【ITニュース解説】「DSPM」の魅力とは？　DLP担当者を“アラート地獄”から救う秘策

現代の企業にとって、データは事業を支える極めて重要な資産である。顧客情報や技術情報、財務データといった機密情報が外部に漏洩すれば、企業の信頼は失墜し、甚大な損害につながる。こうした情報漏洩を防ぐための代表的なセキュリティツールが「DLP」、すなわちData Loss Prevention（データ損失防止）と呼ばれるシステムである。DLPは、社内ネットワークの出口を監視し、「重要」と定められたデータが不正に外部へ送信されたり、USBメモリなどにコピーされたりするのを検知し、ブロックする役割を担う。しかし、このDLPの運用は多くの企業で深刻な課題に直面している。その課題を解決する新たなアプローチとして注目されているのが「DSPM」、Data Security Posture Management（データセキュリティ態勢管理）である。

DLPを効果的に運用する上での最大の難関は、何を「重要データ」と定義し、どのような操作を「禁止」とするかというルール、すなわちポリシーの設定にある。ポリシーが厳しすぎれば、業務上必要なファイルのやり取りまでブロックしてしまい、生産性を著しく低下させる。逆に緩すぎれば、本来防ぐべき情報漏洩を見逃してしまい、DLPを導入した意味がなくなってしまう。この絶妙なバランスを見つけることは非常に困難であり、多くのセキュリティ担当者を悩ませてきた。さらに、設定したポリシーに少しでも抵触する操作が行われるたびに、DLPは警告、つまりアラートを発する。その結果、担当者の元には膨大な量のアラートが絶え間なく届くことになる。この中には、実際には問題のない操作に対する誤検知も数多く含まれており、担当者は無数のアラートの中から本当に危険な兆候を見つけ出さなければならない。この状況は「アラート地獄」とも呼ばれ、担当者の疲弊を招き、本当に重大なインシデントの発見を遅らせる原因となっていた。

このようなDLP運用における課題を根本から解決するために登場したのがDSPMである。DSPMはDLPのようにデータの「出口」を監視するのではなく、データの「在りか」そのものに着目する。つまり、企業内に存在するあらゆるデータが、どこに、どのような状態で保管され、誰がアクセスできるのかを正確に把握し、管理することに特化したツールである。DSPMはまず、社内のサーバーやクラウドストレージ、データベースといった様々な場所に散在するデータを自動的にスキャンし、網羅的に発見する。次に、発見したデータの内容を解析し、それが個人情報、財務情報、知的財産といった機密情報であるかどうかを分類する。さらに、各データに対して誰がアクセス権限を持っているのか、その権限設定は適切か、暗号化はされているかといったセキュリティ上の状態を評価し、リスクを点数化する。これにより、企業は自社が保有するデータの全体像と、どこに危険が潜んでいるのかを一目で把握できる「データの地図」と「リスクの一覧表」を手にすることができるのだ。

DSPMが真価を発揮するのは、DLPと連携した時である。従来、DLPから「ファイルAが外部へ送信されようとしています」というアラートが通知されても、担当者はそのファイルAが一体どれほど重要なデータなのかを即座に判断できなかった。そのため、手作業でファイルの中身を確認したり、作成者に問い合わせたりする必要があり、迅速な対応が困難だった。しかし、DSPMを導入していれば、DLPからのアラートにDSPMが持つデータ情報が付加される。例えば、「最重要に分類された顧客情報データベースのバックアップファイルが、アクセス権限のない一般社員によって外部のクラウドストレージにアップロードされようとしている」といった、具体的で詳細な状況を瞬時に把握できるようになる。この情報があれば、担当者はそのアラートが極めて高い優先度で対応すべき重大インシデントであると即座に判断できる。逆に、重要度の低いデータに関するアラートであれば、優先度を下げて対応することができる。このように、DSPMは膨大なアラートの中から対応すべきものの優先順位を明確にし、担当者を「アラート地獄」の混乱から解放する。結果として、セキュリティ担当者は誤検知への対応に追われることなく、真に危険な脅威に集中できるようになり、DLPという投資の効果を最大限に引き出すことが可能となる。DSPMはDLPを置き換えるものではなく、その能力を補完し、強化することで、企業のデータセキュリティをより現実的で効率的なものへと進化させるための鍵となるのである。