Zenn
🦆

DSPMってなに

に公開
dspm
idea

なぜ作成したのか

しらないセキュリティ用語を勉強しようという試み

参考

境界型セキュリティ→ゼロトラストセキュリティの結果としてのDSPM

  • 旧来の境界型セキュリティはすべてが境界の内側に必要なデータが保持され、管理者がすべて把握できていた
  • ゼロトラストセキュリティの普及により、外部サービスの利用が拡大、ファイル保管場所の多様化が進む
  • 結果として、データがネットワークに散在した、「データそのものを保護する」という考え方(データセントリックセキュリティ)にいたる
  • データそのものを保護する(データセントリックセキュリティ)という考え方を取り入れたソリューションが、DSPM(Data Security Posture Management)という位置づけ

現状の課題

広がるサービス、拡大するリスク

  • PDFやOffice、画像などのファイルは、適切に管理していないと、誰でも容易に操作・持ち出しができてしまい、人為的ミスや内部不正による情報漏洩のリスクが高い。
  • データの外部・分散保持がすすむことで、かつての中央集権・統一規格でのファイル管理はできなくなった。
  • 結果、試用するサービスごとにルール、統制を考慮する必要がある。

機密ファイルの検知は非常に困難

  • データ保存の文脈では、機密ファイルの扱いが課題になる。
  • 機密情報を検知する手法として、「正規表現」「キーワード検索」「機械学習」などがよく用いられるが、これらの手法だけですべての機密ファイルを正確に検知することは非常にむずかしい。

解決策としてのDSPM

散在するサービスに管理レイヤーを置き、以下のプロセスで可視化、うんようしようという考え

データ検出

データ検出機能は、機密データ資産が存在し得るすべての場所を継続的にスキャンする。例えば、次のような場所がスキャンの対象となる。

  • オンプレミス環境とクラウド環境

    • 例えばパブリッククラウド、プライベートクラウド、ハイブリッドクラウド

  • クラウド・プロバイダー。

    • 例えばAmazon Web Services(AWS)、Google Cloud Platform(GCP)、IBM® Cloud、Microsoft Azureのほか、SalesforceなどのSoftware-as-a-Service(SaaS)プロバイダー

  • クラウド・サービス。

    • 例えばInfrastructure-as-a-Service(IaaS)、Platform-as-a-Service(PaaS)、Database-as-a-Service(DBaaS)

  • すべてのタイプのデータとデータ・ストア。

    • 例えば構造化データと非構造化データ、クラウド・ストレージ(ファイル、ブロック・ストレージ、オブジェクト・ストレージ)、または特定のクラウド・サービス、クラウド・アプリケーション、クラウド・サービス・プロバイダーに関連するストレージ・サービス

データ分類

一般にデータ分類は事前に定義した基準に基づいてデータ資産を分類する。DSPMのデータ分類ではデータを機密度に応じて分類する。そのために、データ資産ごとに以下を特定する。

  • データの機密度のレベル。PII、機密、企業秘密関連など
  • データにアクセスできるユーザー、およびアクセスを許可する必要があるユーザー
  • データの保管、処理、使用の方法
  • データが規制の枠組みの対象かどうか。例えば、医療保険の相互運用性と説明責任に関する法律(HIPAA法)、ペイメント・カード業界データ・セキュリティー標準(PCI DSS)、EUの一般データ保護規則(GDPR)、カリフォルニア州消費者プライバシー法(CCPA)、その他のデータ保護規則やデータ・プライバシー規則

リスク・アセスメントと優先順位付け

DSPMは、それぞれのデータ資産に関連する脆弱性を特定し、優先順位を付ける。DSPMは主に次のような脆弱性を探査する。

  • 設定ミス

    • 設定ミスとは、アプリケーションやシステムのセキュリティー設定が欠落しているか不完全で、組織のデータが不正アクセスに対して脆弱な状態にあることを指す。
    • 設定ミスがもたらす結果として最も多く挙がるのは、クラウド・データ・ストレージがセキュアでなくなること。
    • ほかにも、セキュリティー・パッチの適用漏れや、データの暗号化の欠如などの脆弱性等もある。
    • 設定ミスはクラウドのデータ・セキュリティーで最も一般的なリスクとして広く認識されており、データの損失や漏えいの主な原因のひとつ。

  • 権限の過剰付与(または許可の過剰付与)

    • 権限の過剰付与とは、ユーザーの業務遂行に必要な範囲を超えるデータ・アクセス権限やアクセス許可を付与すること。
    • 権限の過剰付与は設定ミスによって生じる場合もあるが、誤りや不注意(あるいは脅威アクターの悪意)によって権限の昇格が意図的に行われる場合や、一時的に付与したはずのアクセス許可が不要になった後で取り消されない場合にも発生する。

  • データ・フローとデータ系列の問題

    • データ・フロー分析では、データが置かれていたすべての場所と、それぞれの場所でデータにアクセスした人を追跡する。
    • インフラストラクチャーの脆弱性に関する情報とデータ・フロー分析を組み合わせることで、機密データへの潜在的な攻撃経路が明らかになる。

  • セキュリティー・ポリシーと規制違反

    • DSPMソリューションは、データの既存のセキュリティー設定を、組織のデータ・セキュリティー・ポリシーや、組織に適用される規制フレームワークで定められたデータ・セキュリティー要件と対応付け、データの保護が不十分な場所や、組織が規制違反のリスクを抱えている場所を特定する。

修復と予防

  • DSPMソリューションのレポート機能やリアルタイム・ダッシュボードでは、深刻度に応じて脆弱性に優先順位を付けることができるため、セキュリティー・チームやリスク管理チームは、最も重大な問題の修復に意識を向けることができる。

  • DSPMソリューションの多くは、潜在的なリスクや進行中のデータ・セキュリティーの脅威を解消するためのステップバイステップの修復手順やインシデント対応のプレイブックも備えている。

  • DSPMソリューションの中には、アプリケーションやシステムの構成、アクセス制御、セキュリティー・ソフトウェアの設定変更を自動化し、潜在的なデータ漏えいに対する保護を強化できるものがある。

  • また、DevOpsのワークフローと統合して、潜在的なセキュリティー・リスクをアプリケーション開発サイクルの初期段階で修復できるものもある。

  • すべてのDSPMは、環境を常に監視して新しいデータ資産を探し、それらのデータに潜在的なセキュリティー・リスクがないかを継続的に監査する。

DSPMとCSPM の違い

  • Postureを関する、似たような響きのDSPMとCSPM
    • CSPM = Cloud Security Posture Management
      • CSPMはクラウド・インフラストラクチャー・レベル、特にコンピューティング・ユニット(例えば仮想マシンやコンテナ)やPaaSの実装における脆弱性の発見と修復に重点を置いている。
    • DSPM = Data Security Posture Management
      • DSPMはデータ・レベルでの脆弱性の発見と修復に重点を置いている。

CSPMもよくしらないので別途勉強する必要がある。
Pマーク取得に必要な台帳管理と相性がよさそう。

GitHubで編集を提案

Discussion