データセキュリティ態勢管理 (DSPM): 最高情報セキュリティ責任者 (CISO) のためのベストプラクティスガイド

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第45回目となる今回は、「データセキュリティ態勢管理 (DSPM): 最高情報セキュリティ責任者 (CISO) のためのベストプラクティスガイド」と題して、データセキュリティ態勢管理 (DSPM) のベストプラクティスと、適切なツールを選択し、コンプライアンスを維持し、データ侵害を防止する方法を紹介する、Rob Sobers（Varonisの最高マーケティング責任者 (CMO)）のブログ記事をご紹介いたします。

組織全体で作成されるデータが増加するにつれ、企業のデータの安全確保はますます難しくなっています。

侵害を防ぐためにできる限りのことを行っていても、残念ながら、データ侵害は発生したらその原因を究明することが必要となります。

それに加えて、GDPRのような広範な法律だけでなく、地域（CCPA）や業界（HIPAA）に固有の規制など、遵守しなければならい法律や規制があります。

だからこそ、データの安全確保をできる限り簡単にしてくれる適切なツールを備えることが非常に重要なのです。

優れたDSPMはこれらの問題の多くを解決することができます！

DSPMが重要な理由

DSPMは、SaaS、クラウドベース、オンプレミスを含む様々なプラットフォーム環境において、機密性の高いデータを保護し、規制へのコンプライアンスを確実にするために設計されています。

DSPMの主な目的は、どこに保管されているのかに拘わらず、データのセキュリティとコンプライアンスを確保することです。DSPMは、データの発見、分類、アクセス制御、継続的な監視などの包括的な対策を実装しています。

組織がDSPMソリューションの導入を急速に進めている理由は主に3つあります：

侵害の回避

侵害から保護すること以外に、会社をどのように守っているかを経営陣に正確に報告することも、CISOとしてのあなたの責任です。

これは、SOC分析担当者であっても、社内でGRC（ガバナンス、リスク、コンプライアンス）の役割を担当している場合であっても、同じです。

しかし、これは困難な戦いです。ユーザーは絶えず多くのデータを作成しており、クラウドでのコラボレーションや共有によって、データセキュリティ態勢は改善されるどころか悪くなる一方です。

ある従業員が不正行為をしてMicrosoft 365から機密性の高いデータを持ち出そうとしたら、それを把握することはできますか？攻撃者がユーザーやシステムを侵害した場合、どのデータが影響を受けたのかを特定するための監査証跡はありますか？

侵害の回避には、2つの考慮すべき重要な側面があります：

•    データ侵害につながる可能性のある疑わしい振る舞いを迅速に検知するにはどうすれば良いでしょうか？
•    ネットワークが侵害された場合（あるいは悪意のある行為者が内部者である場合）、どうすれば被害を最小限に押さえられますか？

DSPMソリューションは、データアクティビティ監視を使用することにより、侵害を早期に検出し、また、アクセス制御機能を提供することにより悪意のある行為者が引き起こす可能性のある被害の範囲を前もって狭めるのに役立つはずです。

侵入後

時には、遅すぎることもあります。侵害事案は発生した場合、いくつかの重要な質問に答えられるようにしておく必要があります：

•    どうしてこうなったのでしょうか？
•    何が盗まれたのでしょうか？
•    どうすれば再発を防止できるでしょうか？

そして、インシデント対応の最中に最後まで聞きたくないのは、これらの質問に対する「わかりません」という回答です。

世界最高の調査官であったとしても、適切な視界が必要です。最良のDSPMソリューションには、クラウドとオンプレミスの両方のデータにまたがる監査証跡が記録され、何が起こったのか、全体像を完全に把握することができます。

コンプライアンス

DSPMツールを使用するもう一つの重要な理由は、コンプライアンスの確保とその証明です。

GDPRから米国証券取引委員会 (SEC) に至るまで、どの企業にも遵守しなければならいデータに関する法律や規制がありますが、それらの規制の多くは、機密性の高いデータがどこにあるのかを把握すること、アクセスできるユーザーを制限すること、脅威がないか監視をすることに分類できます。聞き覚えがありますか？

経営陣に対して回答できればいいというわけではないのです。監査人は、進捗を確認するとともに、あなたが顧客データの在処をすべて把握していることを証明してくれることを期待しています。

例えば、医療機関はHIPAA監査を頻繁に実施し、機密性の高いデータに適切なユーザーだけがアクセスできることを確実にする必要があります。

これを怠ると、HIPAAの最高1,600万ドルに達する罰金が科せられるなど、壊滅的な結果を招く可能性があります。

どのような規制であれ、DSPMはコンプライアンス遵守のための重要な要素となります。

適切なDSPMソリューションの選択

DSPMが企業に与える影響の大きさを考えれば、DSPMツールを使用することが重要であるだけではなく、適切なDSPMソリューションを選択することも極めて重要であることは明らかです。

DSPMツールはデータの次の3つの側面に対応する必要があります：

•    機密性
•    アクセス許可
•    アクティビティ

これらのどれが欠けても、データの安全確保を大きく進めることは難しく、自動化は不可能になります。

より多くのDSPMツールが登場する中、正しい決断を下すために見るべき重要な領域がいくつかあります。

カバー範囲

最初に考慮すべきことの1つは、組織内で最も機密性の高いデータが集中している場所と、そのデータが最も露出している場所です。多くの組織では、Microsoft 365、AWS、Box、Google ドライブ、GitHubなどがこれに該当します。

もちろん、最もよく使用されているプラットフォームをカバーするツールを選択する必要があります。

しかし、話はそれほど単純ではありません。

多くのDSPMツールは、インフラストラクチャーストレージレベル（AWS、Azure、Google Cloud Platform）に留まっていますが、データはそこで留まっているわけではありません。機密性の高いデータは、SaaSとIaaSのストレージプラットフォーム上に散在しており、プラットフォームでのコラボレーションが進めば進むほど、機密性の高いデータがリスクに晒される可能姓は高くなります。

私たちVaronisの哲学は、お客様が最も多くの機密性の高いデータを補完しているプラットフォーム（Googleドライブ、Microsoft 365、Salesforceなど）に焦点を当て、それらの特定のツールの深くカバーすることです。

正確さ

アラートを扱う場合、正確さも大きな要素となります。  

当たり前のことのように聞こえるかも知れませんが、DSPMツールが正確でない所見を提示すると、メリットよりもデメリットの方が大きくなる可能性があります。

例えば、AWSを監査したDSPMツールがあるバケットに患者の医療記録があるとレポートし、その後の調査で、そのような記録が存在しないことが判明した場合、信頼を失うことになります。この信頼が持てなければ、その結果を抜き打ち検査しなければならなくなり、意味がありません。

アラートが誤ってトリガーされると、すぐにアラート疲れが発生します。狼少年のように。

DSPMベンダーの中には、基本的なポリシーベースのアラートしか提供しないベンダーもありますが、この種類のアラートは誤検知が多いものです。代わりに、正常な振る舞いを学習してベースラインを設定し、異常な振る舞いに基づいてアラートをトリガーすることができるDSPMベンダーを探してください。

信号対雑音（S/N）比を最適化できるようにアラートのチューニング支援を提供するベンダーであれば、間違いなく加点対象です。

スケール

1テラバイトのストレージをスキャンする場合と、Bank of Americaの6ペタバイトのデータをスキャンする場合とでは、大きな違いがあります。

これがスケールが非常に重要な要素である理由であり、スケーラブルではない設計のDSPMツールでは、多くの問題が発生する可能性があります。

膨大な量のデータに対して分類やアクセス許可のスキャンを実行する場合には、すべてを確実にカバーする必要があります。しかし、何らかの理由でスキャンが完了できない場合には、結局、状況を半分しか把握できず、半分しか保護することができません。

修正

そもそも、こうした問題を見つける目的は、それを解決することにあるのですから、実際にその役に立つDSPMツールが必要です。

組み込みの修正機能があるということは、問題はボタンを押すだけ、場合によっては何もしなくても、問題を解決することができます。残念ながら、多くのDSPMツールでは、問題を自分自身で手作業で解決するための修正ワークフローのみだけが提供され、代わりに修正してくれることはありません。

DSPMソリューションには、単に所見を提示するだけではなく、発見した問題を修正する能力も期待したいものです。

Varonisのデータから始めるアプローチ

私たちVaronisの哲学は、問題の一覧を量産して皆さんを"問題"疲れさせることではありません—むしろ、Varonisで対応し、さらには自動的に修正も可能な、有意で詳細なアラートを提示することです。

あなたがログインしていなくても、Varonisがデータセキュリティの問題を見つけて解決します。

リアルタイムの可視性

いま見ている瞬間のデータの状態を把握することが重要です。

これにより、常に最新の状態を把握できるだけでなく、リスクに積極的に対処して修正することができます。

Varonisはこれをいくつかの機能で実装しています。

継続的なデータ発見

Varonisは、オンプレミス環境とクラウド上に保存されているお客様のデータを継続的にスキャンし、お客様が気付いていなかったインスタンスも見つけ出します。

スキャン結果はリアルタイムのダッシュボードに表示され、発見に関する所見、機密性の高いデータの集中度、そのデータが露出している場所を確認することができます。

これにより、すべての重要な情報が一目瞭然となり、所見を理解してリスク軽減の優先順位付けが容易になります。

データ分類の自動化

コンプライアンスを維持する上で重要なのは、機密性の高いデータがどこに保存されているかを正確に把握できることです。

Varonisの自動データ分類機能には、ルールのライブラリーと700種類を超えるパターンが組み込まれており、データを正確に分類し、誤検出を大幅に減らすことができます。

これには、GDPR、SOX、PCI、HIPAAといった一般的な規制や基準がすべて含まれています。

オンデマンドのコンプライアンスレポートは、関連する規制の遵守状況を把握するのに役立ち、監査人やコンプライアンス部門に直接提供できるものです。

ワンクリック分析

Varonisのリアルタイムファイル分析を使用すると、ワンクリックで、特定のファイルにどのような機密性の高いデータが含まれているかを確認し、結果を確認できます。

見やすさのため、機密性の高いデータはハイライト表示され、機密性の高いデータのさまざまなカテゴリー（PII、GDPRなど）に応じて色分けされています。

秘密度ラベル

自分で手作業でデータにラベル付けをする代わりに、ポリシーを作成すれば、Varonisがラベル付けを行います。

ポリシーが変更されると、ポリシーに一致しなくなったファイルは自動的にラベルが付け直されます。

Varonisはまた、既存のラベルと分類結果を比較するため、間違って分類されたデータを特定することができます。

アクセス許可管理の簡素化

データを適切に把握することに加えて、誰がどのデータにアクセスできるかを把握することも重要です。

Varonisはデータストア全体のアクセス許可をマッピングして簡素化したアクセス許可モデルに正規化し、各プラットフォームのアクセス許可の仕組みの専門家でなくてもデータアクセスをすぐに理解できるようにします。  

分類結果とアクセス許可を組み合わせることで、古いアクセス許可や、組織全体、外部、一般公開にデータが露出している場所を特定します。

「爆発範囲」を縮小

爆発範囲の縮小について話すときには、焦点はユーザーをアクセス許可、アクティビティと関連付けて、機密性の高いデータが無防備に保存され、リスクに晒されている場所を特定することに当てられます。そうすることで、機密性の高いデータにアクセスできるユーザーを限定するための情報に基づく意思決定を積極的に行うことができるからです。

Varonisは、ビジネス全体のデータアクセスとアクティビティを分析し、業務に影響を与えることなく、過剰なアクセス許可、外部アクセス許可、一般公開アクセス許可、古いアクセス許可を自動的に削除することができます。

Varonisが提供する既製のポリシーを使用することも、そのポリシーを組織に合わせてカスタマイズすることもできます。

機密性、場所、リンクの種類、古さは、ルールを作成するために使用できる要素のほんの一部に過ぎません。ルールが完成したら、Varonisはその新しいルールを自動的かつ継続的に強制し、データを可能な限り安全に保ちます。

最小特権の自動化

前述したように、DSPMは問題の解決に役立たなければ、特に何の役にも立ちません。そこで、Varonisの自律的修正の出番となります。

最小特権の自動化は、企業全体のデータアクセスを自動的に分析し、誰がどのデータにアクセス権を必要としているかをインテリジェントに決定します。

これにより、人間の関与なく、業務に与えることなく、継続的に爆発範囲を縮小することができます。

脅威の検出と脅威への対応

Varonisの振る舞いベースの脅威モデルは大規模なデータセットを使用して改良されているため、正確で、より多くのデータを分析するにつれて時間の経過とともに改善されていきます。

標準的なユーザーの振る舞いをベースラインとして設定することにより、異常な振る舞いを検出し、自動応答を展開して脅威が蔓延する前に阻止することができます。

イベントの監査証跡

すべてを把握しようとすると、圧倒されてしまうことがあります。Varonisは、イベントを集約、正規化、強化することによって、この作業を容易にします。

Varonisの検索可能なデータアクティビティログにより、お客様のチームやVaronisのチームによるインシデントの調査が容易になります。

ファイル、フォルダー、電子メール、オブジェクトを検索して、作成、更新、アップロード、削除されたすべてのものを確認できます。

イベントは、デバイス名、地理位置情報などの有用な文脈で強化されているため、さらに簡単になり、より適切な意思決定を行うことができます。

インシデントレスポンスチーム

Varonisのチームはお客様のアラートを積極的に監視し、何か問題が発生した場合はすぐにお客様を支援し、お客様と協力して直ちに調査と対応をすることができます。Varonisがデータを監視するので、お客様は監視する必要はありません。

態勢管理

Varonisは、機密性の高いデータをリスクに晒す可能姓のある構成不備を積極的に表面化し、警告します。Varonisの態勢管理ダッシュボードでは、各構成不備がどのようなリスクに繋がるのかについての簡潔な説明が提供されるため、Varonis UIから直接セキュリティのギャップを修正して、データセキュリティ態勢を強化することができます。

サードパーティアプリケーションのリスク管理

Varonisを使用すると、セキュリティ部門は企業のSaaSプラットフォームに接続されているすべてのサードパーティアプリケーションを簡単に発見し、それらがもたらすリスクを明確に把握することができます。  

Varonisは、単一のコンソールから未承認であったり使用されていないアプリケーション接続を直接削除できるようにすることにより、各アプリケーションの爆発範囲の理解、アプリケーションのアクティビティの監視、攻撃表面の削減に役立ちます。

クラウドを跨いでIDを紐付け、離職対応のギャップを解消

個人アカウントを含む、全てのサービスのユーザーアカウントを単一の ID に自動でリンクします。これらの知見を活用して、企業のクラウド環境へのアクセス権が不要になった古いユーザーや元契約社員の離職対応を安全に行うことができます。

機密性の高いデータを危険に晒す可能性のある、リスクの高い、過剰な特権を持つシャドーID（人間および人間以外の両方）を見つけ出し、環境から排除します。

DSPMダッシュボード

分類結果、アクセス許可、ユーザーアクセスアクティビティを組み合わせ、すぐに使えるダッシュボードとカスタマイズ可能なダッシュボードを通じて、データの包括的かつ一元的に可視化します。

VaronisのDSPMダッシュボードは、組織のデータリスクのリアルタイムビューとして機能します。これらのダッシュボードを使用して、セキュリティ態勢を継続的に可視化して評価し、長期的な進捗を追跡します。  

データへの不要な経路がどこにあるのかを確認し、長期的なリスクの変化を監視することにより、環境の進化に合わせて機密性の高いデータへの脅威を軽減することができます。

おわりに

データセキュリティを優先する組織にとって、DSPMは注目すべき概念です。

適切なDSPMソリューションを選択すれば、インシデント調査の迅速に行い、ますます厳しくなる規制に確実に対応することができます。カバー範囲、正確性、スケールに焦点を当てることにより、どのDSPMツールが自社に適しているかを判断することができます。

私たちは、VaronisのDSPM機能は市場で最高のものであり、次の4つの分野で真の価値を提供できると確信しています：

•    リアルタイムの可視性
•    コンプライアンスを簡素化
•    「爆発範囲」の縮小
•    脅威の検出と脅威への対応

参考資料

・オリジナルブログ記事
https://www.varonis.com/blog/dspm-for-cisos

・The 10 Biggest Penalties for HIPAA Violations (providertech)
https://www.providertech.com/the-ten-biggest-penalties-for-hipaa-violations/

・当コラム第5回「DSPMとCSPMソリューションの比較：データセキュリティとクラウドセキュリティを橋渡しするには」
DSPMとCSPMソリューションの比較：データセキュリティとクラウドセキュリティを橋渡しするには

ブログ著者について

Rob Sobers

Rob Sobersは、Webセキュリティを専門とするソフトウェアエンジニアで、「Learn Ruby the Hard Way」という本の共著者でもあります。

（翻訳：跡部  靖夫）