Excelの個人情報台帳、DLPの誤検知……担当者が疲弊するデータセキュリティを「DSPM」が変える
崩壊する「性善説」に基づくデータ管理
2026年3月17日、EnterpriseZine編集部主催のオンラインイベント「Security Online Day 2026 Spring」が開催された。NRIセキュアテクノロジーズの代田晃基氏によるセッション「データセキュリティの新常識『DSPM』とは~BigIDで実現する散在した機密データの可視化とコンプライアンス対応~」では、個人情報漏えいを防止するために注目を集める「DSPM(データセキュリティ態勢管理)」について紹介が行われた。
限界を迎える「性善説」に基づくデータ管理
企業のIT環境において、クラウドサービスやAIツールの利用が急速に拡大している昨今、データセキュリティの在り方が根本から問われている。
多くの企業では、従来のオンプレミス環境にあるデータベースやファイルサーバー、メールサーバーに加え、Microsoft OneDriveやBox、Salesforce、さらにはChatGPT、Geminiといった多種多様なクラウドサービスが業務に組み込まれている。しかし、こうした利便性の裏で「機密データがどこに、どれだけ存在しているのか」を正確に把握できている企業は極めて少ないのが実状だ。
NRIセキュアテクノロジーズでセキュリティコンサルタントを務める代田晃基氏は、日本企業が直面しているデータセキュリティの深刻な課題について、次のように警鐘を鳴らす。
「多くの会社がさまざまなサーバーやクラウドサービスを利用していますが、それぞれの場所で何件の個人情報が保存されているのか、それらが漏えいした場合に具体的にどのような情報が漏えいしたのかを正確に把握できる企業は極めて少ないでしょう」(代田氏)
これまで多くの日本企業は、ISMSやプライバシーマークへの準拠を目的として、個人情報管理台帳をExcelで管理したり、年1回のアンケートによる自己申告で調査したりといったやり方で、個人情報の所在の把握に努めてきた。しかし、これらは「従業員は正確に入力・回答するはずだ」「従業員はルールを守るはずだ」という性善説に大きく依拠した運用であり、内部不正による情報の持ち出しやランサムウェア被害が後を絶たない今日においては「もはや限界を迎えている」と代田氏は指摘する。
「これからのデータ管理には、『人に頼らないシステム化』『全データの自動的かつ継続的な可視化』『有事の際、即座に被害範囲を説明できる体制』が不可欠です。クラウド時代になり、さまざまな場所にデータが分散配置されている状況下、そのすべてを手作業で把握することはもはや不可能です。性善説に基づく属人的な管理手法から、仕組みによるシステム化された統制へと切り替えていかなくてはいけません」(代田氏)
DLPの限界とデータセキュリティの新常識「DSPM」
代田氏によれば、データ管理にまつわる課題は大きく3つに集約されるという。1つ目は「個人情報・機密情報の把握ができていない」こと。2つ目は「データ保管のルールが守られていない」こと。そして、3つ目は「DLP(情報漏えい出口対策)の導入、設計、運用が困難」であることだ。
これらの課題を解決する手立てとして、長年にわたり情報漏えい対策の要として期待されてきたソリューションに「DLP(Data Loss Prevention:データ損失防止)」がある。DLPはネットワークの境界やエンドポイント上で重要データを検知し、外部への持ち出しをブロックする仕組みだ。
しかし代田氏によれば、DLPの導入や運用には高いハードルが存在し、日本国内では十分に活用されていないのが実状だという。
「DLPには、主に『コンテンツスキャン型』と『ラベル制御型』という、2つの方式があります。前者は通信経路でキーワードや正規表現に基づいてスキャン・検知しますが、文脈を正確に理解できないため誤検知が多発し、業務に支障をきたしやすいという課題があります。また、後者はファイルに付与されたMIP(Microsoft Information Protection)ラベルに基づいて制御を行うため誤検知は少ないものの、過去作成された膨大な既存ファイルすべてに手作業でラベルを付与しなければ機能せず、導入負荷が極めて高いという大きな課題があるのです」(代田氏)
DLPはあくまでデータ流出の「出口対策」であり、情報資産そのものを可視化するツールではない。一方で、オンプレミスやクラウドに散在する重要データの所在やリスクを根本的に把握しなければ、DLPの活用は困難だという。
そこで、こうした課題を解決する、新たなアプローチとして近年急速に注目を集めているものが「DSPM(Data Security Posture Management:データセキュリティ態勢管理)」だ。
「DLPが『データの流出防止』に重点を置く境界防御であるのに対し、DSPMは機密データがどこにあるのかを可視化し、『データの所在とリスク管理』に重点を置いたソリューションです。DLPがリアルタイムで通信をブロックするため業務に影響を及ぼすことに対し、DSPMはインラインで導入せず、継続的にデータの可視化と設定ミスの評価を行うため、業務に悪影響を及ぼすことなく安全に導入できることが大きな特徴です」(代田氏)
[画像クリックで拡大]
クラウド環境やオンプレミスを問わず、データベースやファイルサーバー、各種SaaSにまたがってデータを横断的に管理し、過剰な権限設定やルール違反をあぶり出すDSPMは、現代の複雑化したIT環境において不可欠な「データセキュリティの新常識」になりつつあるという。
DSPMを実装するには? 次世代データセキュリティ基盤「BigID」による解決策
現在、DSPMの領域において、グローバルで高い評価を獲得している次世代データセキュリティ基盤が「BigID」だという。同製品最大の特長はデータカバレッジの広さにあり、Office文書やPDF、画像などの非構造化データはもちろん、各種データベース(構造化データ)、オンプレミスのファイルサーバーからAWSやMicrosoft Azureといったパブリッククラウド、さらにはSalesforce、Slack、Microsoft TeamsといったSaaSに至るまで、企業内に存在するあらゆるデータを一元的にスキャンし、統合管理できる。
[画像クリックで拡大]
代田氏は、先述した日本企業が抱える3つの課題について、BigIDがどのように解決に導くのか、次のように説明する。
「まず『個人情報・機密情報の把握ができていない』という課題に対して、BigIDは散在するデータを横断的にスキャンし、氏名や住所、マイナンバー、クレジットカード番号といった個人情報を自動的に検出・分類して可視化します。これにより、人に頼らないシステム化された個人情報管理台帳を構築できます」(代田氏)
さらに、特定の個人に紐づくデータがどこに散在しているのかを一覧化するレポート機能も備えており、プライバシー保護要件への対応を強力に後押しするという。
次に「データ保管のルールが守られていない」という課題に対しては、BigIDに社内ルールを定義することでルール違反のファイル保存を自動検知し、アラートを通知する。許可されていないクラウドサービスや一般フォルダに機密データが置かれた場合、即座に是正アクションを促すだけでなく、システム側で自動的に対象ファイルを隔離・削除することも可能になっているという。また、法令で定められた保存期間を過ぎた不要な個人情報を検知し、確実に破棄させるための期間管理機能も備えている。
さらに、これまで運用が困難だったDLPとの連携についても、BigIDは解決策を提供しているという。文脈を深く理解するBigIDの高度なデータ分類機能を活用し、ファイルサーバー上の過去の膨大なデータも含めたすべてのファイルに対して、自動的にMIPラベルを付与可能だ。
[画像クリックで拡大]
「DLP製品が苦手としていた『コンテキストの理解とラベル付け』をBigIDに任せることで、DLP側は付与されたMIPラベルを確認して通信をブロックするだけで済むようになります。この役割分担によって誤検知を大幅に減らし、導入のハードルが高かったDLPを活用することが可能になります」(代田氏)
「DSPM」導入だけではNG 4ステップで定着させることが肝要に
先述したように強力な機能を備えるDSPMだが、単に導入してデータを可視化するだけでセキュリティ対策が劇的に改善するわけではないと代田氏は指摘する。企業がDSPMを真に活用し、データセキュリティを定着させるためには、大きく4つのステップを踏む必要があるという。
[画像クリックで拡大]
「最初のステップは『データの可視化』です。まずはクラウドやオンプレミスに散在するデータを自動スキャンして分類し、現状を把握します。しかし、数万件のファイルに個人情報が含まれているという結果だけを見ても、運用できません。そこで重要になるのが、ステップ2の『社内ルールの整備』です。可視化された現実のデータ配置状況を踏まえ、実態に即した具体的な保管ルールを再整備し、既存のルールを適切な形に修正します」(代田氏)
現状を可視化することで、自社のルールがいかに形骸化、あるいは現実離れしていたのかが明らかになるだろう。そのギャップを埋めるためのルール改定こそが、運用を成功させる鍵となると同氏は力説する。
「ステップ3は『社内ルールのシステム化』です。再整備したルールをBigIDに適用し、違反した保存が行われた場合に自動で検知・アラート通知される仕組みを構築しましょう。最後にステップ4として、アラートをトリガーとした『継続的な運用』に移行します。正しくルールを整備できていれば、違反が発生した際のみ対応すればよくなり、管理者の負荷を大幅に抑えながらも、安全なデータ環境を維持することができます」(代田氏)
リモートワークの常態化やクラウドシフト、AIの台頭により、企業のデータはかつてないスピードで分散・増殖を続けている。そうした状況下、どこにどのような機密情報があるのかを正確に把握することは、サイバー攻撃による情報漏えいリスクを低減するだけでなく、コンプライアンス要件を満たし、企業の社会的信用を守るための絶対条件だ。
「NRIセキュアテクノロジーズでは、長年にわたる高度なセキュリティ支援の知見を生かして、BigIDを用いたDSPMの導入からルール策定、運用定着までを包括的にサポートしています。データセキュリティの課題やDSPM製品への興味がある方は、ぜひ気軽にご相談いただければと思います」(代田氏)
NRIセキュアによる「DSPM」導入支援
NRIセキュアでは、DSPMソリューション「BigID」を取り扱っています。BigIDは、クラウドやオンプレミスに散在するデータを一元管理し、個人情報や機密情報の検出・分類・リスク評価を高精度に実現する製品です。日本の個人情報保護法やGDPRなどの主要なプライバシー法規制にも対応しており、企業のデータセキュリティ態勢強化を強力にサポートします。データセキュリティに関するお悩みや、DSPM導入のご相談をお待ちしています。詳細は、ソリューション紹介ページをご覧ください。
この記事は参考になりましたか?
提供:NRIセキュアテクノロジーズ株式会社
【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社
この記事は参考になりましたか?
この記事をシェア
