データセキュリティポスチャマネージメント(DSPM)によるデータセキュリティ：それで果たして十分なのか？

多くの組織は、機密データがどこにあり、どのような種類の機密データがインフラストラクチャ内に保存されているかを発見するために、データセキュリティのデータセキュリティポスチャマネジメント(DSPM)に依存しています。DSPMのセキュリティソリューションは、リスクレベルに基づいてデータ資産を迅速に特定、分類します。このアプローチにより、企業はまず最も機密性の高い重要なデータを保護するための取り組みとリソースの優先順位を決定し、次にコンプライアンス上問題のないデータを保護することができます。

DSPMは、保有データを可視化するための構造化された方法を提供しますが、DSPMだけで十分でしょうか？

DSPMは、より広範なデータセキュリティ戦略の基礎となる要素であり、さらなるデータセキュリティ対策を実施し、統合するためのベースラインとなります。しかし、DSPM導入後の次のステップを理解しましょう。最初に、DSPMセキュリティがどのように機能するのか、何が欠けているのか、そして組織が見落としがちな基本事項について簡単に説明します。

DSPM: 最初の一歩、しかし最後の一歩ではありません

データセキュリティポスチャマネジメント（DSPM）は、主にデータの分類に焦点を当てたデータセキュリティ戦略の基礎となるものです。DSPMは、セキュリティチームがどのデータを最初に保護する必要があるかを特定し、組織のセキュリティ対策に優先順位を付けられるようにします。 たとえば、財務記録、顧客データ、知的財産は、セキュリティを強化し、PCI-DSS などの規制に準拠するために暗号化が必要な高リスク資産として特定できます。

DSPMは有用なデータ識別の利点があるにもかかわらず、リスクに対する万能薬ではありません。データがどの程度暗号化されているか、暗号化鍵はどのように保管されているか、誰がそれらの鍵にアクセスできるか、といった洞察は得られません。

DSPMのミッシングリンク

真にデータを保護するためには、組織はDSPMの枠を超えなければなりません。具体的には、3つの重要な要素に焦点を当てる必要があります：

1) データはどの程度暗号化されていますか？

暗号化はDSPMのデータセキュリティにおける最終防衛ラインです。読み取り可能なデータを読み取り不可能な形式に変換し、特定のキーがなければ解読できません。また、すべての暗号化アルゴリズムが同じというわけではありません。例えば、AES-256は非常に安全ですが、DESのような古いアルゴリズムは現在では時代遅れであり、計算能力によって破られる可能性があります。

患者記録を保管する医療機関を考えてみましょう。DSPMを使用して、これらの記録を高リスクに分類するかもしれません。しかし、組織が時代遅れの暗号化手法に頼っている場合、その分類にもかかわらずデータは脆弱なままです。そのため、セキュリティチームは暗号化の品質を継続的に評価する必要があります。

2) 暗号化鍵はどのように管理されていますか？

暗号化鍵が漏えいすると、どんなにセキュアに暗号化されたデータであっても、不正アクセスされてしまう可能性があります。暗号化鍵の管理は、鍵の生成や配布だけでなく、それを安全に保管することも重要です。例えば、金融機関がクラウドベースのサービスを利用して暗号化鍵を保管するとします。これらの鍵が平文で保存されていたり、適切な保護が施されていなかったりすると、サイバー犯罪者の格好の標的になります。ハードウェアセキュリティモジュール(HSM)のような安全な鍵保管ソリューションや、BYOK(Bring Your Own Key)サービスのようなクラウドベースの鍵管理は、このリスクを軽減することができます。

3) 誰が暗号化鍵にアクセスするのか？

堅牢な暗号や安全な鍵ストレージを使用しても、権限のないユーザによるアクセスはデータセキュリティの取り組みを危険にさらす可能性があります。DSPMは、暗号化鍵が権限のある担当者のみに制限されているのか、あるいは若手社員や請負業者などの非特権ユーザもこれらの鍵にアクセスできるのかについてフラグを立てません。組織は、暗号化鍵へのアクセスを監視し、制御する必要があります。例えば、小売企業の場合、暗号化鍵にアクセスできる管理者が複数いる可能性があります。厳格なアクセス制御を行わないと、漏洩したアカウントがデータ漏洩につながる可能性があります。権限のある担当者だけが鍵にアクセスできるようにするには、定期的な監査とアクセスレビューが必要です。役割ベースのアクセス制御、多要素認証、監査証跡は、鍵の使用状況の管理と追跡に役立ちます。

Fortanix Key Insightによる暗号ポスチャの管理

データセキュリティポスチャーマネジメント(DSPM)ツールは、データの発見と分類に重点を置いていますが、暗号と暗号化鍵管理の有効性を十分に評価できない場合があります。そのため、組織は暗号資産の一元的なインベントリと包括的な評価を必要としています。

Fortanix Key Insightが 提供するこの評価は、暗号化鍵が頻繁にローテートされているか、鍵へのアクセスが過度に許可されていないかなど、重要な詳細を評価することで、データ暗号化のギャップや弱点を特定するのに役立ちます。これがないと、特にハイブリッドクラウドやマルチクラウドのセットアップのような複雑な環境では、DSPMを使用しているにもかかわらず機密データが漏えいする可能性があります。

Fortanix Key Insightの仕組み

Fortanix Key Insightは、暗号化鍵管理とデータセキュリティを強化するための3つの基本原則に基づいて動作します：

1. 鍵の検出

Fortanix Key Insightは、組織内のすべての暗号化鍵と、それらがオンプレミス環境およびマルチクラウド環境全体のデータサービスにどのようにマッピングされているかを完全に可視化 します。これは、AWSやMicrosoft Azureなど、複数のクラウドプロバイダに依存する企業が増えているため、特に重要です。暗号化鍵を可視化しなければ、暗号化鍵が拡散し、データ漏えいのリスクが高まります。Fortanixは、使用中のすべての鍵を包括的かつ一元的に可視化することで、ITチームがさまざまな環境にまたがるデータ資産を容易に管理し、セキュリティを確保できるようにします。例えば、AWSで機密データベースに使用されている暗号化鍵が正しく追跡されていない場合、セキュリティ侵害の危険にさらされる可能性があります。Fortanixは、すべての鍵が簡単に見つけられ、監視され、それぞれのサービスにマッピングされるようにします。

2. リスクポスチャの評価：

Fortanix Key Insightは、鍵管理のベストプラクティスを分析することで、組織のデータセキュリティリスクを評価します。例えば、PCI-DSSのような規制では、暗号化鍵や鍵の在庫に関する要件が厳格に定められており、これに準拠できない場合、高額な罰則や違反、ビジネスの損失につながる可能性があります。Fortanixは、暗号化鍵がこれらの基準にどのように合致しているかを継続的に評価し、ギャップや脆弱性を特定します。この継続的な評価により、組織はコンプライアンスを維持し、潜在的な脅威に備えることができます。例えば、企業の暗号化プラクティスが時代遅れであったり、最新の規制変更に対応していない場合、Fortanixはこれらのリスクにフラグを立て、改善のための洞察を提供します。

3. 問題の修復：

Fortanixは、セキュリティリスクやコンプライアンス上の問題が特定された場合、専用に構築されたデータセキュリティプラットフォームから、組織が大規模な是正措置を講じて解決できるよう支援します。これには、暗号化鍵のローテーション、アクセスポリシーの更新、ポリシーに応じた新しい暗号化手法の導入などのタスクの自動化が含まれます。この統合された是正機能により、企業はマルチポイントソリューションの管理に煩わされることなく、セキュリティ体制を強化することができます。

最後に

DSPM はデータセキュリティの出発点として有用ですが、データセキュリティリスクに幅広く対応するため の補完的なソリューションもあります。また、企業は次のステップ、すなわちデータ暗号化と鍵管理の有効性を評価するFortanix Key Insightの導入に注力する必要があります。Fortanix Key Insightを統合することで、企業はよりセキュアでコンプライアンスに準拠したデータ環境を確保することができます。

データセキュリティの次のステップに進む準備はできていますか？Fortanix Key Insightをご検討いただき、データセキュリティ戦略の強化にお役立てください。