はじめに
クラウド・SaaS・生成AIの普及で、機密データは社内サーバの中だけにとどまらなくなりました。OneDrive、SharePoint、S3、各種SaaS、社員のローカルPC、そして生成AIへ貼り付けた入力データへと拡散し、「そもそも機密データがどこにあるのか分からない」状態に陥りがちです。
DSPM(Data Security Posture Management=データセキュリティ態勢管理) は、この“見えないデータ”を起点に、機密データの所在・アクセス権・露出リスクを継続的に可視化・評価する仕組みです。
この記事では概念の整理にとどめず、追加製品を買わずに手持ちのクラウド標準機能(Microsoft Purview / AWS Macie)で実際にスキャンを動かす手順と、運用上のつまずきどころをまとめます。
DSPMがやること(4ステップ)
DSPMは一度きりの点検ではなく、次のサイクルを回し続けるのがポイントです。
| STEP | 内容 | 具体例 |
|---|---|---|
| 1. 発見 | 機密データを自動スキャンして洗い出す | クラウド/SaaS/オンプレを横断 |
| 2. 分類 | 個人情報・カード番号・営業秘密などを判定し重要度を付与 | 自動分類ルール |
| 3. 評価 | 誰がアクセスできるか・公開設定・暗号化を確認 | 過剰共有・公開バケット検出 |
| 4. 対処・監視 | リスクを直し、変化を継続監視 | 公開解除・権限是正 |
重要なのは、STEP4(直す運用)まで含めて初めて効果が出る点です。「見える化」だけでは1件も守れません。
DLP / CSPM との役割分担
導入前に既存対策との切り分けを整理しておかないと、機能が重複します。
| 仕組み | 守る対象 | DSPMとの関係 |
|---|---|---|
| DLP | データの「出口」(持ち出し・流出を止める) | 補完:DSPMは出口の手前で所在とリスクを可視化 |
| CSPM | クラウドの「設定ミス」 | 補完:DSPMはデータそのものの所在・分類・露出を点検 |
| DSPM | データそのもの(所在・分類・露出) | — |
「壁(境界・端末)を守る」従来型に対し、DSPMは「データ一つひとつ」に視点を移すアプローチ、と捉えると整理しやすいです。
実践1:AWS Macie でS3の機密データをスキャンする
Macie は S3 バケット内の個人情報・機密データを機械学習で検出し、公開設定ミスを警告するマネージドサービスです。従量課金で、まず1バケットから小さく試せます。
有効化と検出ジョブ作成(CLI例)
# 1. リージョンを指定して Macie を有効化
aws macie2 enable-macie --region ap-northeast-1
# 2. バケット単位の機密データ検出ジョブを作成
# scheduleFrequency を付けると定期実行、外すと一度きり
aws macie2 create-classification-job \
--job-type SCHEDULED \
--schedule-frequency '{"dailySchedule":{}}' \
--name "dspm-scan-sensitive" \
--s3-job-definition '{
"bucketDefinitions":[{
"accountId":"123456789012",
"buckets":["my-target-bucket"]
}]
}' \
--region ap-northeast-1
結果(検出された機密データ)の確認
# 機密データ検出のうち重大度が High のものだけ件数集計
aws macie2 list-findings \
--finding-criteria '{"criterion":{"severity.description":{"eq":["High"]}}}' \
--region ap-northeast-1
つまずきどころ
-
リージョンごとに有効化が必要。
enable-macieを実行したリージョン外のバケットは対象外になります。複数リージョンに資産があるなら、それぞれで有効化するか組織管理アカウントで集約します。 -
コストは「スキャンしたオブジェクト量」に比例。いきなり全バケットを
SCHEDULEDで回すと費用が膨らみます。まずONE_TIME+対象バケットを絞って規模感を掴むのが安全です。 - マネージドのデータ識別子で日本固有の項目(マイナンバー等)が拾えるかは要確認。足りなければ**カスタムデータ識別子(正規表現)**を追加します。
実践2:Microsoft Purview で M365 内の機密情報を可視化する
Microsoft 365(SharePoint / OneDrive / Teams / Exchange)を使っているなら、Purview の機密情報の種類(SIT: Sensitive Information Types)とコンテンツエクスプローラーで、追加製品なしに「どこに何があるか」を可視化できます。
進め方
- Microsoft Purview ポータル(旧:コンプライアンスポータル)にグローバル管理者または該当ロールでサインイン
- データ分類 → 機密情報の種類で、検出したい項目(クレジットカード番号、各種個人情報など)を確認・カスタム作成
- コンテンツエクスプローラーで、その種類が「どの場所に・何件」存在するかを一覧化
- 過剰共有や外部共有リンクが付いた機密ファイルを特定し、是正
つまずきどころ
- 高度な機能はライセンス依存。コンテンツエクスプローラーの全閲覧や自動ラベル付けなどは上位ライセンス(例:Microsoft 365 E5 / E5 Compliance 系)が前提になることが多く、保有プランで何ができるかを先に確認してください。
- 自動分類は精度のチューニングが必須。SITは正規表現+キーワード+確信度(confidence level)で判定するため、初期は誤検知・見逃しが出ます。確信度のしきい値や対応キーワードを調整して運用に乗せます。
- 反映にはクロール/分類の時間差があります。設定直後は件数が出そろわないことがあるので、数時間〜の待ちを見込みます。
※ライセンス要件・機能名はMicrosoftおよびAWSの仕様変更で変わります。導入時は必ず公式ドキュメントで最新を確認してください。
専用DSPM製品はいつ検討するか
クラウドとSaaSを広く横断する専業ベンダー製品(Cyera / Sentra / Varonis / BigID など)は分類精度やマルチクラウド対応に強みがありますが、いずれも中堅〜大企業向けで年額は高めです。中小企業がいきなり導入するものではありません。
中小企業の現実的な道筋
- 手持ちの標準機能(Purview / Macie)で機密データの所在マップを作る
- ファイルサーバー/NASの共有フォルダのアクセス権・公開範囲を手動点検(専用ソフトの前にこれが効く)
- 生成AIに機密を貼らないルール+ SASE / CASB で入口を管理
- 規模が大きくなったら専用DSPM製品を検討
メリットと注意点
メリット
- 機密データの「所在不明」を解消し、リスクの高い箇所から先に塞げる
- クラウド・SaaS・生成AIをまたいで横断的に可視化できる
- 過剰なアクセス権や意図しない公開設定を是正できる
- 個人情報保護法やISMS運用での棚卸し・説明責任に役立つ
注意点
- 「見える化」だけでは守れない。発見したリスクを直す運用が前提
- 各データソースへの接続・読み取り権限の設計が必要
- 自動分類は精度のチューニング(誤検知・見逃しの調整)が要る
- DLP・CSPMなど既存対策との役割分担を整理しないと重複する
まとめ
- DSPMは「データそのもの」を起点に、所在・分類・露出を継続的に可視化する考え方
- 専用製品を買わなくても、AWS Macie や Microsoft Purview の標準機能から小さく始められる
- リージョン有効化・コスト・分類精度のチューニング・ライセンス要件が実務上のつまずきどころ
- 「見つける」だけでなく「直す運用(STEP4)」まで回して初めて効果が出る
まずは主要なクラウドとファイルサーバの棚卸しから。公開設定や過剰なアクセス権を可視化するだけでも、漏えいリスクは確実に下げられます。
当社(株式会社ブレインディレクション)は、ITソリューション・生成AI・クラウド・セキュリティ(ISMS / ISO/IEC 27001:2022 取得)を軸に、機密データの棚卸しと統制を小さな範囲からご支援しています 👉 https://www.brain-d.jp