クラウド時代のデータセキュリティソリューション
DSPM（Data Security Posture Management）とは何か

クラウドシフトが急速に進み、大量のデータがクラウドに保存されるようになる一方で、クラウドのデータセキュリティは十分な対応ができているとは言えません。

2023年、米ガートナー社は、「Data Security Posture Management」（DSPM）という概念を発表しました。これは、直訳すると「データセキュリティ態勢管理」となりますが、わかりやすく言い換えると「クラウド環境におけるデータセキュリティを総合的に把握して、管理するための方法論とそのツール」というものです。

本稿では、まだ新しい概念であるDSPMについて、その背景となる課題と、それに対してDSPMがどのような考え方と機能で、クラウド環境におけるデータセキュリティに対するリスクを低減させるのかを解説していきます。

クラウドにより、ハードウェアを所有することなくITインフラを構築することが可能となり、システム構築と利用のハードルを大きく下げることに寄与しました。クラウドシフトは、変化の激しい今日のビジナス環境において、柔軟性が高く、最適化もし易いメリットもたくさんある一方で、「シャドーIT」ともいわれるように、IT部門やセキュリティ部門のガバナンスが効かないシステムが存在するようになっています。

この、管理者の預かり知らないところにある、いわば「野生」のシステム上には、当然ながら「野生」のデータが大量に存在しています。これらのデータは「シャドーデータ」とも「ダークデータ」ともいわれ、まさにガートナー社が指摘したのはこれら「野生のデータ」のセキュリティリスクについてです。

それぞれが適切なデータ保護やセキュリティ対策がなされていればまだ良いのでしょうが、システムやセキュリティの専門家の管轄外である以上、十分な対応がなされているとは考えにくいことは容易に想像がつくでしょう。

そこで、このような「ダークデータ」までも保護するという発想に基づくのがDSPMなのです。

従来のデータセキュリティ技術は、あくまで適切に管理されたITインフラ、システム上に存在するデータに対してその力を発揮するように作られています。

しかし、クラウドでは、複数のサービスプロバイダ、複数のツール、そして無数の構成が可能となっており、さらにその上でユーザーが自由にデータを移動したり、コピーや共有を行うことができることから、これまでの限定的な環境をターゲットとして作られたオンプレミス環境向けのデータセキュリティソリューションが対応できなくても不思議ではありません。

データ損失防止（DLP）のような従来のセキュリティソリューションや、クラウドプロバイダーが提供するツール類も、機密性が高いマルチクラウドのデータ保護としては不十分です。
これらのツールは動的なクラウドの利用に対応するために常に再設定や再構成が必要となり、既知のリポリトジ内にあるデータしか検出できません。したがって、ダークデータは保護の外になってしまいます。
また、これら多くのツールはデータを環境から削除する際に、データを外部にさらけ出してしまいます。

DSPMはあらゆるデータリポジトリを管理するために、単一の管理コンソールを提供します。Amazon AWS、Microsoft Azure、Google Cloudをはじめとしたマルチクラウド環境に対して、単一の統合されたスクリーン上に、データリスク評価の基礎となる情報を集約して表示します。

あらゆるサービスプロバイダの、無数にあるデータストア、データレイク、ストレージやアプリケーション上に存在する既知、そして未知（ダークデータ）のデータを自律的に発見して、自動で分類し、その後も継続的に変更を検知していきます。また、データのアクセス権も把握し、誰がそのデータにアクセスし、使用できるかということも正確に記録します。これらの情報はセキュリティ態勢を決めるうえで重要な要素となります。

DSPMがダークデータの作成を防ぐことはできませんが、データに対する情報を可視化し、IT／セキュリティ管理者に対して有用な情報を、管理コンソールを通して提供します。管理者はこれらの情報を基にリスクの優先順位を付け、リスクの軽減を迅速に行うことができます。
また、セキュリティデータをガバナンスするための一連の自動化ルールを構築して、DSPMがデータセキュリティ態勢を決定する方法の改善やカスタマイズすることも可能になります。

ダークデータのデータセキュリティリスクとの最初の戦いは、そのデータを発見することです。そもそも、IT・セキュリティ管理者のガバナンスの効いていないところに存在するデータ、とくに広大なクラウド空間において、組織内のユーザーが使っているダークデータを見つけ出すことは非常に大変です。

したがって、DSPMソリューションの導入を検討する際の重要な評価軸において、データの発見、そして分類能力の評価は非常に重要です。対応するクラウドサービスプロバイダはもちろんのこと、データベースやさまざまなストレージシステム（オブジェクトストレージ、ディスクストレージ、マネージドサービスストレージ）、データウェアハウス、データレイクなど、データの存在が予想されるところからデータの発見が可能であるか、そして、さまざまなデータ形式やフォーマット（各種アプリケーションやDBMSのDBファイル、JSONなどのデータファイル）に対応しているかを確認する必要があります。

データは何らかの目的で誰かに使われるために存在しています。したがって、データが適切な場所に適切な形で保存され、必要なときに正確なデータがすぐに使うことができ、かつ、適切なプライバシー保護やガバナンスの要件を満たしていることが要求されます。これらはデータセキュリティの使命である「データを安全に保つこと」とは別の話であり、管理者はこれらのニーズに応える必要があります。

そのためには、組織内の他のチームからデータガバナンスとデータプライバシーの要件を収集し、それに基づいたセキュリティポリシーを実装することが重要となります。これらのポリシーは、後にデータ資産のセキュリティ態勢やリスクレベル、および改善提案を決める際の基準として機能するルールセットとなります。

また、これらのデータセキュリティポリシーでは、異なるタイプの機密データに対して実装すべき管理メカニズムと保護メカニズムも指定します。例えば、クレジットカード番号と対応するPINのような最も機密性の高いデータには、最も厳格なセキュリティを適用すべきでしょう。

これらのポリシーが定義されたあと、DSPMソリューションは、クラウドインフラ内のデータを自動でスキャンして分類し、ポリシーに違反しているあらゆるデータ資産を特定して、それらを修正するためのステップを推奨していきます。

IT部門やセキュリティ部門では、さまざまな管理のためのソリューションや技術を持っています。SOARやITSM、SIEMといったこれらのツールとDSPMソリューションが統合されることで、セキュリティのためのワークフローを合理化する事ができます。

したがって、DSPMの導入にあたっては、下記の分野で強力な機能をもつソリューションを選定すべきでしょう。

• 既存のデータリスクの発見
• リスク防止の為のポリシー
• 運用のための機能

これらの要素はDSPMソリューションの運用と効果を大きく左右します。既存のセキュリティとの適切な統合により、DSPMソリューションを透過的に導入して、全体的なセキュリティ態勢を向上させることができるでしょう。