM ロールなど）がリスクを高めていないかを分析します。

4. 優先順位をつける

リスクは、サイバーエクスポージャーの深刻度、データの機密性、悪用される可能性、ビジネスの文脈を基にスコア付けされるので、ノイズで邪魔になるものだけでなく、リスクを軽減するものに焦点を当てることができます。

DSPM は、リスクスコアとサイバーエクスポージャーグラフを提供して、セキュリティ担当者が影響度の高い問題に集中できるよう支援します。 これには、インターネットに公開されたシャドーデータ、過剰な権限のあるサービスアカウント、機密データを含む暗号化されていないバックアップなどが含まれます。 

5. 修正とポリシーの実施

市場最先端の DSPM ツールは、修正方法を提案し、コード化されたインフラ（IaC）、クラウドインフラおよび権限管理（CIEM）、クラウドセキュリティポスチャ-管理（CSPM）の各プラットフォームと統合します。

• 管理されていないデータの暗号化または削除
• 不必要なアクセス権の剥奪
• クラウド間で一貫した制御の適用

DSPM はまた、シャドーデータの出現を未然に防ぎます。

クラウドプロビジョニングのワークフローやポリシーのコード化ツールと統合することで、ガードレールが自動的に適用されるため、新しいサービスは、初日から安全なデフォルト設定と最小権限アクセスの原則を継承します。

• シャドーデータの発見: 正式なプロセス外で作成したインベントリでも、機密データが常に完全かつ最新に維持される
• クラウド侵害防止: 攻撃者よりも先に危険な組み合わせを特定し、忘れ去られたデータ資産への攻撃経路を遮断する
• 優秀なコンプライアンス対応: マルチクラウド環境におけるデータガバナンスとアクセスコントロール監査にむけた充実した対応

インシデント対応: 対応担当者が機密データの所在とサイバーエクスポージャーを把握できるようにすることで、対応時間を短縮

Tenable Cloud Security には、クラウドベースの機密データを継続的に検出および分類するDSPM 機能が含まれています。 

そのため、以下が可能になります。

• AWS、Azure、GCP、SaaS 環境におけるシャドーデータの自動検出
• アクセスパス、役割、設定ミスをマッピングするサイバーエクスポージャー分析
• CIEM、CSPM、IaC ワークフローとの統合による修正方法の提示

Tenableは、管理されていないデータから生じるリスクを軽減し、最小権限の原則を実行し、潜在的なサイバーエクスポージャーに迅速に対応できるよう支援します。

Tenable がどのように シャドーデータからリスクを発見し、修正できるかをご覧ください。