Help Net Securityのインタビューに応じたSchellmanのCEO、アヴァニ・デサイ氏は、組織が自社データについて把握していると思っている内容と、実際にディスカバリースキャンで判明する内容との乖離について語ってくれました。放棄されたクラウドストレージに潜むシャドーデータの実例や、M&Aの後に重複データセットが統合を阻んだ事例のほか、合成データが過剰に売り込まれている一方でコンフィデンシャルコンピューティングが軽視されている現状についても言及しています。
また、大企業よりも小規模企業がコンプライアンス対応で優位に立つ理由や、データマップが陳腐化していることを経営幹部が認めるきっかけとなる「ある一つの質問」についても解説しています。
ディスカバリープロジェクトが予期せぬ方向に進んだ事例を教えてください。企業が把握していたデータとスキャンで実際に発見されたデータとの違い、そして最も痛手となった誤算とはどのようなものでしたか?
今でも強く印象に残っているプロジェクトがあります。ある企業は、多額の投資をしてツールを揃えていたため、自社の環境を十分に把握していると確信していました。ダッシュボード、スキャナー、データカタログなど、データ環境を可視化するために必要なものはすべて揃っていると思われていたのです。
ところが実態の検証を進めると、把握されているデータと実際の運用との間に大きな乖離があることがスキャナーによって明らかになりました。古い開発環境や放棄されたクラウドストレージバケット、使われなくなったSaaSのエクスポートファイルの中に、シャドーデータが潜んでいたのです。場合によっては、数年前に廃止されたはずのシステムに顧客データがそのまま残っているケースもありました。
最大の問題は、情報漏洩のリスクそのものではありませんでした。組織がガバナンスやリスクに関する意思決定を、不完全な情報に基づいて行ってきたという現実に気づいたことです。データマップに誤りがあると経営層が理解した瞬間、それに基づいて行われてきたすべての判断が問い直されることになります。
M&Aにおいてデータインベントリが取引上の問題となった事例を教えてください。デューデリジェンスで見落とされ、クロージング後に浮上した課題とは何でしたか?
データインベントリがクロージング後に深刻な問題となった事例を実際に経験しています。ある案件では、売り手企業が顧客環境の厳格な分離と比較的シンプルなデータアーキテクチャを有していると説明していました。しかしデューデリジェンスの段階では、買い手が通常重視する事項——成長指標、契約内容、主要なセキュリティ認証——に焦点が当てられていました。
クロージング後、買い手は過去のM&Aで引き継いだ複数のシステムにまたがってデータセットが重複して存在していることを発見しました。しかもそのいずれにも、明確なデータ保持ポリシーやオーナーシップが定められていませんでした。問題の本質は、企業自身が環境全体におけるデータスプロールの実態を把握できていなかった点にあります。
クロージング後に痛手となったのは、是正に要するコストと労力でした。顧客への通知、業務の混乱、環境を正常化するための作業が必要となり、統合プロセスは大幅に遅れることになりました。機密データがどこに存在し、誰がオーナーで、どのように利用されているかを正確に把握できなければ、システムの近代化や統合は進められないからです。
トークン化、形式保持暗号化、合成データ、コンフィデンシャルコンピューティング——この中で最も過剰に売り込まれていると思うものと、最も軽視されていると思うものを一つずつ挙げ、その理由を教えてください。
私が最も過剰にマーケティングされていると感じるのは、合成データです。テストやモデル開発などで有効な活用場面があるのは確かですが、「ガバナンスやセキュリティ上の問題を一気に解決できる魔法の手段だ」と位置づけられているケースが多いと感じます。しかし合成データは、脆弱な管理体制、不適切なアクセス管理、未成熟なライフサイクルガバナンスを自動的に解決してくれるわけではありません。根本的なガバナンス上の問題が未解決のままでは、むしろ偽りの安心感を生み出してしまう危険性があります。
一方、軽視されていると感じるのはコンフィデンシャルコンピューティングです。いまだにニッチで技術的すぎると見なされることが多いのですが、組織が機密性の高いワークロードを共有型・AIドリブンの環境へと移行し続けている現状では、「使用中のデータ」を保護する能力——静止データや転送中のデータだけでなく——が非常に重要になってきます。この技術がいかに不可欠であるかは、まだ十分に理解されていないというのが実情です。
意外に思われるかもしれませんが、近代化やコンプライアンス対応において小規模企業が大企業を上回るケースは珍しくありません。レガシーシステムが少なく、組織内の政治的な縦割りが少なく、オーナーシップが明確であるため、俊敏に、そして意図を持って動くことができます。構造がシンプルである分、実行に移しやすいのです。
データの断片化やコンプライアンス対応で小規模企業が大企業を上回った事例はありますか?大企業には再現できない、小規模企業の構造的な強みとは何でしょうか?
セキュリティとコンプライアンスを優先し、積極的に投資するスタートアップが、数十億ドル規模の大企業よりもはるかに優れた環境の可視性を持っているケースを実際に目にしています。最初からアーキテクチャにガバナンスを組み込んでいるからです。「プライバシー・バイ・デザイン」や「セキュリティ・バイ・デザイン」という言葉はよく耳にしますが、これはまさに「ガバナンス・バイ・デザイン」と呼べるものです。
大企業が苦労するのは、M&Aのたびに、地域展開のたびに、事業部門が増えるたびに、複雑性がさらに積み重なっていくからです。問題の本質は、優秀な人材や予算、リソースの不足にあることはほとんどありません。むしろ、統一されたオーナーシップと運用のシンプルさが欠如していることが原因です。企業全体で一貫した可視性、ガバナンス、コンプライアンスを実現したいなら、サイロ型の運営は障害になるのです。
「データマップは最新の状態です」と言われたとき、それが実は古いものであることを認めさせるために、どのような質問を投げかけますか?
「データマップは最新の状態です」と言われたとき、私が必ず聞く質問があります。それは「業務上の変化が生じたとき、誰がその検証に責任を持っているのですか?」というものです。大抵の場合、その瞬間に沈黙が生まれます。
データマップを常に最新の状態に保つことは、継続的な運用規律を要する「生きたドキュメント」の管理です。頻繁なプロダクトリリース、クラウド移行、M&A、AIパイロット、新たなサードパーティの参画など、変化が絶えない環境では、データマップはあっという間に陳腐化します。その継続的な検証プロセスを誰も担っていないとすれば、データマップは完成した瞬間からすでに時代遅れになっているのです。
翻訳元: https://www.helpnetsecurity.com/2026/06/01/avani-desai-schellman-data-discovery-gaps/
