Excelの個人情報台帳、DLPの誤検知……担当者が疲弊するデータセキュリティを「DSPM」が変える
崩壊する「性善説」に基づくデータ管理
2026年3月17日、EnterpriseZine編集部主催のオンラインイベント「Security Online Day 2026 Spring」が開催された。NRIセキュアテクノロジーズの代田晃基氏によるセッション「データセキュリティの新常識『DSPM』とは~BigIDで実現する散在した機密データの可視化とコンプライアンス対応~」では、個人情報漏えいを防止するために注目を集める「DSPM(データセキュリティ態勢管理)」について紹介が行われた。
限界を迎える「性善説」に基づくデータ管理
企業のIT環境において、クラウドサービスやAIツールの利用が急速に拡大している昨今、データセキュリティの在り方が根本から問われている。
多くの企業では、従来のオンプレミス環境にあるデータベースやファイルサーバー、メールサーバーに加え、Microsoft OneDriveやBox、Salesforce、さらにはChatGPT、Geminiといった多種多様なクラウドサービスが業務に組み込まれている。しかし、こうした利便性の裏で「機密データがどこに、どれだけ存在しているのか」を正確に把握できている企業は極めて少ないのが実状だ。
NRIセキュアテクノロジーズでセキュリティコンサルタントを務める代田晃基氏は、日本企業が直面しているデータセキュリティの深刻な課題について、次のように警鐘を鳴らす。
「多くの会社がさまざまなサーバーやクラウドサービスを利用していますが、それぞれの場所で何件の個人情報が保存されているのか、それらが漏えいした場合に具体的にどのような情報が漏えいしたのかを正確に把握できる企業は極めて少ないでしょう」(代田氏)
これまで多くの日本企業は、ISMSやプライバシーマークへの準拠を目的として、個人情報管理台帳をExcelで管理したり、年1回のアンケートによる自己申告で調査したりといったやり方で、個人情報の所在の把握に努めてきた。しかし、これらは「従業員は正確に入力・回答するはずだ」「従業員はルールを守るはずだ」という性善説に大きく依拠した運用であり、内部不正による情報の持ち出しやランサムウェア被害が後を絶たない今日においては「もはや限界を迎えている」と代田氏は指摘する。
「これからのデータ管理には、『人に頼らないシステム化』『全データの自動的かつ継続的な可視化』『有事の際、即座に被害範囲を説明できる体制』が不可欠です。クラウド時代になり、さまざまな場所にデータが分散配置されている状況下、そのすべてを手作業で把握することはもはや不可能です。性善説に基づく属人的な管理手法から、仕組みによるシステム化された統制へと切り替えていかなくてはいけません」(代田氏)
DLPの限界とデータセキュリティの新常識「DSPM」
代田氏によれば、データ管理にまつわる課題は大きく3つに集約されるという。1つ目は「個人情報・機密情報の把握ができていない」こと。2つ目は「データ保管のルールが守られていない」こと。そして、3つ目は「DLP(情報漏えい出口対策)の導入、設計、運用が困難」であることだ。
これらの課題を解決する手立てとして、長年にわたり情報漏えい対策の要として期待されてきたソリューションに「DLP(Data Loss Prevention:データ損失防止)」がある。DLPはネットワークの境界やエンドポイント上で重要データを検知し、外部への持ち出しをブロックする仕組みだ。
しかし代田氏によれば、DLPの導入や運用には高いハードルが存在し、日本国内では十分に活用されていないのが実状だという。
「DLPには、主に『コンテンツスキャン型』と『ラベル制御型』という、2つの方式があります。前者は通信経路でキーワードや正規表現に基づいてスキャン・検知しますが、文脈を正確に理解できないため誤検知が多発し、業務に支障をきたしやすいという課題があります。また、後者はファイルに付与されたMIP(Microsoft Information Protection)ラベルに基づいて制御を行うため誤検知は少ないものの、過去作成された膨大な既存ファイルすべてに手作業でラベルを付与しなければ機能せず、導入負荷が極めて高いという大きな課題があるのです」(代田氏)
DLPはあくまでデータ流出の「出口対策」であり、情報資産そのものを可視化するツールではない。一方で、オンプレミスやクラウドに散在する重要データの所在やリスクを根本的に把握しなければ、DLPの活用は困難だという。
そこで、こうした課題を解決する、新たなアプローチとして近年急速に注目を集めているものが「DSPM(Data Security Posture Management:データセキュリティ態勢管理)」だ。
「DLPが『データの流出防止』に重点を置く境界防御であるのに対し、DSPMは機密データがどこにあるのかを可視化し、『データの所在とリスク管理』に重点を置いたソリューションです。DLPがリアルタイムで通信をブロックするため業務に影響を及ぼすことに対し、DSPMはインラインで導入せず、継続的にデータの可視化と設定ミスの評価を行うため、業務に悪影響を及ぼすことなく安全に導入できることが大きな特徴です」(代田氏)
[画像クリックで拡大]
クラウド環境やオンプレミスを問わず、データベースやファイルサーバー、各種SaaSにまたがってデータを横断的に管理し、過剰な権限設定やルール違反をあぶり出すDSPMは、現代の複雑化したIT環境において不可欠な「データセキュリティの新常識」になりつつあるという。
この記事は参考になりましたか?
- Security Online Day 2026 Spring レポート連載記事一覧
-
- Excelの個人情報台帳、DLPの誤検知……担当者が疲弊するデータセキュリティを「DSPM...
- 対策を急げ!ラックが示す、「現場で本当に運用可能」かつ実効性ある生成AIガイドライン策定の...
- 攻撃者は「攻撃してこない」──AIもアイデンティティ管理対象に入る今、企業がすべき“動的な...
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
提供:NRIセキュアテクノロジーズ株式会社
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
