This is the Trace Id: a905caf4330998996e08784ae8710561
メイン コンテンツへスキップ Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel すべての製品を表示 AI 搭載のサイバーセキュリティ クラウド セキュリティ データ セキュリティとガバナンス ID とネットワーク アクセス プライバシーとリスク管理 AI 対応のセキュリティ 中小規模企業 統合セキュリティ オペレーション ゼロ トラスト 価格 サービス パートナー Microsoft Security が選ばれる理由 サイバーセキュリティ意識向上 お客様導入事例 セキュリティ 101 製品試用版 業界での評価 Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Microsoft Security のブログ Microsoft Security のイベント Microsoft Tech Community ドキュメント 技術コンテンツ ライブラリ トレーニングと認定 Compliance Program for Microsoft Cloud Microsoft トラスト センター Service Trust Portal Microsoft セキュア フューチャー イニシアティブ ビジネス ソリューション ハブ 営業に問い合わせる 無料試用を開始する Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mixed Reality Microsoft HoloLens Microsoft Viva 量子コンピューティング 教育機関 自動車 金融サービス 行政機関 医療 製造業 小売業 パートナーを探す パートナーになる パートナー ネットワーク Microsoft Marketplace Marketplace Rewards ソフトウェア会社 ブログ Microsoft Advertising デベロッパー センター ドキュメント イベント ライセンス Microsoft Learn Microsoft Research サイトマップの表示
笑顔でノート PC 画面を見ている 2 人の人

データ セキュリティ態勢管理 (DSPM) とは?

データ セキュリティ態勢管理 (DSPM) について、また、それが機密データの保護、リスクの軽減、環境全体でのコンプライアンスの支援にどう役立つかについて説明します。
デジタル エコシステムがより複雑になるにつれて、従来のセキュリティ ツールは、データを効果的に保護するために必要な可視性と制御を十分に提供できないことがよくあります。 ここで、データ セキュリティ態勢管理 (DSPM) の出番です。DSPM は、それがどこにあるとしても、機密データを識別、検出、保護することに重点を置いた、最新のデータ中心のセキュリティ規範です。 

重要なポイント

  • DSPM は、潜在的なデータ セキュリティ リスクを軽減するための体系的なアプローチを採用します。
  • データ アクセスとリスクの露出を継続的に検出し、先回り型の修復によって侵害を防ぎます。
  • また、コンプライアンスへの取り組みとゼロ トラスト フレームワークもサポートしています。
  • 従来のセキュリティ ツールと比較して、DSPM は機密データの検出と保護に重点を置いています。

データ セキュリティ態勢管理 (DSPM) とは?

データ セキュリティ態勢管理 (DSPM) は、クラウド環境とハイブリッド環境全体で機密データを検出、分類、検出、保護してリスクを軽減し、コンプライアンスを維持するデータ中心のセキュリティ アプローチです。

DSPM は、境界部やインフラストラクチャを保護する従来の方法に依存するのではなく、データそのものに焦点を合わせます。機密情報の移動と使用状況を継続的に追跡し、隠れたリスクを明らかにし、組織が潜在的な脅威に迅速に対応できるようにします。

この先回り型のアプローチは、コンプライアンスとガバナンスを強化するだけでなく、セキュリティ チームが最重要のデジタル資産を保護するために必要な明確さも確保します。

データ セキュリティ態勢管理のしくみ

一般的な DSPM ワークフローは、セキュリティ上の脅威を特定、管理、軽減するための構造化されたデータ中心のアプローチに従います:
 
  1. 検出 — クラウド、ハイブリッド、オンプレミスの環境全体で機密データを自動的に検索します。
  2. 分類 — 機密度、種類、コンプライアンスの要件に基づいてデータを分類します。
  3. 評価 — データの露出、アクセス許可、および関連するリスクを評価します。
  4. 検出 — データ アクティビティ、アクセス パターン、ポリシー違反を継続的に追跡します。
  5. 修復 — アクセスの調整、暗号化の適用、セキュリティ チームへの警告などのリスクを軽減する対応を実施します。
DSPM では、サービスとしてのソフトウェア (SaaS)、サービスとしてのプラットフォーム (PaaS)、サービスとしてのインフラストラクチャ (IaaS)、データ レイクなど、さまざまな環境で機密データを検索して分類するためのアプローチを組み合わせて使用します:
 
  • 自動スキャンは、クラウド環境とハイブリッド環境を継続的にクロールし、データ資産 (構造化および非構造化) を検出してインベントリします。手動の入力は必要ありません。
  • API は、DSPM ツールをクラウド プラットフォームとサービス (AWS、Azure、GCP、Snowflake など) に接続して、メタデータ、構成、データ フローにリアルタイムでアクセスできるようにします。
  • 情報保護データ損失防止 (DLP) などの既存のシステムとの統合により、DSPM の意味と可視性が強化され、機密度、使用状況、コンプライアンスのニーズに基づいてデータを分類できるようになります。
このアプローチにより、組織は機密性の高いデータがどこに存在し、どのようにアクセスまたは露出されているかについて、動的で最新の把握を維持できます。

重要な DSPM 機能

DSPM の主な機能は次のとおりです:

データの検出と分類

データ検出と分類は DSPM の基盤機能であり、これにより組織はクラウド、ハイブリッド、オンプレミスの環境全体で機密データを可視化できます。 検出プロセスは、自動スキャンと統合を使用して、SaaS、PaaS、IaaS、データ レイクなどのプラットフォーム内で、構造化および非構造化のデータ資産を検索します。これには、セキュリティ 上のリスクを引き起こす可能性がある "シャドウ データ" や忘れられたクラウド資産の特定も含まれます。

検出されたデータは、その機密度、種類 (個人を特定できる情報、医療記録、財務データなど)、コンプライアンス要件に基づいて DSPM ツールによって分類されます。この分類は、セキュリティ チームがデータの性質を理解し、保護作業に優先順位を付け、適切なポリシーを適用するのに役立ちます。正確な分類は、リスク評価、検出、修復などのダウンストリーム プロセスも支援します。

アクセスとリスクの分析

DSPM では、誰が機密データにアクセスできるか、そのアクセスが適切かどうかを把握することに重点を置きます。DSPM ツールは、クラウド環境とハイブリッド環境全体のアクセス許可を評価して、過剰に露出したデータ、誤った構成、潜在的な脆弱性を特定します。リスク分析は、セキュリティ チームが過剰な権限や承認されていない共有などの危険なアクセス パターンを特定し、それに応じて修復作業に優先順位を付けるのに役立ちます。

DSPM では、機密データの露出レベルを継続的に評価することで、組織が最低特権アクセス ポリシーを適用し、攻撃面を減らせるようにします。また、アクセス制御が規制コンプライアンス要件や組織内のガバナンス標準と一致するようにすることで、コンプライアンスもサポートします。

継続的な検出とアラート

DSPM は、機密データのアクセス、使用状況、および露出の変化を常に監視します。この機能は、セキュリティ チームが異常、ポリシー違反、発生と同時に新たな脅威を検出するのに役立つリアルタイム追跡を提供します。通常、DSPM ツールは、セキュリティ情報イベント管理 (SIEM) やデータ損失防止 (DLP) などの既存のセキュリティ システムと統合され、検出機能を強化し、状況に応じたアラートを提供します。

DSPM は、データがどのようにアクセスされ、共有されるかを継続的に可視化することで、組織が潜在的なリスクに迅速に対応できるようにします。DSPM によって生成されたアラートは、アクセスの取り消し、暗号化の適用、調査のためのインシデントのエスカレートなど、自動または手動の修復アクションをトリガーできます。この先回り型のアプローチにより、侵害を防ぎ、データ保護標準へのコンプライアンスを維持する組織の能力が強化されます。

リスク検出

DSPM ツールは、機密データを標的とする潜在的なセキュリティ リスクを特定し、対応できます。データ アクセス パターン、ユーザー動作、環境構成を継続的に分析して、悪意のあるアクティビティやポリシー違反を示す可能性のある異常を検出します。これには、未承認のアクセス、データ流出の試行、構成の誤りや過剰なアクセス許可による機密資産の露出の特定が含まれます。

高度な DSPM ソリューションは、多くの場合、SIEM、DLP、 脅威検出および応答 (TDR) プラットフォームなどの広範なセキュリティ エコシステムと統合され、脅威インテリジェンスを強化し、コンテキストに基づいたアラートを提供します。これらのアラートは、セキュリティ チームがインシデントをすばやく調査し、アクセスの取り消し、暗号化の適用、フォレンジック分析へのエスカレーションなどの是正措置を講じるのに役立ちます。

インシデント応答

DSPM ツールが異常を特定すると、アラートがトリガーされ、修復を導く実用的な分析情報が提供されます。これらの分析情報には、ポリシーの推奨事項、データ リスク評価、優先度付けされた脅威インジケーターなどが含まれます。

DSPM プラットフォームは、AI 搭載のインシデント応答ツールと統合して、ガイド付きの調査をサポートすることもできます。これにより、セキュリティ チームはデータ、ユーザー、アクティビティ全体で詳細な分析を実施でき、インシデントの範囲と影響を把握しやすくなります。応答プロセスを効率化し、コンテキストに基づいたインテリジェンスを提供することで、組織が脅威を迅速に封じ込め、損害を最小限に抑えるにあたっての DSPM の価値が向上します。

脆弱性の管理

DSPM は、クラウド環境とハイブリッド環境全体で機密データを格納、アクセス、保護する方法の弱点を特定し、対処することに重点を置いています。DSPM ツールは、未承認のユーザーや悪意のあるアクターにデータを露出する可能性のある、構成の誤り、過剰なアクセス許可、古い、または危険なアクセス制御を継続的にスキャンします。これらのツールは、リスク レベルとデータの機密性に基づいて優先順位を付け、脆弱性の管理を行い、セキュリティ チームが最も重要な問題から対応できるように支援します。

また、DSPM は潜在的な脅威の可視性を強化し、修復のための実用的な分析情報を提供します。これには、ポリシー変更の推奨、不要なアクセスの取り消し、危険度の高いデータへの暗号化の適用が含まれます。DSPM は、攻撃面を積極的に減らし、回復力のあるデータ セキュリティ態勢を維持するための組織の能力を強化します。

DSPM の利点とユース ケース

DSPM は、組織がデータ保護の取り組みを強化するのに役立つさまざまな戦略的メリットを提供します。

データ侵害を防止し、リスクの露出を減らす

DSPM は、クラウド環境とハイブリッド環境全体で機密データを継続的に識別して検出します。自動スキャンと統合を使用して、機密データが存在する場所を検出し、リスクとコンプライアンスの要件に基づいて分類し、それがどの程度露出しているかを評価します。

例: 組織で Microsoft 365 と AWS を使用しているとします。DSPM は両方の環境をスキャンし、パブリック アクセスが有効で、暗号化されていない S3 バケットに格納されている顧客のクレジット カード データを含むスプレッドシートを検出しました。この露出を、潜在的なリスクの高いデータ侵害としてフラグを立て、キュリティ チームに警告し、アクセスの制限や暗号化の適用などの即時の修復を推奨します。

コンプライアンスの取り組みの支援

DSPM は、機密データを継続的に検出して分類し、露出を評価し、アクセス制御を適用することで、組織が規制要件を満たすのに役立ちます。これにより、機密データが存在する場所、アクセスできるユーザー、保護方法を可視化することで、一般データ保護規則 (GDPR)、HIPAA、(中央消費者保護機関 (CCPA) などの標準に、データの扱いが確実に準拠するようにします。

例: HIPAA の対象となる医療機関が、DSPM を使用してクラウド インフラストラクチャをスキャンし、誤って構成されたデータベースに患者の医療記録がオープン アクセスで格納されていることを検出しました。DSPM はこの問題にフラグを立て、データを分類し、アクセスの制限や暗号化の適用などの修復手順を推奨します。また、インシデントをログに記録し、コンプライアンス レポートを生成して、この医療機関がペナルティを回避し、HIPAA への準拠を維持するのを支援します。

最低特権アクセスの適用

DSPM は、機密データに誰がアクセスできるか、そのアクセスが必要かどうかを継続的に分析します。過剰に露出している資産、誤って構成されているアクセス許可、および過剰な特権を持つユーザーを特定します。

例: ある金融サービス会社は、DSPM を使用してクラウド環境を確認しています。複数のインターンが顧客の財務記録を含むフォルダーにアクセスできることがわかりました。DSPM は、これに最低特権の原則の違反としてフラグを立て、それらのユーザーのアクセスを取り消すことを推奨します。セキュリティ チームはガイダンスに従い、データ漏洩のリスクを軽減し、組織内のガバナンス ポリシーに合わせることができます。

セキュリティ態勢の強化

DSPM は機密データの場所、アクセス方法、アクセス権を持つユーザーを可視化することで、組織のセキュリティ態勢を強化します。DSPM は、機密データを自動的に見つけ、分類し、リスクを分析することで弱点を見つけます。その後、リアルタイムの検出とガイド付き修復を使用して、攻撃面を減らします。

例: 多くのクラウド プラットフォームを使用している大企業が DSPM を使用しています。重要な人事 (HR) データが、すべての従業員が見ることができる共有フォルダーに格納されていることが判明しました。DSPM はこれを重大なリスクとしてフラグを立て、アクセス制限を推奨し、修復ワークフローを提供します。セキュリティ チームはガイダンスに従い、露出を減らし、組織内のデータ ガバナンス ポリシーに合わせられます。

ゼロ トラストのサポート

DSPM は、ゼロ トラスト アーキテクチャに沿って厳密なアクセス制御を適用し、データ間のやり取り全体で信頼を継続的に検証します。リアルタイムの検出とリスクベースの評価を使用して異常を検出して対応することで、正当なニーズを持つ検証済みユーザーのみが機密データにアクセスできるようにします。

例: グローバル 企業が、ゼロ トラスト モデルを採用し、DSPM を使用してクラウドベースの人事システムへのアクセスを監査しています。DSPM は、複数の請負業者が役割の要件を超えて従業員の報酬データにアクセス権を持っていることを特定しました。最低特権アクセスの違反としてフラグを立て、アクセス許可の取り消しを推奨します。

DSPM と CSPM の違いは何ですか?

DSPM と クラウド セキュリティ態勢管理 (CSPM) ツールは両方とも、クラウド セキュリティの向上を目的としていますが、それぞれ異なる保護の層に焦点を当てています。DSPM がデータ中心であるのに対し、CSPM はインフラストラクチャ中心です。仮想マシン、ストレージ バケット、ID およびアクセス管理 (IAM) ポリシーなどのクラウド サービスやリソース内の構成ミス、コンプライアンス違反、セキュリティ リスクに焦点を当てています。
 
機能DSPMCSPM
フォーカス領域機密データの可視性と保護クラウド インフラストラクチャの構成とコンプライアンス
主な目標データの露出を減らし、コンプライアンスを維持するクラウドの構成ミスを特定して修正する
主な機能データ検出、分類、アクセス分析、脅威検出リソースのスキャン、ポリシーの適用、IAM の誤構成の検出
セキュリティ層データ レイヤーインフラストラクチャ レイヤー
ユース ケースPII、PHI、財務データの保護; 最低特権アクセスの適用クラウド サービスのセキュリティ保護、クラウド ポリシーの適用
コンプライアンス サポートGDPR、HIPAA、CCPACenter for Internet Security (CIS) ベンチマーク、国際標準化機構 (ISO)、National Institute of Standards and Technology (NIST)
統合ターゲットSaaS、PaaS、IaaS、セキュリティ データ レイクAWS、Azure、GCP、Kubernetes
可視性スコープだれがどのデータに、どのようにアクセスするかクラウド リソースがどのように構成され、保護されているか

DSPM ソリューションの選択

DSPM ツールを検討するときは、次の手順を実行して、組織の目標に沿っていることを確認します:
 
  1. クラウド統合の互換性を評価します。DSPM ソリューションが、AWS、Azure、GCP、Snowflake などのプラットフォームを含む既存のクラウド スタックとシームレスに統合されることを確認します。
  2. スケーラビリティとデプロイ モデルを評価します。データ フットプリントに合わせてスケーリングし、エージェントレスやエージェントベースのセットアップなど、環境に合った柔軟なデプロイ オプションを提供するツールを探します。
  3. 分類の精度を確認します。さまざまなソース間で機密データを正確に識別して分類できる強力なデータ分類機能を備えたソリューションを優先します。
  4. リスクの優先順位付けと修復機能を確認します。明確なリスクの優先順位付け、実行可能な修復ガイダンス、および露出を低減する自動化されたワークフローを提供するベンダーを選択します。
  5. コンプライアンス レポート機能を確認します。監査の準備を整えるのに役立つ規制に関するコンプライアンス レポートがツールでサポートされていることを確認します。

デプロイ

DSPM の実装には、組織のデータ、クラウド、コンプライアンスの優先事項に合わせた戦略的で段階的なアプローチが必要です。目的は、機密データの可視性を構築し、リスクへの露出を評価し、脅威を減らしガバナンスをサポートするポリシーを適用することです。

データの検出とマッピングから始める

クラウド、ハイブリッド、オンプレミスの環境全体で機密データがどこにあるかを特定します。この基盤となる手順は、可視性を確立し、分類とリスク分析の土台を整えます。

ポリシーとリスクのしきい値を部門横断的に定義する

セキュリティ、データ、クラウド、コンプライアンスの各チームで共同作業を行い、データ アクセス、分類、修復のための明確なポリシーを確立します。これらのポリシーを規制要件とビジネスの優先事項に合わせます。

段階的にロールアウトする

初期のデプロイでは、リスクの高い環境または機密データの種類を優先します。このような段階的なロールアウトにより、組織全体で DSPM をスケーリングする前に、重点的な修復とポリシーの適用が可能になります。この構造化されたアプローチにより、DSPM が効果的にデプロイされるだけでなく、より広範なセキュリティおよびコンプライアンス ワークフローにも統合されます。

Microsoft Purview の詳細情報

Microsoft Purview は、3 本柱のアプローチを通じて組織を支援するように設計された包括的な DSPM プラットフォームです:
 
  • データ セキュリティ プログラムの有効性を把握するために データ リスクに関するコンテキスト分析情報を検出します。Microsoft Purview には、詳細なレポート、傾向分析、および AI アプリケーションとエージェントに関する焦点を絞ったビューが備わっています。
  • セキュリティ チームが脆弱性を軽減する際に役立つ実用的なレポート、ポリシーの推奨事項、データ リスク評価を通じてデータを保護します。
  • AI 搭載の詳細分析を使用して、データ、ユーザー、アクティビティ全体のリスクを調査します。
Microsoft Purview は、クラウド環境とハイブリッド環境全体のデータ リスクを戦略的に可視化する機能を組織に提供します。詳細なレポートと傾向分析を通じてコンテキストに応じた分析情報を提供し、リーダーが データ セキュリティ プログラムの有効性を評価するのに役立ちます。
リソース

Microsoft で組織のデータを保護する

オフィスのデスクでノート PC の画面を見ている女性と男性。
製品

Microsoft Purview を使用してデータをセキュリティで保護し、管理する

統合されたデータ セキュリティ、ガバナンス、コンプライアンス ソリューションを使用して、リスクを軽減します。
オフィスでデスクトップ画面で作業している男性。
ソリューション

AI イノベーションのためのデータの保護
 

事前構築済みおよび独自に構築した生成 AI アプリにおけるデータを準備、保護、管理します。
オフィスでノート PC で作業している男性。
ガイド

DSPM カスタマー ガイド: データ セキュリティ リスクからの保護

DSPM ソリューションの基礎と利点、デプロイの手順、高度な機能について説明します。

よく寄せられる質問

  • データ セキュリティ態勢管理 (DSPM) は、クラウド環境とハイブリッド環境全体で機密データを検出、分類、継続的に検出することに重点を置いているのに対し、データ損失防止 (DLP) では主にデータ流出を防ぐためのポリシーを適用します。DSPM は、より広範な可視性とリスク関連の分析情報を提供する一方、DLP はより境界ベースで反応的です。
  • CASB は、クラウド アプリへのアクセスの検出と制御、セキュリティ ポリシーの適用、および危険なユーザー行動の検出に重点を置いています。 一方、データ セキュリティ態勢管理 (DSPM) はデータ中心であり、クラウド環境とハイブリッド環境全体で機密データの検出、分類、セキュリティ保護を行い、リスクを軽減し、コンプライアンスを維持します。
  • データ セキュリティ態勢管理 (DSPM) ツールを使用すると、個人を特定できる情報 (PII)、財務記録、知的財産などの構造化データと非構造化データ、および患者の健康情報 (PHI) や支払いカード情報 (PCI) などの規制されたデータの種類など、クラウド環境とハイブリッド環境全体で機密データを検出して分類できます。
  • いいえ。データ セキュリティ態勢管理 (DSPM) は CSPM に取って代わるわけではありません。DSPM は、環境全体で機密データを検出、分類、検出することで機密データをセキュリティで保護することに重点を置いています。一方、CSPM は、クラウド インフラストラクチャの構成ミスとコンプライアンス リスクを特定します。 これらは、それぞれクラウド セキュリティの異なる側面に対応する補完的なツールです。
  • データ セキュリティ態勢管理 (DSPM) ソリューションは、通常、AWS、Azure、GCP、Snowflake などの主要なクラウド プラットフォームをサポートしています。また、SaaS、PaaS、IaaS 環境、およびデータ レイクと統合して、さまざまなクラウド サービス全体で機密データを検出して分類します。
  • はい。データ セキュリティ態勢管理 (DSPM) は、クラウド環境を継続的にスキャンして機密データを検出および分類することで、シャドウ データや忘れられたクラウド資産を検出できます。見落とされた場所や検出されない場所も対象となり、隠れたリスクを軽減し、データの可視性を向上させることができます。
  • 組織は、広範なクラウド プラットフォームのサポート、正確なデータ分類、エージェントレス展開、リスクの優先順位付け、修復ガイダンス、コンプライアンス レポートを提供するデータ セキュリティ態勢管理 (DSPM) ベンダーを探す必要があります。AWS、Azure、GCP、Snowflake などの既存のクラウド スタックとの統合も重要です。

Microsoft Security をフォロー

日本語 (日本) コンシューマーの正常性のプライバシー Microsoft に問い合わせ プライバシー 特定商取引法に基づく表示 Cookie の管理 使用条件 商標 広告について