DSPMバイヤーズガイド：データセキュリティポスチャ管理ツール トップ10

データセキュリティポスチャ管理（DSPM）とは

データセキュリティポスチャ管理（DSPM）ツールは、セキュリティチームがデータ環境全体を調査してシャドーデータを発見し、データ損失のリスクを低減するのに役立ちます。

クラウドとオンプレミスの両環境にわたる機密データの追跡は困難を伴います。各環境にはそれぞれ固有の課題があります。クラウドコンピューティングの動的かつ一時的な性質により、クラウドデータは容易に作成・削除・移動されます。クラウドの攻撃対象領域も同様に動的であり、保護をより困難にしています。オンプレミスのデータも、シャドーAIの利用がITの管理外でミッションクリティカルなデータストアを生み出す場合など、特に捉えにくいことがあります。この後者の問題に対処するため、多くのDSPMベンダーは独自のAIルーティンを組み込む（あるいは、こちらで紹介したような独立したAI SPM製品を提供する）ようになっています。

しかし、シャドーデータの源はAIだけではありません。例えば、長い間忘れられ、更新されず、管理されていないクラウドコンテナや社内サーバーに潜む古いデータリポジトリなどが挙げられます。DSPM製品の目的は、このシャドーデータを特定し、より広範なクラウドセキュリティポスチャ管理（CSPM）ツールを補完することです。ただし、クラウドインフラの保護に焦点を当てるのではなく、DSPMツールはデータの役割と、それが様々なクラウドおよびオンプレミスサービスによってどのように利用されるかに専念します。

DSPM市場の進化

• TenableはEureka SecurityとVulcan Cyberを買収し、CNAPP Cloud Securityプラットフォームに統合しました
• Palo Alto NetworksはDigを買収しました
• RubrikはLaminar Securityを買収しました
• ProofpointはNormalyzeを買収しました
• IBMはPolar Securityを買収し、Guardiumに統合しました
• VeeamはSecuritiを買収しました
• VaronisはCyral、SlashNext、AllTrue.aiなど複数の企業を買収し、DSPMおよびその他の製品を強化しました
• ThalesはImpervを買収し、CipherTrust DSPMを開発しました
• GoogleはWizを買収しました

こうした動きは、DSPMが重要な資産となっていることを示しており、確立されたセキュリティベンダーがデータの特定と保護の方法を拡充するためにニッチなベンダーを買収しています。

Gartnerによると、DSPMツールは「データの発見・分類と、自動修復コントロールの最終的な実装との間のギャップを埋める」ものです。

同調査会社は、DSPMの5つのユースケースとして、データ損失防止（DLP）、プライバシーとデータガバナンス、エンタイトルメント管理、クラウドポスチャ管理との統合、AI関連ワークフローの保護を挙げています。DSPMは進化を遂げており、「製品の統合機能は、DSPMを先駆けたベンダーの機能とはほとんど似ていない状態となり、DSPMが実際に何であるかについて顧客の間で不確実性が生じている」とGartnerは述べています。

その結果、この5つのユースケースはすべてDSPM戦略の主要な構成要素ですが、すべてのDSPMツールが全体的に同等に、あるいは包括的に機能するわけではありません。

DLPを例に取ると、かつてはセキュリティツールが脅威を調査し、そのリスクに対処する唯一の手段でした。しかし、クラウド環境が拡大し、AIのトレーニングデータが爆発的に増加するにつれ、企業は従来のDLPの枠を超え、攻撃の証拠、盗まれたデータ、AIを悪用したフィッシング攻撃を発見するより優れた方法を確立する必要があります。

問題の一端は、Gartnerが報告するように「従来のデータセキュリティ製品では、以前は未知・未発見・未確認だったデータリポジトリを発見するための視点が不十分であり、機密データを一貫して発見することができない」という点にあります。そこで、他のセキュリティツールとの統合が不可欠となり、こうしたギャップを埋めるために多くのM&Aが行われてきた理由でもあります。

全体として、DSPM市場は関心の急増を経験しており、過去数年間でツールの普及が急速に進んでいます。2022年の時点では、Gartnerのクライアント間での市場浸透率は1%未満という極めて低い水準でした。最近では、同調査会社は過去2年間のDSPMの成長が他のあらゆるサイバーセキュリティカテゴリを上回っていることを発見しました。

データセキュリティポスチャ管理（DSPM）ツールに求められるもの

DSPMツールはITインフラの非常に多くの側面に関わるため、評価には相当な人的リソースが必要です。これは良いことであり、データがどこに隠れていても探し出すツールを求めているからです。

組織にとって最も重要なデータに優先順位をつけた計画を持つことで、評価に集中することができます。また、各DSPMがどのようにデータマップとダッシュボードを作成するかを文書化することも重要です。さらに、対象となる具体的なクラウドおよびオンプレミスサービスと、ベンダーの近い将来の製品ロードマップに含まれるものを把握する必要があります。

各ベンダーがどこでデータを探すかの説明方法は示唆に富んでいます。すべてのベンダーは、Amazon Web Services、Google Cloud、Microsoft Azureのクラウドデータリポジトリのいくつかへの可視性をサポートしています。しかし、それはデータを扱う各クラウドプロバイダーが提供するすべてのサービスをカバーするとは限りません。

例えば、AWSにはS3ストレージ、リレーショナルデータベースサービス、Redshiftのクラウドデータウェアハウス、AthenaのサーバーレスSQLクエリ、ElasticSearchのマネージドデータサービスなど、データを扱う他のいくつかの場所があります。Veeamは各クラウドプラットフォームでカバーされているサービスを詳細に説明していますが、他のDSPMプロバイダーはそれほど透明ではありません。一方、Varonisは「ユニバーサルデータコネクター」を使用しており、クラウドベースとオンプレミスの両方を含む、より広範な構造化データの宛先を探索できます。サポートしていないクラウドサービスを認めているベンダーもあります。これは非常に動的な状況であり、顧客の要求に応じてベンダーが継続的にカバー範囲を追加していることに注意してください。

しかし、データの追跡はあくまで始まりに過ぎません。発見された後、データはカタログ化・評価され、様々なダッシュボードで集約される必要があります。これは厳格なセキュリティコントロールなしに行うと困難になる可能性があります。そのため、ほとんどのDSPMベンダーは「顧客データは常に顧客の環境内に留まる」と主張しています。これは通常、アプリ、サービス、データベース構造への読み取り専用アクセスを使用して、データそのものではなくメタデータを収集することを意味します。ベンダーはこのアプローチを「エージェントレス」または「APIアクセスの使用」と呼んでいます。このアプローチは、大量のデータを迅速にスキャンして使用状況と潜在的なリスク要因を把握できるという利点があります。

データが発見され、そのメタデータが収集されたら、次のステップは定期的なスキャンを実施して変更内容を確認することです。データがクラウド環境のどこか暗い隅にコピーされていないか？誰かがアクセス権限を変更して、より広範なまたは安全でないアクセスを許可していないか？これらのツールは、様々なクラウドおよびオンプレミスのデータロケーション全体にわたる単一の視点を提供します。ここでのキーワードは「定期的」です。スキャンにはデフォルトの周期（日次や週次など）があり、新しいデータリポジトリが発見された際にも起動できます。

データパイプライン、データレイク、データウェアハウスなど、本番環境でのデータの利用方法も考慮すべき別の側面です。これには、このランドスケープを分類するためのデータマップの作成、および誰がどのデータリソースにアクセスし、どのような特定の状況でエンタープライズ全体で共有されたかを列挙するための監査の促進が含まれます。マップは単なる見やすい図ではなく、シャドーデータが放棄された場所を示すことが多い重要なビジュアライゼーションです。

これらすべての活動に加えて、データガバナンスという分野全体があります。DSPM製品はリスクを割り当て、一貫したセキュリティポリシーを適用してデータコレクション全体を管理し、他のセキュリティツールと連携してこれらのポリシーを施行し、問題を修復します。以下に掲載されているベンダーの多くは、DSPMガバナンスパッケージの一部として継続的な監査の提供を開始しており、これは急速に変化する世界における歓迎すべき発展です。

各DSPMツールには、エージェントおよびエージェントレスコレクター（オンプレミスデータの追跡に有用）、集中管理ダッシュボード、データコレクションを検出・優先順位付けするスキャナー、データリネージと使用状況のマップ、コンプライアンス評価など、いくつかのコンポーネントが含まれています。

ほとんどのベンダーは、サードパーティのセキュリティサービスとの統合（VeeamやWizが提供するものなど）、または独自のセキュリティ製品ポートフォリオの一部として、アイデンティティ管理、クラウド管理、検出と対応、ログ分析ツールを含む他のアドオンモジュールとともにDSPM製品を提供しています（Palo Alto Networks、Varonis、Wiz）。

これらの統合の詳細は検討する価値があります。Varonis、Wiz、Palo Alto Networksなど一部のベンダーは、他のベンダーよりも幅広いサポートを提供しています。範囲、統合レベル、含まれている保護機能、および追加コストで利用可能な機能を把握するには、ある程度の調査が必要です。

製品は、完全なSaaSクラウドベースのソリューション、オンプレミスサーバーやプライベート仮想マシン/コンテナからの運用、またはその組み合わせとして展開できます。

最後に、価格の問題があります。ここで概説するすべての製品は高価です。価格は柔軟であり、多くの要素に依存することを示すように、ほとんどのベンダーはこの情報を共有しようとしませんでした。一部のベンダーはDSPMをテラバイト単位で課金するようになっており、これは利用コストの増加につながる可能性がある興味深い動向です。しかし、多くのベンダーはAmazonとAzureの両マーケットプレイスで年間サブスクリプションを提供しており、最小規模のネットワークでは通常$30,000から始まります。より大きなデータコレクションの分析には、年間少なくとも$100,000以上の支出を計画してください。

データセキュリティポスチャ管理（DSPM）の主要ベンダー

DSPMの市場空間は急速に進化しています。Gartner、GigaOm、IDC、その他のアナリスト会社からの独自調査と研究に基づいて、調査する価値のある10のDSPMツールプロバイダーを特定しました。また、この記事のために問い合わせに応じなかった他のいくつかのベンダー（BigID、Concentric、Flow Security、IBM、OneTrust、Rubrik、Symmetry Systems、Theom）にも連絡を取りましたが、詳細は記載していません。

Cyera DSPMプラットフォーム

CyeraのDSPMプラットフォームは、クラウド、SaaS、AI、オンプレミス環境全体にわたる機密データの発見、分類、保護を組織が行えるよう支援します。このプラットフォームは、DDRコンパニオンのDataWatcherとともに、企業がAIアプリケーションとエージェントがアクセスできるデータを制御し、そのデータの使用方法を管理し、静止中・転送中・使用中のデータ全体にわたるリスクを軽減できるようにします。Cyeraは構造化・半構造化・非構造化データへのエージェントレスな可視性、実用的なリスクおよびアクセスインテリジェンスダッシュボード、500以上の組み込みデータ分類器を提供します。このプラットフォームはNetskope、Splunk、Tines、Wiz、Collibra、DataHub、Secodaを含む多数のセキュリティおよびデータエコシステムツールと統合し、環境内スキャンと地域データレジデンシー管理を必要とする顧客向けのオンプレミス/ハイブリッド展開をサポートします。AWSのCloud Platformの価格は年間$50,000からです。

Microsoft Purview DPSM

Microsoft Purview DPSMは、プレビュー形式のより大きなデータ保護の取り組みの一部であり、同社のBuildカンファレンスで6月にロールアウトされる予定です。個別のデータ保護ツールを統合して、セキュリティポリシーの監視・施行と、セキュリティ目標の作成・監視のための単一の場所を提供します。Purview DPSMはCyera、BigID、OneTrustのDSPMツールと統合し、CopilotおよびAIエージェントを使用してデータコレクションを特定・保護します。現在「クラシック」バージョンとラベルされている古いDSPMツールに取って代わります。

Palo Alto Networks Cortex Cloud DSPM

Palo Alto NetworksのCortex Cloud DSPMは、数百のSIEM、ワークフロー、チケッティングソリューション、XDR、シングルサインオン（SSO）と統合します。600以上の事前構築されたデータ分類器が付属していますが、さらに重要なのは、様々なAIツールと緊密に連携して検出と修復の脅威を自動化することです。Microsoft 365、Snowflake、その他のSaaSサービス、幅広いクラウドプロバイダー、オンプレミスのファイル共有をサポートしています。

Proofpoint DSPM

Proofpoint DSPMは最近、同社のNormalyze買収を統合し、ProofpointのDLPソリューションとの統合を追加しました。このツールはクラウド、SaaS、オンプレミスのデータソースをスキャンします。AIツールを使用して攻撃パスを特定し、高価値データを分類し、設定ミスを特定した際に自動修復を行います。Atlassian Jira、ServiceNow、Microsoft Purview、SlackなどのSOAR、サードパーティのチケッティング、通知・自動化プラットフォーム向けのAPIとすぐに統合できます。300以上のデータ分類器を提供し、AIワークフローを保護します。

Sentra エンドツーエンドデータセキュリティプラットフォーム

Sentraエンドツーエンドデータセキュリティプラットフォームは、継続的なコンプライアンスとDLPポリシーのスーパーセットの両方を提供し、コンテナ、仮想マシン、オンプレミスのデータソースのサポートとともに、ほとんどのクラウドコンピューティングサービスへの深いサポートを提供します。ほぼリアルタイムの検出のための独自のデータ検出と対応（DDR）ツールと、実用的なダッシュボードシリーズを備えています。データ管理（Coralogix、DataDog、DataHub）、メール、ITSM（Jira、PagerDuty、ServiceNow）、CNAPP（Wiz）、コラボレーション（Atlan、Azure Boards、Monday.com、Slack、Teams）、IAM（Active Directory、Okta）、インシデント対応（Seemplicity）、SIEM（Splunk）、オンプレミスファイル共有との多数の統合があります。また、メタデータの充実とコンテキストを提供するAI機能を活用した強力なデータ分類器と、自動化されたリスク修復も備えています。SentraはAWSに4つの価格帯を持ち、年間$50,000からです。

Tenable One クラウドエクスポージャー

Tenable Oneクラウドエクスポージャーは、DSPMと脅威検出を組み合わせ、Atlas、Salesforce、ServiceNow、Snowflake、Jiraベースのチケッティングシステムなどのデータレイクやデータウェアハウスと統合します。このツールはオンプレミス、クラウド、SaaSプラットフォーム全体のデータを継続的にスキャン・分類・修復し、アイデンティティ、ワークロードコンテキスト、潜在的な脅威を相関させます。また、外部からアクセス可能なデータを動的に検証・保護することもできます。Tenableは追加のデータタイプ（シークレットなど）とクラウドプロバイダーをカバーするために保護範囲を拡大しています。

Thales CipherTrust DSPM

Thales CipherTrust DSPMは、クラウドとオンプレミスの両環境に存在するデータの可視性と修復を結び付けます。Imperva買収を基盤に構築されており、構造化・非構造化データの両方を分類し、エンタープライズ全体にわたるデータフロー、暗号化キー、シークレットをマッピングして保護できます。

Varonis DSPM

Varonisは10年以上データセキュリティビジネスに携わっており、オンプレミスとクラウドの両方のデータリポジトリをカバーしています。SIEM（例：Splunk）、SOAR（例：Palo Alto XSOAR）、ファイアウォール、VPN、ウェブプロキシ、DNSサービス、Active Directory、Entra ID、Microsoft Purview情報保護、Oktaとの数百の統合を提供します。この製品には、行動検知モデルと自動修復を使用したマネージドDDRサービスが含まれています。Varonisは、フィッシング対策、コンプライアンステスト、AI保護を向上させるために、複数の企業を積極的に買収してセキュリティプラットフォームを拡充しています。VaronisのAWS価格は年間TBあたり$750です。

Veeam DSPM

SecuritiをAWSで買収して以来、VeeamはVeeam DSPMにさまざまな侵害およびコンプライアンス管理機能を追加し、データバックアップツールを補完するオンプレミス保護も加えました。このツールはConfluent、Google PubSub、Kafka、Kinesisなどのデータストリーミング技術をサポートしています。AIベースのデータソースと使用方法を含む1,000以上の事前定義された検出ルールとともに、複数言語をサポートする350のコンテンツ分類器を搭載しています。クラウドネイティブセキュリティサービス、クラウドアクセスセキュリティブローカー（CASB）、CNAPP、CSPM、クラウドインフラエンタイトルメント管理（CIEM）システム、DLPシステム、侵入検知システム（IDS）、Kubernetesセキュリティポスチャ管理（KSPM）システム、SIEMシステム、コンプライアンスツールの幅広いコレクションと統合します。価格はテラバイト単位で、構造化データは年間TBあたり$450から、非構造化データは年間TBあたり$1,000からで、ボリューム割引も利用可能です。

Wiz for DSPM

WizはGoogleに買収されたにもかかわらず、確固たるブランドと製品のアイデンティティを維持しています。コード、クラウドアセット、脅威への防御のために3つの製品を提供しており、ほとんどのベンダーとは異なる方法でパッケージ化しています。シャドーデータ検出とAI駆動データ分類器をカバーするように拡張された完全なDSPMソリューションには3つすべてが必要です。Wizは2つのライセンスプランを提供していますが、DSPMの完全な機能セットは、より高価なAdvancedプランでのみ利用可能です。Wizは検出と対応のためにRuntime Sensorと呼ばれる軽量エージェントを追加します。通常のクラウドデータソースに加えて、MongoDB、MySQL、PostgreSQLなどの様々なオンプレミスデータベース、Databricksなどのクラウドバージョンもスキャンします。Wizは60以上のセキュリティ製品とも統合しています。WizのAWS価格は100ワークロードの保護に年間$38,000からです。