第13回
クラウドセキュリティの基本:データセキュリティ態勢管理(DSPM)の自動化
Varonis Systems, Inc. 執筆
私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。
このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。
第13回目となる今回は、「クラウドセキュリティの基本:データセキュリティ態勢管理(DSPM)の自動化」と題して、クラウド上のデータの安全確保の課題を掘り下げ、これらの課題を克服するために自動化が重要である理由を説明し、自動化されたDSPMのアプローチのあるべき姿を共有する、当社のプロダクトマーケティングストラテジストであるNolan Necoecheaのブログ記事をご紹介いたします。
ある地方銀行のソリューションアーキテクトはデータセキュリティに懸念を抱いていました。会社はAWSに全面的に移行することを決定し、組織は興奮していましたが、彼はIT部門がデータセキュリティをクラウドに拡張する能力を有しているかどうかについて懸念を抱いていました。
彼の懸念は的中してしまいました。絶え間なく変化するクラウド環境においては、あまりにも多くのデータがあまりにも多くの異なる場所に保存されており、手作業で修正するには攻撃ベクトルがあまりにも多過ぎます。
データセキュリティ態勢管理(DSPM)は、クラウドやその他の環境において機密性の高いデータを保護するための標準として登場しましたが、自動化を伴わなければ、DSPMに勝ち目はありません。データの保護を支援するどころか、IT部門が担当する調査と修正が必要な問題のリストは増え続けています―必然的に対応が追いつかなくなっています。
この記事では、クラウド上のデータの安全確保の課題を掘り下げ、これらの課題を克服するために自動化が重要である理由を説明し、自動化されたDSPMのアプローチのあるべき姿を共有します。
たった一つの構成不備が、何百万ものIDを危険にさらすことになります。
クラウド環境のセキュリティに一つでも不備があると、機密性の高いデータが危険に晒されます。
例えば、AWSを使用しているヘルスケア企業では、セキュリティルールを変更した際、PostgreSQLデータベースを一般公開してしまい、誤って数百万件の医療記録を露出してしまいました。このため、データベース内のデータは悪意のある攻撃に対して脆弱になり、結果として、数百万件の医療記録が悪意のある人の手に渡ったり、何百万件もの医療費請求が不正に行われたり、何百万件ものIDが盗まれたりする可能性がありました。
一歩間違えると大惨事を引き起こしてしまうことから、IT部門やセキュリティ部門はクラウドデータの安全確保に注意を払う必要がありますが、これは言うは易く行うは難しです。
クラウドの柔軟性はリスクを伴います。
クラウド環境やAWS、Microsoft Azure、Google CloudのようなIaaSプロバイダーは、開発者に非常に大きな柔軟性を提供しますが、この柔軟性はリスクを伴うものです。
クラウド上のデータは攻撃者にとって格好の標的です。最近の調査によると、構成不備があったり保護されていないデータベースを侵害するのに掛かる時間はわずか8時間で、2023年に発生したデータ侵害の80%以上にクラウドデータが含まれていました。
多くの組織では、複数のクラウドを使用しており、大規模な、場合によってはアウトソーシングされた、開発チームが常にリソースを立ち上げています。データベース、オブジェクトストレージ、そして最近ではAIの訓練パイプラインの急増は、データの無秩序な増加に拍車を掛けています。
この複雑さと絶え間の無い変化により、現在では何百もの潜在的な攻撃経路が存在しています。
組織は、構成不備、過度に寛大なアクセス権、シャドーデータベースなどに注意する必要があります。いずれの攻撃経路もすぐに悪用される可能性があり、生成AIは機密性の高いデータへのアクセスを更に容易にします。
例えば、悪意ある行為者は、生成AIの副操縦士に質問をするだけで、機密性の高いデータにアクセスすることができます。環境や、どんなデータにアクセスできるのかを理解する必要はありません。このため、生成AIの副操縦士たちは簡単に悪用されやすい攻撃ベクトルとなっています。
クラウド上のデータの安全確保には自動化が必要です。
増大するクラウドリスクへの対応に苦慮しているIT部門やセキュリティ部門は、負担を軽減してくれるソリューションを求めるかも知れませんが、ほとんどのツールは最後の1マイルよりも手前で仕事を放り出し、結果として仕事を増やしてしまいます。
発見専用のツールは、機密性の高いデータを見つけることはできますが、露出状況の可視化や管理機能はほとんど提供されません。インフラストラクチャーツールは、バケットやコンテナーの構成に重点を置いていますが、データセキュリティに関する文脈を欠いています。多くのDSPMツールは消極的なアプローチを採用しており、機密性の高いデータをある程度可視化し、露出状況の把握を限定的に提供しますが、そこで止まってしまいます。
消極的なDSPMは、修正機能が提供されないか、修正タスクを委任するための複雑なサードパーティのチケット管理ワークフローが必要です。その結果は、手作業で調査し、修正しなければならない、長い課題一覧です。あるCISOは消極的なDSPMソリューションの体験について、「1つの問題から着手したところ、最終的に50,000件の問題になりました」と述べています。
DSPMの自動化とは?
自動化されたDSPMは、問題の修正し、脅威を自動的に検出するために必要となる、データとその露出状況を把握するための可視性を提供します。自動化されたDSPMには次の3つの要素が必要です:
完全な、リアルタイムの可視性
環境を自動的かつ継続的にスキャンし、機密性の高いデータ、データにアクセスするためのアクセス許可を持っているユーザー、そのユーザーのIDを把握するために、環境を自動的かつ継続的にスキャンします。これにより、データを誰が使用しているのか、どのように使用しているのかを示す監査ログが得られます。
これらのスキャンはリアルタイムで行われる必要があります。クラウド環境は急速に変化し、露出が侵害に変わるまでにそれほど時間は掛かりません。サンプリングや定期的なスキャンに頼ると、データは攻撃対象として晒されたままになります。
修正の自動化
データとその露出状況を把握したら、問題を迅速に修正し、悪用される前に脆弱性を塞がなければなりません。自動化を伴わなければ、これはすぐに負け戦になります。
修正の自動化により脆弱性を回避し、過剰なアクセス権の取り消しや暗号化の強制などにより自動的に問題を修正して安全な環境を構築することができます。
プロアクティブな脅威の検出
クラウド上のデータの安全を確保するにあたっては、キルチェーンの全範囲を監視しながら、ステルス攻撃や内部者攻撃などのアクティブな侵入を特定するために、脅威の検出が不可欠です。
クラウドデータを保護しましょう。
クラウドファーストを推進し、時代を先取りしてより安全な環境を構築しようとしている組織は、自動化されたDSPMに着目する必要があります。
VaronisはGartner Peer InsightsでDSPM市場をリードしており、自動的にリスクを修正し、ポリシーを強制し、リアルタイムで脅威を検出できる唯一のソリューションです。
参考資料
・オリジナルブログ記事(英文)https://www.varonis.com/blog/automated-dspm
・Varonis for AWS: AWS データセキュリティとコンプライアンス https://www.varonis.com/ja/integrations/aws
・Varonis for Google Drive https://www.varonis.com/ja/integrations/google-drive
・TechTarget Health IT Security「Report: Unsecured, Misconfigured Databases Breached in Just 8 Hours」(英文) https://healthitsecurity.com/news/report-unsecured-misconfigured-databases-breached-in-just-8-hours
・Havard Business Review「Why Data Breaches Spiked in 2023」(英文) https://hbr.org/2024/02/why-data-breaches-spiked-in-2023#:~:text=In%202023%2C%20over%2080%%20of%20data%20breaches,due%20to%20cloud%20misconfiguration%20%E2%80%93%20that%20is%2C
・コラム第11回記事「企業向けCopilotに入力して欲しくないプロンプト6選」 https://www.innovations-i.com/column/data-security/6.html
・コラム第6回記事「DSPM購入ガイド:DSPMソリューションの選び方」 https://www.innovations-i.com/column/data-security/11.html
・プレスリリース「Gartner Peer InsightsでCustomers' Choiceに選出」 https://www.innovations-i.com/release/1364818.html
ブログ記事著者の紹介
Nolan Necoechea
Nolan Necoecheaは、Varonisのプロダクトマーケティングストラテジストです。彼は10年以上にわたってデータとAIのイノベーターたちと仕事をしてきました。
(翻訳:跡部 靖夫)
プロフィール
Varonis Systems, Inc. (NASDAQ: VRNS) はデータセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。Varonisはデータのアクティビティや境界テレメトリー、ユーザーの振る舞いを分析することにより企業のデータを保護し、機密性の高いデータのロックダウンにより事故を防ぎ、また、自動化によりセキュアな状態を効率的に維持します。
Webサイト:Varonis Systems, Inc.
- 第36回 Varonis for ServiceNowのご紹介
- 第35回 CISOの秘密: 2025年に向けた究極のセキュリティ計画
- 第34回 クラウドセキュリティの問題を発見して修正するAWS Access Graphのご紹介
- 第33回 Varonis for Google Cloudのご紹介
- 第32回 Microsoft 365 CopilotへのNIST CSF 2.0の適用
- 第31回 NISTサイバーセキュリティフレームワーク 2.0を紐解く
- 第30回 データセキュリティ最前線: Varonisのいま(2024年10月)
- 第29回 DSPMを利用してシャドーデータベースを見つける方法
- 第28回 サプライチェーン攻撃への対応準備はできていますか?—サプライチェーンリスク管理が不可欠である理由
- 第27回 クラウドの裂け目:大規模学習モデル (LLM) リスクから身を守るには
- 第26回 クラウドの構成ドリフトを防ぐには
- 第25回 データ漏洩に繋がるAWSの構成不備
- 第24回 データ分類製品購入ガイド: データ分類ソリューションの選び方
- 第23回 クラウド領域のデータセキュリティ:DSPMの主な活用方法
- 第22回 米国証券取引委員会(SEC)の新サイバー開示ガイドラインが意味するもの
- 第21回 対談:悪意のある(非)内部関係者
- 第20回 欧州連合人工知能法(EU AI法):その内容と重要ポイント
- 第19回 UEBAとは?ユーザーとエンティティーの振る舞い分析 (UEBA) の完全ガイド
- 第18回 対談:ガバナンス、リスク管理、コンプライアンス (GRC) の原理
- 第17回 クラウドセキュリティプログラムを一から構築するには
- 第16回 Snowflake内の重要データの安全を確保するには
- 第15回 Salesforceの保護:公開リンク作成を防止
- 第14回 ランサムウェアを防止する方法:基本編
- 第13回 クラウドセキュリティの基本:データセキュリティ態勢管理(DSPM)の自動化
- 第12回 職場でのAI活用:ビジネス活用のための準備と安全確保に関する3つのステップ
- 第11回 DSPM購入ガイド:DSPMソリューションの選び方
- 第10回 ISO 27001 (ISMS) 準拠ガイド: 重要なヒントと洞察
- 第9回 クラウドデータセキュリティの未来:DSPM活用法
- 第8回 組織における責任共有モデルの理解と適用
- 第7回 Varonisを活用してMicrosoft Copilot for Microsoft 365の安全な導入を加速する方法
- 第6回 企業向けCopilotに入力して欲しくないプロンプト6選
- 第5回 DSPMとCSPMソリューションの比較:データセキュリティとクラウドセキュリティを橋渡しするには
- 第4回 生成AIセキュリティ:Microsoft Copilotの安全なロールアウトに向けて
- 第3回 Varonisが内部者の脅威との戦いを支援する3つの方法
- 第2回 VaronisがGigaOmの2023年版レーダーレポート「データセキュリティプラットフォーム」でリーダーに選出
- 第1回 Varonis誕生ものがたり