漏えいを防ぐ「DLP」、見える化する「DSPM」――その違いと使い分け方法：データセキュリティの2つの手法

データ損失防止（DLP）およびデータセキュリティ態勢管理（DSPM）は、いずれもオンプレミスおよびクラウドにおけるデータ保護をするための手法だ。両者の違いはどこにあるのか。

[Ravi Das，TechTarget]

　データはあらゆる企業活動を支える中核の資産となっており、それを保護するのは最高情報セキュリティ責任者（CISO）の重要課題の一つだ。主要なデータセキュリティ技術には、機密情報の漏えいを防ぐ「データ損失防止」（DLP：Data Loss Prevention）」と、組織のデータセキュリティ状況を可視化・管理する「データセキュリティ態勢管理」（DSPM：Data Security Posture Management）」の2つがある。

　DLPとDSPMは、いずれもデータ保護を目的としているが、そのアプローチは異なる。DLPは、機密情報が組織のシステム外に漏えいするのを防ぐことに主眼を置いており、メール送信やファイル共有などのデータの移動を監視・制御する。一方のDSPMは、クラウド環境を含む組織全体のデータ資産を可視化し、どこにどのような機密データが存在し、どのように保護されているかを継続的に把握・評価する仕組みだ。

　本稿はDLPとDSPMの主な違いを解説するとともに、自社にとってどちらの導入がより適しているかを判断するためのポイントを紹介する。

DLPとは何か？

　DLPは、機密情報の喪失、不正使用、流出、さらには不正アクセスを防ぐためのセキュリティ戦略だ。偶発的なミスによる漏えいだけでなく、意図的あるいは悪意を持った内部・外部からの行為にも対応する。DLPの導入によって、データ侵害や内部不正、設定ミス、セキュリティ対策が不十分なアプリケーション経由での情報漏えい、さらにはサイバー攻撃といった多様なリスクから、組織をより効果的に保護できるようになる。

　まとめると、DLP以下のような役割を担う。

• オンプレミスおよびクラウドに存在するデータの検出と分類
• ネットワークを通じて出入りするデータの監視
• 不正な共有のブロックや不正アクセスの防止など、機密データの保護
• インシデント発生時にセキュリティチームへリアルタイムで通知

　DLPの戦略は、マルウェア対策やファイアウォール、侵入防止システム、エンドポイントセキュリティといった既存のセキュリティ技術に加え、データの分類、DLPポリシーの策定、従業員向けのセキュリティ意識向上トレーニングなどによって構成される。DLPは、自動化技術や、機械学習などのAI（人工知能）技術を活用して、異常な挙動や不審な行動を監視・検知することが可能だ。

　導入方法としては、既存のシステムに組み込む形もあれば、専用のDLPツールを利用する形もある。一般的なDLP製品は、エンドポイント型、ネットワーク型、クラウド型の3つに大別される。

　DLPプラットフォームには、以下のような主要な機能がある。

• 企業全体のデータ可視性を向上させ、データがどこに存在し、誰または何がアクセスしているかを把握する
• 自動化機能や暗号化、セキュリティポリシーを活用して情報漏えいを防止する
• 従業員、契約業者、サードパーティー事業者による過剰なデータアクセスや共有を防ぐ
• 社内のベストプラクティスや運用基準に基づいて、データのアーカイブ、保存、削除といったポリシーを設定する
• PCI DSS（Payment Card Industry Data Security Standard、クレジットカード情報の保護に関する国際的なセキュリティ基準）、SOX法（Sarbanes-Oxley Act、上場企業に対して財務報告の信頼性と内部統制を義務付ける米国の法律）、HIPAA（Health Insurance Portability and Accountability Act、米国の医療情報保護法）などの規制要件に準拠し、法令順守を徹底しながらデータを安全に管理する
• データ侵害が発生した際に、組織が迅速に復旧できるよう支援する
• 脅威を検知した際には、リアルタイムでセキュリティチームに通知し、即座にインシデント対応計画を実行できる体制を整える

DSPMとは何か？

　DSPMは、オンプレミスおよびクラウド上に存在する構造化データと非構造化データの検出・分類・保護を行う、総合的かつ能動的なデータセキュリティ手法だ。DSPMは、データに対して適切なセキュリティポスチャー（組織のセキュリティ方針や制御の適用状態）が維持されていることを保証し、不正アクセスや情報流出、不正利用のリスクを低減する。さらに、ゼロトラストセキュリティモデルの強化や、クラウド移行プロジェクトのリスク管理と簡素化にも貢献する。

　DSPMの主なプロセスは以下の通り。

• 検出
  • DSPMツールは、組織内外のデータフローを詳細に分析し、データベースやファイルストレージ（オンプレミス、クラウド、社内、サードパーティー管理のものを含む）、業務アプリケーション、関連サーバ、端末などを特定する。調査の結果として、データの流れと所在を示す詳細なマップを作成する。
• 分類
  • 検出されたデータは、業務上の重要度に基づいて自動的に分類される。分類ラベルには、個人識別情報（PII：Personally Identifiable Information）、財務データ、知的財産などが含まれる。
• リスク評価
  • DSPMツールは、データの脆弱性やアクセス状況に応じてリスクを評価し、セキュリティ上の優先度を可視化する。これにより、セキュリティチームは最もリスクが高い領域への対策を優先的に実施できる。
• 監査
  • 既存のセキュリティポリシーやコントロールの有効性を監査し、最適化や更新が必要な点があればセキュリティチームに通知する。これにより、組織はGDPR（一般データ保護規則）、CCPA（カリフォルニア州消費者プライバシー法）、HIPAAなど、主要なプライバシー関連法の順守を支援できる。
• インシデント対応
  • セキュリティインシデントが発生した際には、DSPMツールがリアルタイムでアラートを発信し、場合によっては自動修復や緩和策の提案・実行によって、対応を支援する。

併せて読みたいお薦め記事

データ保護を取り巻くセキュリティ動向

• 相次ぐM＆Aで「DSPM」「DLP」の統合加速か　データセキュリティの主要動向
• 「非人間ID」も標的に　危ないのはもうユーザーIDだけじゃない

DLPとDSPM：どちらを選ぶべきか、それとも両方か？

　DLPとDSPMが果たす役割の違いを見てみよう。

機能	DLP	DSPM
サービス対象となる環境	エンドポイント、ネットワーク、クラウド	クラウド、オンプレミス
規制順守	コンプライアンスポリシーの策定と順守	コンプライアンスポリシーの策定と順守
主な用途	データの分類、不正なデータ共有・流出の防止	データがどこに存在し、誰がアクセスし、どのように使用されているかを特定
提供される可視性	エンドポイント、ネットワーク、クラウド、メール上のデータ利用を監視	データとそのセキュリティ態勢の全体像を提供
長所	自動化されたセキュリティポリシーに基づいて不正なデータ利用を防止し、コンプライアンス支援にも有効	全データの所在を正確に把握し、コンプライアンスや脅威監視の簡素化を支援
短所	他のセキュリティツールとの連携がうまくいかないことがあり、誤検知によってセキュリティチームの時間を浪費する可能性がある	正確なセキュリティ態勢を提供するには他のツールとの統合が必要であり、導入が複雑になる場合がある
インシデント対応	不正なデータ利用や情報漏えいをブロックする	セキュリティインシデントをセキュリティチームに通知し、自動的に修復を行う

　DLPとDSPMのどちらを導入すべきかは、企業の具体的な要件や業務環境によって異なる。金融や医療など、規制が厳しい業界では、コンプライアンス徹底の観点からDLPの導入が不可欠とされる。一方で、クラウド優先でシステム環境を構築し、データ共有に対する制約が比較的少ない企業にとっては、DSPMの方が適している場合もある。

　ただし、これはDLPとDSPMのいずれか一方を選ぶ「二者択一」の問題ではない。両者はそれぞれ異なる役割を担う、補完的なデータセキュリティ技術だ。DLPは、不正なデータ送信の防止といったきめ細かな制御に特化しており、主にデータの「出口対策」を強化する。一方、DSPMは、組織内に存在するデータとその使用状況を可視化することに重点を置いた、より包括的な視点のアプローチだ。

　DLPとDSPMを併用することで、相互に補完し合いながらセキュリティを強化でき、結果として組織全体のデータ保護能力を最大化することが可能になる。