DSPMはデータセキュリティの終着点にあらず、次のステップは暗号化

データセキュリティポスチャマネジメント(DSPM)ツールは、企業が機密データを保護するためのセキュリティ対策を強化するために、ますます普及しています。企業がDSPMソリューションに注目する理由は主に3つあります。

• データ資産全体の可視性：DSPMツールは、データ資産に対する包括的な可視性を提供します。組織は、機密データがどこに存在し、どのように流通し、誰がアクセスできるかを特定できます。この可視性は、データの散逸を減らし、データ状況を把握するのに役立ちます。
• 法規制コンプライアンスのサポート DSPMソリューションは、関連する規制フレームワークに対して継続的にデータを監視およびマッピングすることで、コンプライアンス要件への準拠を支援します。コンプライアンスギャップに関する洞察を提供し、レポーティングを自動化することで、監査への事前対応が容易になります。
• リスク評価と修復 DSPM ツールはデータ環境を評価し、脆弱性、設定ミス、潜在的なデータセキュリティのリスクを特定します。DSPMは、データセキュリティポスチャの強化に貢献する推奨事項と自動修復機能を提供します。

DSPMソリューションはデータ管理とコンプライアンスに関する貴重な洞察を提供しますが、データ環境の暗号化鍵のセキュリティに関しては不十分です。

以下は、DSPMの限界の理由と、代わりに何をすべきかを説明したものです。

1. 暗号化管理の焦点は限定的a

DSPM ツールは、主にデータの発見、分類、コンプライアンスに重点を置いています。DSPMツールは、機密データの所在を特定し、データフローを可視化しますが、暗号化鍵を管理または保護するようには設計されていません。暗号化鍵の管理には、それを安全に生成、配布、保管、ローテーションするために特別に構築された鍵管理システム(KMS)のような特別なソリューションが必要です。さまざまなクラウド環境に財務データを保存している場合、DSPMツールはそのデータがどこにあるかを特定することはできます。しかし、その財務データを保護する暗号化鍵を保護するために必要なコントロールを提供することはできません。

2. 暗号化鍵の制御ときめ細かさの欠如

DSPMプラットフォームはデータ環境の概要を提供しますが、効果的な暗号化鍵管理に必要なきめ細かさが不足しています。 暗号化鍵を管理するには、鍵の生成、ローテーション、期限切れ、破棄など、鍵のライフサイクル管理をコントロールする必要があります。このような機能がなければ、暗号化の実践はデータセキュリティ戦略の弱点となってしまいます。組織は、コンプライアンスとセキュリティのために、暗号化鍵を定期的にローテーションする必要があります。DSPMツールでは、暗号化が必要なデータを特定することはできても、暗号化鍵のローテーション・ポリシーを自動化または実施することはできません。ソリューションとして、KMSはこの機能を提供し、セキュリティポリシーとコンプライアンス要件に従って鍵がローテーションされることを保証します。

3. ハイブリッド環境への不十分な統合

ほとんどの企業は、オンプレミスのインフラと複数のクラウドプロバイダーを組み合わせた複雑なハイブリッド環境で運用しています。AWS、Azure、およびオンプレミスのデータベースを使用している場合、DSPMツールはデータ・ランドスケープのマッピングに役立つかもしれませんが、これらのプラットフォーム間で暗号化鍵を同期することはできません。暗号化鍵セキュリティソリューションは、これらの環境すべてで動作し、鍵管理に一貫性のある統一されたアプローチを提供する必要があります。専用のKMSは、一元的な制御を提供し、データがどこに存在するかに関係なく、鍵が安全に管理されることを保証します。

4. 暗号化標準とポリシーの徹底が不可能

DSPM ツールは、データの監視とレポート作成には優れていますが、組織全体で暗号化ポリシーを実施するために必要な実施機能が不足しています。暗号化鍵のセキュリティ確保とは、保存中のデータ、転送中のデータ、使用中のデータすべてに暗号化を義務付け、鍵のローテーションを保証し、不正アクセスを防止するために職務の分離を維持するといったポリシーを実施する力を持つことを意味します。

例えば、すべての機密データに対して選択的な暗号化ポリシーを導入したいとします。DSPMツールは、暗号化されていないデータセットを特定することはできますが、暗号化鍵の使用、ローテーション・スケジュール、コンプライアンス基準を実施することはできません。

5. 高度な暗号化技術のサポート不足

最新のデータ環境では、データトークナイゼーション、フォーマット保持暗号化(FPE)、ハードウェアベースのセキュリティモジュール(HSM)などの高度なセキュリティ技術やツールが必要です。DSPMソリューションは、これらの特殊な手法をサポートしていません。DSPMは、保護が必要なデータを検出することはできますが、高度な暗号化セキュリティを保証するトークナイゼーションやHSMとの統合を提供することはできません。

まとめ：DSPMと専用暗号化ソリューションとの組み合わせ

DSPMは暗号化鍵セキュリティの唯一の防御策であってはなりません。

DSPMの次のステップは暗号化を実装することですが、暗号化鍵の管理、適切なアクセス制御の確保、ハイブリッド環境やマルチクラウド環境にわたる暗号化データの可視性の維持など、新たな複雑さが生じます。多様なデータ環境で暗号化鍵(DEK)を保護するために、FortanixはFIPS 140-2レベル2のHSMと統合した包括的な鍵管理システムを提供しています。

このソリューションは、業界規制への準拠を維持しながら、集中管理、自動鍵ローテーション、配布、ライフサイクル管理を提供します。トークナイゼーションやフォーマット保持暗号化(FPE)などの高度な暗号化技術により、Fortanixはハイブリッド環境での保存中、転送中、及び使用中の機密データを確実に保護します。

Fortanix KMSをDSPMプラットフォームと統合することで、暗号化鍵管理に必要な制御ときめ細かさを提供し、データセキュリティ全体をアップグレードすることができます。