クラウドセキュリティの基本：データセキュリティ態勢管理（DSPM）の自動化

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。

このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第13回目となる今回は、「クラウドセキュリティの基本：データセキュリティ態勢管理（DSPM）の自動化」と題して、クラウド上のデータの安全確保の課題を掘り下げ、これらの課題を克服するために自動化が重要である理由を説明し、自動化されたDSPMのアプローチのあるべき姿を共有する、当社のプロダクトマーケティングストラテジストであるNolan Necoecheaのブログ記事をご紹介いたします。

ある地方銀行のソリューションアーキテクトはデータセキュリティに懸念を抱いていました。会社はAWSに全面的に移行することを決定し、組織は興奮していましたが、彼はIT部門がデータセキュリティをクラウドに拡張する能力を有しているかどうかについて懸念を抱いていました。

彼の懸念は的中してしまいました。絶え間なく変化するクラウド環境においては、あまりにも多くのデータがあまりにも多くの異なる場所に保存されており、手作業で修正するには攻撃ベクトルがあまりにも多過ぎます。

データセキュリティ態勢管理（DSPM）は、クラウドやその他の環境において機密性の高いデータを保護するための標準として登場しましたが、自動化を伴わなければ、DSPMに勝ち目はありません。データの保護を支援するどころか、IT部門が担当する調査と修正が必要な問題のリストは増え続けています―必然的に対応が追いつかなくなっています。

この記事では、クラウド上のデータの安全確保の課題を掘り下げ、これらの課題を克服するために自動化が重要である理由を説明し、自動化されたDSPMのアプローチのあるべき姿を共有します。

たった一つの構成不備が、何百万ものIDを危険にさらすことになります。

クラウド環境のセキュリティに一つでも不備があると、機密性の高いデータが危険に晒されます。

例えば、AWSを使用しているヘルスケア企業では、セキュリティルールを変更した際、PostgreSQLデータベースを一般公開してしまい、誤って数百万件の医療記録を露出してしまいました。このため、データベース内のデータは悪意のある攻撃に対して脆弱になり、結果として、数百万件の医療記録が悪意のある人の手に渡ったり、何百万件もの医療費請求が不正に行われたり、何百万件ものIDが盗まれたりする可能性がありました。

一歩間違えると大惨事を引き起こしてしまうことから、IT部門やセキュリティ部門はクラウドデータの安全確保に注意を払う必要がありますが、これは言うは易く行うは難しです。

クラウドの柔軟性はリスクを伴います。

クラウド環境やAWS、Microsoft Azure、Google CloudのようなIaaSプロバイダーは、開発者に非常に大きな柔軟性を提供しますが、この柔軟性はリスクを伴うものです。

クラウド上のデータは攻撃者にとって格好の標的です。最近の調査によると、構成不備があったり保護されていないデータベースを侵害するのに掛かる時間はわずか8時間で、2023年に発生したデータ侵害の80％以上にクラウドデータが含まれていました。

多くの組織では、複数のクラウドを使用しており、大規模な、場合によってはアウトソーシングされた、開発チームが常にリソースを立ち上げています。データベース、オブジェクトストレージ、そして最近ではAIの訓練パイプラインの急増は、データの無秩序な増加に拍車を掛けています。

この複雑さと絶え間の無い変化により、現在では何百もの潜在的な攻撃経路が存在しています。

組織は、構成不備、過度に寛大なアクセス権、シャドーデータベースなどに注意する必要があります。いずれの攻撃経路もすぐに悪用される可能性があり、生成AIは機密性の高いデータへのアクセスを更に容易にします。

例えば、悪意ある行為者は、生成AIの副操縦士に質問をするだけで、機密性の高いデータにアクセスすることができます。環境や、どんなデータにアクセスできるのかを理解する必要はありません。このため、生成AIの副操縦士たちは簡単に悪用されやすい攻撃ベクトルとなっています。

クラウド上のデータの安全確保には自動化が必要です。

増大するクラウドリスクへの対応に苦慮しているIT部門やセキュリティ部門は、負担を軽減してくれるソリューションを求めるかも知れませんが、ほとんどのツールは最後の1マイルよりも手前で仕事を放り出し、結果として仕事を増やしてしまいます。

発見専用のツールは、機密性の高いデータを見つけることはできますが、露出状況の可視化や管理機能はほとんど提供されません。インフラストラクチャーツールは、バケットやコンテナーの構成に重点を置いていますが、データセキュリティに関する文脈を欠いています。多くのDSPMツールは消極的なアプローチを採用しており、機密性の高いデータをある程度可視化し、露出状況の把握を限定的に提供しますが、そこで止まってしまいます。

消極的なDSPMは、修正機能が提供されないか、修正タスクを委任するための複雑なサードパーティのチケット管理ワークフローが必要です。その結果は、手作業で調査し、修正しなければならない、長い課題一覧です。あるCISOは消極的なDSPMソリューションの体験について、「1つの問題から着手したところ、最終的に50,000件の問題になりました」と述べています。

DSPMの自動化とは？

自動化されたDSPMは、問題の修正し、脅威を自動的に検出するために必要となる、データとその露出状況を把握するための可視性を提供します。自動化されたDSPMには次の3つの要素が必要です：

完全な、リアルタイムの可視性

環境を自動的かつ継続的にスキャンし、機密性の高いデータ、データにアクセスするためのアクセス許可を持っているユーザー、そのユーザーのIDを把握するために、環境を自動的かつ継続的にスキャンします。これにより、データを誰が使用しているのか、どのように使用しているのかを示す監査ログが得られます。

これらのスキャンはリアルタイムで行われる必要があります。クラウド環境は急速に変化し、露出が侵害に変わるまでにそれほど時間は掛かりません。サンプリングや定期的なスキャンに頼ると、データは攻撃対象として晒されたままになります。

修正の自動化

データとその露出状況を把握したら、問題を迅速に修正し、悪用される前に脆弱性を塞がなければなりません。自動化を伴わなければ、これはすぐに負け戦になります。

修正の自動化により脆弱性を回避し、過剰なアクセス権の取り消しや暗号化の強制などにより自動的に問題を修正して安全な環境を構築することができます。

プロアクティブな脅威の検出

クラウド上のデータの安全を確保するにあたっては、キルチェーンの全範囲を監視しながら、ステルス攻撃や内部者攻撃などのアクティブな侵入を特定するために、脅威の検出が不可欠です。

クラウドデータを保護しましょう。

クラウドファーストを推進し、時代を先取りしてより安全な環境を構築しようとしている組織は、自動化されたDSPMに着目する必要があります。

VaronisはGartner Peer InsightsでDSPM市場をリードしており、自動的にリスクを修正し、ポリシーを強制し、リアルタイムで脅威を検出できる唯一のソリューションです。

参考資料

・オリジナルブログ記事（英文）https://www.varonis.com/blog/automated-dspm

・Varonis for AWS: AWS データセキュリティとコンプライアンス https://www.varonis.com/ja/integrations/aws

・Varonis for Google Drive https://www.varonis.com/ja/integrations/google-drive

・TechTarget Health IT Security「Report: Unsecured, Misconfigured Databases Breached in Just 8 Hours」（英文） https://healthitsecurity.com/news/report-unsecured-misconfigured-databases-breached-in-just-8-hours

・Havard Business Review「Why Data Breaches Spiked in 2023」（英文） https://hbr.org/2024/02/why-data-breaches-spiked-in-2023#:~:text=In%202023%2C%20over%2080%%20of%20data%20breaches,due%20to%20cloud%20misconfiguration%20%E2%80%93%20that%20is%2C

・コラム第11回記事「企業向けCopilotに入力して欲しくないプロンプト6選」 https://www.innovations-i.com/column/data-security/6.html

・コラム第6回記事「DSPM購入ガイド：DSPMソリューションの選び方」 https://www.innovations-i.com/column/data-security/11.html

・プレスリリース「Gartner Peer InsightsでCustomers' Choiceに選出」 https://www.innovations-i.com/release/1364818.html

ブログ記事著者の紹介

Nolan Necoechea

Nolan Necoecheaは、Varonisのプロダクトマーケティングストラテジストです。彼は10年以上にわたってデータとAIのイノベーターたちと仕事をしてきました。

（翻訳：跡部 靖夫）