DSPM（データセキュリティポスチャマネジメント）は、進化するクラウド上のデータセキュリティの課題に対応します。 従来のCSPM（クラウドセキュリティポスチャマネジメント）とは異なり、DSPMはすべてのデータが同じレベルの保護を必要としているわけではないことを認識しています。 データの価値と機密性を理解することに重点を置き、機械学習を用いて適切なセキュリティ対策を決定します。

クラウド上のデータは動的であり、常に移動しており、さまざまな環境に複製されるため、セキュリティポスチャに不整合が生じる可能性があります。 DSPMはデータの機密度を分類し、環境間で移動する際に追跡します。 その主な機能には、データ分類、データ暗号化、アクセス制御、データ損失防止（DLP）、異常検出などがあります。

DSPMは、アラートを送信し、元の環境のセキュリティポスチャに一致させる方法を提案し、データオーナを特定することで、実行可能な洞察を提供します。主にインフラの脆弱性に焦点を当てているCSPMとは異なり、DSPMは、不適切なセキュリティ対策が施された公開された個人識別情報（PII）、開発者シークレット、特権データなどのデータ脆弱性を特定します。

アタックサーフェスを縮小する点においても、CSPMとは異なるアプローチをとります。CSPMがインフラストラクチャにおける設定ミスや脆弱性の修正に重点を置いているのに対し、DSPMは脆弱なデータや重要なデータを保護することでリスクを低減します。インフラストラクチャが侵害された場合でも、データを指定の安全な場所に保管し、攻撃経路を減らすことで、この目標を達成します。

DSPMは、さまざまなデータストアやクラウドネイティブデータベースにまで拡張され、CSPMよりも幅広い可視性を提供します。膨大な量のデータを処理する必要があるにもかかわらず、DSPMはスマートなメタデータクラスタリングを活用することで、クラウドコストを大幅に増やすことなく包括的なセキュリティを提供します。

DSPMは、AWS S3バケットなどの特定のリソースを監視できるようにすることで、すべてのサービスへのフルアクセスを必要とせずにクラウドセキュリティを強化します。このアクセスは特定の対象に絞られているため、データへのアクセスパターンを追跡しながら、リスクを低く抑え、コンプライアンスを維持することができます。セキュリティを維持するために、DSPMに特定のリソースへの限定的な読み取り専用アクセス権を与えることが最善の方法です。

DSPMは、エージェントレススキャンも実行します。つまり、Azure Blob Storageなどのクラウドストレージをチェックできるように、各リソースに個別のソフトウェア「エージェント」をインストールする必要がありません。このアプローチは、展開を簡素化し、セキュリティリスクを低減し、クラウドリソースへの不要な負荷を回避することで、組織が効率的で中断のない業務を維持することを可能にします。

DSPMは、設定ミスを特定し、セキュリティポリシーを強制します。また、一般公開されている機密データや暗号化されていないデータベースなど、データ漏えいの一般的な原因となる問題を指摘します。DSPMレポートをレビューし、推奨事項に従うことで、組織は脆弱性を迅速に修正することができます。分析およびレポート機能により、DSPMは不正アクセスの傾向を浮き彫りにし、リスクが拡大する前にチームがリスクを管理できるよう支援します。こうした洞察に基づく迅速な対応は、セキュリティ基準を維持し、EU一般データ保護規則（GDPR）や医療保険の相互運用性と説明責任に関する法律（HIPAA）などのコンプライアンス要件を満たすために不可欠です。

DSPMおよびCSPMツールは、いくつかの課題に対処しますが、エンタープライズ鍵管理に重点を置いておらず、ハイブリッドかつマルチクラウド環境全体にわたるデータ暗号化リスクの発見、評価、および修正のための包括的なソリューションを提供していません。

DSPMの機能について、以下にその詳細を示します。

• データの発見と分類：DSPMは、機密データがどこにあるか、誰がアクセスできるか、どのように使用されたか、データストアやアプリケーションのセキュリティポスチャを可視化します。
• 自動化には、データベース、クラウドストレージ、電子メール、ファイルシステム、その他のデータリポジトリを監視する高度なスキャンツールの導入が含まれます。アルゴリズムは、社会保障番号、クレジットカードの詳細、個人健康情報（PHI）、その他の個人識別情報（PII）などの機密情報を示すデータタイプやパターンを識別します。
• DSPMソリューションは、データをあらかじめ定義されたカテゴリーと機密レベルに分類します。例えば、強力なアルゴリズムで暗号化され、さらに厳格なアクセス制御が施されたデータは、機密性の高いカテゴリーに分類されます。自動化されたプロセスにより、組織内のデータフローの動的な性質に適応しながら、新しいデータは継続的にリアルタイムで監視および分類されます。
• 異常検知： DSPMは、通常のデータアクティビティのベースラインを確立します。 確立されたベースラインとリアルタイムのデータフローを継続的に比較し、潜在的な脅威や不正なアクティビティを示す逸脱を特定します。 DSPMシステムは、異常が検出された場合にセキュリティチームに警告を発し、調査とリスクの軽減を可能にします。 異常には、異常なアクセスパターン、予期せぬデータ転送、またはアカウント侵害を示唆する可能性のあるユーザ行動の逸脱などが含まれます。
• データリスク評価： DSPMソリューションがアカウント侵害を検出すると、アクセス制御の再設定、パッチの適用、不正アクセスの無効化などの是正措置が実施されます。 DSPMは、実施されたすべてのデータ監査の詳細なログと監査証跡を維持します。 DSPMシステムは、新たな規制要件が発生した場合にコンプライアンスを確保するために、データ管理ポリシーを自動的に更新します。

DSPMソリューションを導入しているにもかかわらず、組織は、Fortanix Key Insight のような暗号化におけるギャップや不十分な点を指摘できるセキュリティ管理評価のためのプラットフォームを依然として必要としています。

クラウドコンピューティング、アジャイル開発手法、AI、機械学習の急速な普及により、データセキュリティの意味が再定義されました。クラウドコンピューティングは拡張性と柔軟性を提供しますが、データ主権、マルチテナントの脆弱性、責任の共有などの課題をもたらします。アジャイル開発はソフトウェアのデリバリーを迅速化しますが、セキュリティテストが不十分になる可能性があります。AIと機械学習は革新的ですが、セキュリティ対策が不十分だとサイバー攻撃に悪用される可能性があります。

従来のデータセキュリティ技術は、静的なオンプレミス環境向けに設計されたものであり、こうした動的なインフラへの適応には苦労しています。この不整合により、侵害のリスクが高まり、規制へのコンプライアンスが複雑化します。

今日、データに関するリスクの1つに、データの可視性の問題があります。クラウドやハイブリッド環境では、データは多くの場合、さまざまなプラットフォーム、アプリケーション、地域に分散しています。この分散により、データが存在するにもかかわらず、適切に監視や保護されていない「盲点」が生じる可能性があります。

DevOpsチームは、テスト目的で多数のデータストアを頻繁に作成します。開発の期限に間に合わせるために迅速に作成されたこれらの二次データストアは、標準のセキュリティプロトコルや監査をバイパスし、重要なデータを脆弱な状態にすることがあります。

DSPMは、多層的なデータセキュリティアプローチの一部であるため、これまで以上に重要です。このアプローチは、予防、検出、修正の各管理を組み合わせ、さまざまなレベルと段階でデータを保護します。

DSPMは、リアルタイムのリスク評価と管理を行うために、組織のデータセキュリティ状況を可視化します。データ資産を監視し、設定ミスを特定し、セキュリティポリシーに準拠します。DSPMは脆弱性が悪用される前に特定するため、各セキュリティレイヤが効果的に、かつ一貫して機能します。

しかし、暗号化セキュリティポスチャを管理するには、DSPMだけでは不十分です。DSPMは、組織がデータの場所を特定するのに役立ちますが、それ以上の基本的な必要性があります。組織は、データの暗号化がどの程度適切に行われているか、また、ポリシーやセキュリティのベストプラクティスとの間に矛盾がないかを知る必要があります。Fortanix Key Insightは、このソリューションを提供します。詳細はこちらをご覧ください。

DSPMは従来のセキュリティを補完するものであり、置き換えるものではありません。DSPMを導入してもセキュリティは万全ではなく、その理由をFortanix Key Insightが説明しています。しかし、ここではDPSMと従来のセキュリティを異なる視点で比較してみましょう。

データ中心のアプローチ：従来のセキュリティは、外部からの脅威からネットワーク、ファイアウォール、エンドポイントなどの境界を強化するものです。これには、侵入検知システム、マルウェア対策ソリューション、ネットワーク監視などが含まれます。DSPMは、システムだけでなくデータ自体に焦点を当てています。機密データがどこに存在していても、それを識別、分類、監視します。DSPMでは、データの暗号化レベルを評価することはできません。

可視性：従来の測定基準は、特定の領域やサイロに焦点を当てる傾向があります。例えば、ネットワークセキュリティだけに焦点を当てると、エンドポイントレベルや特定のアプリケーション内の脆弱性を見落とす可能性があります。DSPMは、クラウド、オンプレミス、ハイブリッドシステムを含むデータ環境全体を包括的に統合したビューを提供します。これには、一次データストレージの場所と二次データまたは断片化されたデータリポジトリが含まれます。

自動化とAI：従来のセキュリティ対策は、手動プロセスやルールベースのシステムに大きく依存しており、進化する脅威への対応が遅れたり、適応性が低くなる可能性があります。DSPMは、AIや機械学習などの先進技術を活用して、データの識別と分類を自動化します。

リスクの特定：従来の対策は、脅威が検出された後にそれに対処する傾向があります。DSPMは、データセキュリティポスチャをリアルタイムで継続的に監視および評価し、悪用される前に脆弱なデータを特定します。DSPMは、適用されている暗号化標準を特定して修正することはありません。この追加のセキュリティについては、Fortanix Key Insightを参照してください。

リスクの低減：データ評価により、どのデータを優先的に保護すべきかを組織が決定するのに役立ちます。組織が自社のデータ環境を明確に理解している場合、即時対応が必要な機密性の高い、高リスクデータを見極めることができます。

運用効率：自動化により手動での介入が減り、時間と人的エラーを最小限に抑えることができます。一元化により管理と調整が簡素化され、セキュリティチームによる監視と管理が容易になります。リアルタイムのレポートにより、意思決定にかかる時間を最小限に抑えることができます。DSPMツールには、チーム（IT、セキュリティ、コンプライアンスなど）の連携を促進する機能が含まれていることがよくあります。

コスト削減： DSPMは、広範囲にわたる手動でのデータ識別や分類監査の必要性を排除し、コストを削減します。DSPMソリューションは、組織の規模に合わせて拡張できるよう設計されており、セキュリティ管理の複雑性を損なうことなく、成長に対応することができます。

しかし、組織がDSPMの次のステップに踏み込むまでは、そのメリットは限定的です。すなわち、データの暗号化がどの程度効果的に行われているかを評価することです。その答えがFortanix Key Insightです。

DSPMは、システムのみに焦点を当てるのではなく、データに重点を置くことで差別化を図っています。 企業のインフラストラクチャ内の場所に関わらず、機密データの識別、分類、モニタリングに優れています。

DSPMの役割はここまでです。 重要なのは、DSPMではデータ暗号化レベルを評価できないため、暗号化の脆弱性を評価する際に潜在的な盲点が残る可能性があるということです。企業は、DSPMでは見落とされる可能性がある、データのセキュリティ確保方法における弱点を明らかにするために、暗号化のセキュリティに関する洞察を必要とすることがよくあります。暗号化標準を評価しないままでは、企業は時代遅れまたは不適切な暗号化方法に知らず知らずのうちに依存し、簡単に侵害される可能性があります。
次に、規制コンプライアンスでは、顧客データを保護するために特定の暗号化プロトコルを義務付けることがよくあります。

そこで、Fortanix Key Insight が価値あるソリューションとして登場します。これは、暗号化ギャップをリアルタイムで検出、評価、是正することに特化しており、データセキュリティポスチャを強化するための包括的なアプローチを企業に提供します。

DSPMがサポートする主なコンプライアンス基準には、以下が含まれます。

• 一般データ保護規則（GDPR）：欧州連合（EU）内の個人の個人データとプライバシーの保護を保証します。
• 医療保険の相互運用性と説明責任に関する法律（HIPAA）：医療分野における患者の機密性の高い医療情報を保護します。
• ペイメントカード業界データセキュリティ基準（PCI DSS）：クレジットカード取引をデータ盗難や詐欺から保護します。
• サーベンスオクスリー法（SOX）：上場企業の財務データおよび報告の正確性と安全性を確保します。連邦情報セキュリティ管理法（FISMA）：連邦政府機関の情報および情報システムの保護を確保します。
• 国立標準技術研究所（NIST）のサイバーセキュリティフレームワーク：サイバーセキュリティリスクの管理と低減のためのガイドラインとベストプラクティスを提供します。
• カリフォルニア消費者プライバシー法（CCPA）：カリフォルニア州在住者のプライバシー権と個人情報を保護します。
• 国際標準化機構（ISO）27001：情報セキュリティマネジメントシステム（ISMS）の確立、実施、維持、および継続的な改善に関する要件を規定しています。
• グラムリーチブライリー法（GLBA）：金融機関に対し、顧客の個人情報の共有と保護の方法を説明することを義務付けています。
• 児童オンラインプライバシー保護法（COPPA）：13歳未満の児童を対象としたサービスについて、個人情報の収集、使用、開示に関する一定の要件を課しています。

• AIと機械学習の統合：AIと機械学習は、大量のデータを分析し、パターンを特定し、脆弱性を示す可能性のある異常を検出するためにますます使用されるようになっています。
• ゼロトラストアーキテクチャ：データへのアクセスを試みるすべてのユーザーとデバイスを検証することを求めるゼロトラスト原則の採用が、より一般的になりつつあります。
• 自動化とオーケストレーション：反復的なデータ識別と分類のタスクを自動化することで、効率性を向上させ、ヒューマンエラーの可能性を低減します。

DSPMソリューションを含め、組織は次のステップについても考慮する必要があります。例えば、以下のようなことです。

• プライバシー強化技術（PETs）： これらの技術（例えば、準同型暗号や差分プライバシー）は、機密情報を公開することなくデータの処理や分析を可能にします。
• DevSecOpsとの統合：これによりソフトウェア開発ライフサイクルのあらゆる段階でセキュリティが実装され、開発プロセスの早期にセキュリティリスクを特定し、軽減することができます。
• ユーザーおよびエンティティの行動分析（UEBA）：UEBAソリューションは、組織内のユーザおよびエンティティの行動を監視および分析し、セキュリティ上の脅威を示す可能性がある異常な活動を検出します。

DSPMとCSPMは、それぞれ異なる目的を持ちながらも、データを保護するという点では相互に補完する関係にあります。 DSPMは、データの識別、分類、モニタリングを行い、データの発見、分類、アクセス制御、コンプライアンスモニタリングなどの機能により、データのセキュリティを確保するように設計されています。
これに対し、CSPMは主にクラウド環境のセキュリティを確保し、クラウド構成の継続的な評価、コンプライアンス監査、リスク管理を行い、脆弱性を防止します。

DSPMとCSPMの主な違いは、その焦点と適用分野にあります。DSPMは、規制対象のデータを管理する組織により適しており、データの安全性を確保し、GDPR、医療保険の相互運用性と説明責任に関する法律(HIPAA)、PCI-DSSなどのデータ保護基準の規制コンプライアンスを満たすことを目的としています。CSPMは、クラウドリソース特有のリスクに対処し、CISベンチマーク、NIST、ISO 27001などの基準へのコンプライアンスを保証するため、クラウドインフラに依存する企業に最適です。これにより、データセキュリティと規制コンプライアンスの観点ではDSPMが不可欠であり、クラウド特有のセキュリティポスチャとガバナンスの観点ではCSPMが重要となります。

横並びで比較すると、DSPMは保護が必要なデータの特定に重点を置いており、CSPMはクラウドインフラとサービスに重点を置いています。脅威の検出に関しては、DSPMは不正アクセスなどのデータ中心のリスクに対処し、CSPMは誤設定などのクラウドインフラの脅威を軽減します。

しかし、DSPMとCSPMは、インフラ全体で暗号化標準がどこで、どのように、どの程度適用されているかを評価するには限界があります。組織は、自社のデータがどの程度暗号化されているかを評価し、ポリシーとベストプラクティスへの準拠を確保する必要があります。リアルタイムのインベントリと定期的な評価は、新たな脅威に対する強力な暗号化手法の維持に役立ちます。Fortanix Key Insightは、データセキュリティの課題を解決し、オンプレミスとクラウド環境全体で鍵管理を簡素化するソリューションを提供します。

以下はよくある課題です。

• データディスカバリーによるハイブリッド環境の横断：パブリッククラウド、プライベートクラウド、従来のオンプレミスデータベースなど、データストレージのセットアップにはさまざまな種類があり、DSPMソリューションにとっては複雑な状況となっています。各プラットフォームは、異なるアーキテクチャ、アクセス制御、セキュリティプロトコルを備えている可能性があり、DSPMツールは多様な検出およびカタログ化メカニズムを採用する必要があります。
• データの分類の複雑さ：データの機密性は状況、業界、規制要件によって異なるため、正確な分類は困難です。誤分類は、パフォーマンスとコストに影響を与える過剰な保護、またはセキュリティリスクを高める過小な保護につながる可能性があります。誤分類は、一貫性のないデータ入力、一元化された分類ポリシーの欠如、時代遅れのシステム、不十分なスタッフのトレーニング、手動プロセスへの依存など、不適切なデータ管理の実践によって発生します。
• 拡張性とパフォーマンス：ハイブリッド環境におけるDSPMツールの拡張は、技術インフラの多様性、独自のセキュリティプロトコル、データ移動の動的な性質により、困難を伴います。これらの要因により、継続的なモニタリングが複雑化し、多様な規制要件を満たすためにカスタマイズされたガバナンスポリシーが必要となります。新しいデータストレージ技術ではDSPMツールのアップグレードが必要となり、効果的な展開には多大なリソース投資が必要となります。

DSPMツールの限界により、組織は実際のデータを保護するための戦略を優先する必要があります。 データが暗号化されているかどうかを評価し、ポリシーとベストプラクティスへの準拠を確保しなければなりません。 DSPMの課題を克服するFortanixKey Insightソリューションについてご紹介します。

DSPMは、データセキュリティの基礎となるステップと見なすべきです。これにより、組織は重要な情報がどこに保存されているかを特定し、規制へのコンプライアンスを確保し、脆弱性を特定することができます。

まずDSPMを導入することで、組織は、データ暗号化、鍵管理、リスク評価、データトークン化などのその後の保護対策のための強固なフレームワークを確立します。DSPMがデータ環境の包括的な概要を提供すれば、暗号化の統合がより容易になり、転送中、保存中、使用中のデータを保護することができます。 機密情報の場所を把握することで、暗号化の実践を改善することができます。 DSPMは潜在的なセキュリティの脆弱性を明らかにすることで、リスク評価を改善します。データの移動と既存の脆弱性を明確に理解することで、機密データをより安全な代替データに置き換えるために、データのトークナイゼーションを効果的に活用することができます。

これらの戦略を総合的に活用することで、データのライフサイクル全体を通じて、データの保護を確実に維持することができます。