クラウドデータセキュリティの未来：DSPM活用法

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。

このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第9回目となる今回は、「クラウドデータセキュリティの未来：DSPM活用法」と題して、DSPMソリューションを評価する際に注意すべき点、IaaSに自動化が重要な理由、そしてDSPMの未来に向けて組織としてどのような準備をすれば良いのかをご紹介する、セキュリティアーキテクトマネージャーのMike Thompsonのブログ記事をご紹介いたします。

日々大量のデータを生成している企業は、重要なデータを保存し、組織全体でコラボレーションを実現するために、AWS、Azure、Google Cloudなどの複数のクラウドプラットフォームを利用する傾向が強まっています。しかし、この柔軟性には固有のリスクがあります。

SaaS環境と同様に、IaaS環境における最大の標的は常にデータで、組織は常に機密性の高いデータを完璧に保護する必要があります。一方で、脅威の行為者側は一度だけ正解を選べれば良いのです。

どこにあっても、データは常にリスクに晒されています ― そしてデータこそが損害が発生する場所です。

標準のセキュリティツールはある程度の保護機能を提供してくれますが、機密性の高い情報を安全に保つためには不十分なことが多いようです。ネイティブソリューションはサイロ化しがちで、インフラストラクチャーのある一部分にしか対応していないため、セキュリティ管理がばらばらになりがちです。

インフラストラクチャーツールは有用な保護レイヤーですが、データの文脈が不足しているため、何がリスクに晒されているのか、行為者が誰なのかを把握することは困難です。そして、消極的なデータセキュリティ態勢管理（DSPM）ソリューションが提供するものは、限定的な文脈と、潜在的な問題を発見するには役立つものの機密性の高いデータを積極的に保護することのできない静的なリスク分析です。

この記事では、DSPMソリューションを評価する際に注意すべきギャップ、IaaSの自動化が非常に重要である理由、DSPMの未来に向けて組織としてどのいうな準備をすれば良いのかをご紹介します。

消極的なソリューションの抱える課題

消極的なDSPMツールは機密性の高いデータの在り処を特定することはできますが、問題を修正する方法や、データ侵害を防止するための手段を提供することはできません。その代わりに、こうしたツールでは、誰かが脆弱性を悪用しているかどうかを見分けるための文脈を提供することなく、何千件もの潜在的な脆弱性の一覧を作成します。

IT部門やセキュリティ部門は、この膨大な一覧を把握し、各ファイル、オブジェクト、データベースを個別にレビューして、早急に対応が必要なものは何なのか、どうやったら手動で修正することができるのかを判別する必要があります。クラウドが急速に成長する世界では、これは手作業だけで合理的に達成できる限界をすぐに超えてしまいます。

サンプリングによるスキャン

多くの消極的なDSPMベンダーの分類機能はサンプリングに依存しています。データベースであればこの手法は適切でしょう。数百から数千列をスキャンすれば、その後の百万行をスキャンしなくてもどんなデータかを理解できます。でも、オブジェクトストレージやエラスティックブロックストレージでは状況は全く異なります。機密性の高いデータはどこにでも存在する可能性があるため、これらの環境の全体像を把握することが極めて重要です。

サンプリングを完全スキャンに変えようとすると、ほとんどの消極的なDSPM製品では完了までに数週間から数か月掛かりますが、数か月前のスキャン結果で満足する監査人やCISOはいないでしょう。

加えて、わずかなオブジェクトのセットをスキャンして、その情報を使ってそれ以降の5ペタバイトの内容を類推することは、前述したように、攻撃者が正解する必要があるのは1回だけということを踏まえると、たいへん危険です。

正確な分類

DSPMベンダーを選定する際に考慮したいもう一つの特性は、精度です。誤検出や見逃しを選別しなければならないとなると、負担が大きくなり、イライラが募ります。Varonisは2000年代の初めからデータの分類を続けてきており、パターン一致、正規表現やその他の高度な技術を、その中で、精度を確実にするために、磨いてきました。

新しい技術の中には機械学習だけに頼っているものもありますが、機械学習は不正確な結果を生成するブラックボックスになりかねず、利用者にはその問題を修正する方法がありません。機械学習は新しいデータ種別を扱うのには役立つかもしれませんが、機密性の高いデータに関しては、試行錯誤を積み重ねによる正攻法が必要です。

消極的なDSPMから積極的なDSPMへ

クラウドデータセキュリティの未来は、積極的であるかどうかにかかっています。

積極的なDSPMソリューションはリスクにフラグを立てるだけではありません。そのリスクに対処するための解決策を講じます。機密情報の所在を把握することは重要な第一歩ではありますが、機密性の高いデータの台帳やカタログの作成だけに留まることなく、アクティブな脅威を検出し、アクセス許可を適正化し、脆弱性を自動的に修正することが重要です。

自動化を利用し、積極的に問題を修正することによってのみ、クラウド環境を長期的に、より安全に保つことができます。

重要なワークロードの中断を恐れて、IaaSの変更の自動化を躊躇することはよくあることです。しかしながら、多くのリスクは、ビジネスへの影響を最小限に抑えながらじ動的に修正することができます。皆さんも、セキュリティ上の価値が高く、ビジネスへの影響が無いものは自動化したいと考えるでしょう。

Varonisは単にリスクを特定するだけではなく、積極的に機密性の高いデータを保護します。Varonisのインシデントレスポンス部門は24時間体制でお客様と直接連携し、Varonisのフォレンジック部門はマルウェアのリバースエンジニアリングやフォレンジック分析を行い、Varonisのリサーチ部門は絶えず新しい脅威のリサーチをしています。

この知識によって、Varonisは、「データ侵害は発生しているのか？これはセキュリティインシデントなのか、データは影響を受けているのか？」といった質問に答えるのに役立ちます。加えて、VaronisのMDDRサービス（データの検出とデータへの対応のマネージドサービス）は、ランサムウェアでは30分、それ以外の攻撃では120分という、業界をリードするSLAを提供しています。

DSPMは新しい用語ですが、Varonisは創業以来、データセキュリティ態勢管理を実践してきました。

参考

・オリジナルブログ記事（英文） https://www.varonis.com/blog/the-future-of-cloud-data-security-doing-more-with-dspm

・第5回「DSPMとCSPMソリューションの比較：データセキュリティとクラウドセキュリティを橋渡しするには」 https://www.innovations-i.com/column/data-security/5.html

・DSPMソリューション https://www.varonis.com/ja/use-case/dspm

・SaasとIaaSのためのVaronis https://www.varonis.com/ja/products/saas-iaas-security

・データ分類ソフトウェア https://www.varonis.com/ja/use-case/data-classification

・積極的なインシデントレスポンス https://www.varonis.com/ja/use-case/proactive-incident-response

・Varonis、データセキュリティ態勢管理 (DSPM) のカバー範囲をSnowflakeに拡大 https://www.innovations-i.com/release/1276813.html

・VaronisがMDDRを発表：業界初のマネージドデータ検出・対応のサービス https://www.innovations-i.com/release/1292952.html

・Varonis、Global InfoSec Awardsの「Best DSPM」賞を受賞 https://www.innovations-i.com/release/1349859.html

ブログ記事著者のご紹介

Mike Thompson

Mike Thompsonは2015年にVaronisに入社し、セキュリティアーキテクトマネージャーを務めています。

（翻訳：跡部 靖夫）