DSPMとは？ゼロトラスト時代に求められるデータセキュリティの新戦略

DSPMとは？相次ぐ個人情報・機密情報の漏洩をどう防ぐか

クラウドサービスの利用が急速に進む中、「自社の個人情報や機密情報がどこに保存されているのか、正しく保管・管理されているのか」を正確に把握することが難しくなっています。その結果、システム担当や経営層、コンプライアンス部門の中には「正しくデータ管理ができているのか？」と不安を抱える方も多いのではないでしょうか。

実際、個人情報や機密情報の不正持ち出し・持ち込みに関するセキュリティインシデントは後を絶ちません。本記事では、こうした課題を解決する新しいアプローチであるDSPM（Data Security Posture Management：データセキュリティ態勢管理）について解説します。

なぜ今DSPMが注目されているのか？

AI活用が進む中で、データ管理の重要性はますます高まっていますが、従来の境界型セキュリティではオンプレミスやクラウド、SaaSに分散するデータを守りきれません。ゼロトラストの考え方が浸透する中で、「データそのものを守る」という発想が求められています。

しかし現実には、下記のような問題が発生しています。

クラウド利用が先行し、厳格なデータ管理ルールが未整備
データ管理ルールは存在するが、守られておらずリスクのある保管方法になっている
どこに個人情報・機密情報が保存されているのか把握できない
権限設定の不備や誤った外部共有による情報漏洩
インシデントが発生した場合、該当データの保存先を特定する仕組みがない

こうした背景から、データの所在・リスクを可視化し、継続的に管理するDSPMが必要とされています。

DSPMとは？DLPとの違い

DSPM（Data Security Posture Management）は、オンプレミスやクラウドに散在するデータ資産を下記機能で管理するソリューションです。

自動でデータを発見（シャドーデータ含む）
データのカタログ化（一元管理して可視化）
分類・リスク評価
重複するデータの削除（コスト削減）
アクセス権限の分析・最適化
異常なデータアクセスの検出

一方、DLP（Data Loss Prevention）は、データの持ち出しや漏洩をリアルタイムで防ぐ仕組みで、SASEやCASB、SEGなどと連携して動作します。DLPは「安全な領域にデータがあること」を前提に、その領域から出ていくデータをチェックしますが、DSPMは既に存在するデータを可視化しリスクを把握できる違いがあります。
（例：機密情報はファイルサーバで管理するルールであるにも関わらず、既にOneDriveなどに保存されてしまっている場合はDLPでは対応できません。DSPMでは可視化とポスチャー管理ができます。）

違いを一言で言うと、DLPは「流出防止」に重点を置いた製品、DSPMは「データの全体把握と態勢管理」に重点を置いた製品になります。

DSPMでできること

データの自動検出と分類

構造化・非構造化データを問わず、個人情報（PII）や機密情報を自動検出
（例：マイナンバー、クレジットカード番号、AWSキー、GitHubトークン）
OutlookやOneDrive、TeamsなどのMicrosoft365やSalesforce、Slack、BoxなどのSaaSサービスに対して自動スキャン可能
オンプレファイルサーバー、データベースに対してスキャナーを用いた自動スキャンが可能