クラウドサービスの普及により、企業が保有する情報（データ）はオンプレミスからクラウドまで複数の環境に分散し、「社内のどこに何の情報があるか」を正確に把握できていない企業が増えています。この状態は、情報漏えいや内部不正のリスクを高めるだけでなく、コンプライアンス違反にも直結しかねません。そこで注目されているのが、「DSPM（Data Security Posture Management：データセキュリティ体制管理）」です。

本記事では、DSPMの定義や仕組み、混同されがちなCSPMやDLPとの違いに加え、導入時の課題となるデータの仕分け（分類）や、組織におけるDSPMの導入を成功させるためのステップまで広く解説します。

自社のデータ保護対策を見直したい方は、ぜひ最後までご覧ください。

DSPMとは？

DSPM（Data Security Posture Management：データセキュリティ体制管理）は、近年セキュリティ分野で注目を集めている概念です。
ここでは、定義や従来の対策との違い、必要とされる背景、データ保護の具体的なプロセスを順に解説します。

DSPMの定義と従来のセキュリティ対策との違い

DSPMとは、組織が保有するデータの所在や種類、アクセス状況などを継続的に可視化・管理し、リスクを特定・軽減するアプローチ・考え方です。

従来のセキュリティ対策は、ネットワーク制御による「データのアクセス経路」の制限や、権限管理による「データのアクセス権」の制御によって防御する考え方が中心でした。一方DSPMは、「データそのもの」を起点にリスクを把握・管理する考え方です。 

DSPMが必要とされる背景

クラウドサービスの普及により、企業データは従来のオンプレミスのファイルサーバーだけでなく、Microsoft 365やBoxなどのSaaSアプリケーションを含むクラウド基盤へと分散して保存されるようになりました。

こうした環境で特に問題となるのが、企業データの大半を占める非構造化データ（ファイル）の管理の難しさです。
非構造化データとは、データベースのような決まった形式を持たない情報の総称で、WordやExcelなどのOffice文書、PDF、メール、チャットログなどが該当します。作成や複製が容易な一方で、「どこにどのような情報があるのか」を正確に把握しにくいという課題があります。
米調査会社IDCの調査では、企業が保有するデータの約90％が非構造化データであると指摘されています。（※1）

※1 出典：IDC White Paper, sponsored by Box, “Untapped Value: What Every Executive Needs to Know About Unstructured Data,” August 2023

非構造化データが多く、データの内容や所在を把握しにくい環境では、管理されるべきデータが管理者の知らないうちに複製・移動・放置される「シャドーデータ」が発生しやすくなります。シャドーデータは攻撃者の標的になりやすいだけでなく、個人情報保護法やGDPR（一般データ保護規則）といったコンプライアンス上のリスクも引き起こす可能性があります。

このように非構造化データの管理が難しく、シャドーデータのリスクが高まっている背景から、データが複数環境に分散することが当たり前になった現代においては、「どこに何があるのか」を継続的に把握・管理できる仕組みが求められています。
こうした課題に対応するためのアプローチ・考え方が、DSPMです。

DSPMがデータを守るプロセス

DSPMは、データの発見から保護・監視までを一貫して担います。主な流れは以下の3ステップです。

Step1｜データの発見と分類（Data Discovery & Classification）

まず、クラウドを含む各環境を横断して、企業が保有するあらゆるデータを発見し、棚卸しを行います（Data Discovery）。そのうえで、守るべきデータを特定し、個人情報・財務情報・知的財産などの種類に応じて分類・ラベリングを行います（Data Classification）。

そもそも「何がどこにあるか」を正確に把握できなければ適切な保護はできないため、この工程がDSPMの最重要工程となります。同時に、後述のとおり多くの企業が最初に直面する課題でもあります。

Step2｜データリスクの評価と修復

発見・分類されたデータに対し、保管場所や管理方法の適切性、アクセス権限の過剰設定の有無などの観点からリスクを評価し、優先度に応じて修復対応を行います。

Step3｜漏えいの検知（防御）

DSPMは、データの状態を継続的に把握・管理します。新たなデータの作成・変更・移動を即座に検知し、ポリシー違反や異常なアクセスがあれば是正を促します。

「CSPM」「DLP」との関係性

DSPMに関連する技術・概念として、CSPM（Cloud Security Posture Management：クラウドセキュリティ体制管理）やDLP（Data Loss Prevention：データ損失防止）が挙げられます。いずれも目的や保護対象が異なるものの、混同されることも少なくありません。
ここでは、それぞれの役割とDSPMとの関係性を整理します。

CSPMとは

CSPM（Cloud Security Posture Management：クラウドセキュリティ体制管理）は、クラウドインフラの設定状態を監視・評価する技術です。

CSPMが「クラウドインフラの設定状態」を管理するのに対し、DSPMは「データそのものの状態」を管理します。守る対象が「インフラ」か「データ」かという点が最大の違いです。

クラウド環境の設定不備や構成ミスへの対策が目的であればCSPM、保有データの所在・内容・アクセス状況の継続的な把握・管理が目的であればDSPMが適しています。

DLPとは

DLP（Data Loss Prevention：データ損失防止）は、機密データの不正な持ち出しや意図しない漏えいを防ぐための技術です。メール送信、USBメモリへのコピー、クラウドへのアップロードなど、データの移動や利用を監視・制御します。

DSPMが「データの状態を継続的に把握・管理する体制管理」であるのに対し、DLPは「データの移動をリアルタイムで制御する防御策」です。前者がデータの「状態」、後者がデータの「動き」に着目するという違いがあります。

DSPMとDLPは組み合わせて使うことで高い効果を発揮する親和性の高いソリューションです。
まずDSPMで「自社にとって守るべきデータが何で、それはどこにあるのか」を把握し、その結果をもとにDLPのルールを設定することで、精度の高い情報漏えい防止対策が実現できます。
DSPMが上流の「把握」を担い、DLPが下流の「防御」を担うという関係です。

DSPM導入の課題と生成AIによる突破口

DSPMの必要性を認識しながらも、導入に踏み切れない、あるいは途中で頓挫してしまうケースは少なくありません。その大きな要因が、前述した「データの分類・ラベリング（Data Classification）」の難しさです。
ここでは、その理由と生成AIによる解決の可能性を解説します。

非構造化データの分類が難しい理由

構造化データ（データベースなど）と異なり、Word文書・PDF・メール・チャットログといった非構造化データは自動分類が難しく、運用上の大きな課題となりがちです。
主な理由は次の3点です。

1) 保存場所が多岐にわたる

データはオンプレミスやクラウド（SaaSを含む）に分散しており、どの環境に何のデータがあるかを網羅的に特定するには、相応の労力がかかります。

2) データが日々変化し続ける

非構造化データは誰でも容易に作成・編集・複製できるため、データの量や内容が日々変化し続けます。そのため、一度分類しても次々と新規作成や更新が行われ、分類の対象が常に変化し続けるという問題があります。

3) 内容が多様で機械的な判別が難しい

非構造化データは形式や内容が多様で、同じ単語でも文脈によって機密性が変わり得ます。
従来のパターンマッチングや辞書ベースの手法ではこうした文脈を十分に理解できず、見逃しや誤認識が発生しやすいという課題があります。

生成AIによるデータ分類の自動化

こうした「保存場所が多岐にわたる」「データが日々変化し続ける」「内容が多様で機械的な判別が難しい」という課題に対し、生成AIを活用したデータ分類が有効な解決策として注目されています。

生成AIを活用したデータ分類ツールは、マルチプラットフォーム環境を横断的にスキャンし、データの発見・棚卸しを行います。最大の特徴は、パターンマッチングや辞書ベースなど従来の分類手法に加え、生成AIによる高度な文脈解析を組み合わせている点にあります。これにより、同じ単語でも前後の文脈から機密性を判断したり、文書のスキャン画像などの画像データから文字情報を認識（OCR）して内容を判別したりするなど、従来では識別が難しかったデータも高精度で自動分類できるようになりました。

また、データの変更をリアルタイムで検知し、新たに生成されたデータにも即座に分類を適用する機能も備わっており、日々変化するデータへの継続的な対応も実現しています。

これまで非構造化データの分類の難しさからDSPMの導入を断念していた企業でも、生成AIの活用によって、DSPMを無理なく効果的に導入できるようになりつつあります。

DSPMを効果的に導入するには

生成AIを活用したツールはDSPM導入を大きく後押ししますが、ツールはあくまでも手段のひとつです。効果的なDSPMを実現するには、「何を守るべきか」という方針の整理、正確なデータ分類・ラベリング、そして継続的な運用という一連の取り組みが不可欠であり、ツールはそれを支える道具として機能します。
ここでは、DSPMを効果的に導入するために行うべき手順を解説します。

現状分析とポリシーの策定

DSPMの導入は、自社が保護すべきデータの定義と方針整理から始まります。何を機密情報・重要情報とするかが曖昧なままでは、ツールを導入しても有効な結果は得られません。この「保護すべきデータ」を定義するうえで最初の判断基準となるのが、自社を取り巻くルールや法令の確認です。

ビジネス要件・コンプライアンス要件との照合と規程整備

まず、自社のビジネス特性や準拠すべき法規制を整理し、保護対象となるデータ範囲を明確化します。情報管理に関する社内規程が未整備の場合は、この段階で文書管理規程などの整備を進めておくことで、後続フェーズをスムーズに進められます。

保護対象データの定義と優先順位の整理

整備した規程をもとに、自社のデータ利用状況や管理実態を把握し、どのデータをどの基準で保護するかの方針を定めます。この段階では詳細な棚卸しは行いませんが、次フェーズに向けて「何を対象にするか」「どこから手を付けるか」を明確にすることが目的です。
あわせて、DSPM導入に向けた優先順位とロードマップを策定します。

ツールの選定とデータの発見・分類

現状分析とロードマップをもとに、自社環境に適したDSPMツールを選定し、データの発見・分類を行うフェーズです。
まずPoC（概念実証）を実施してツールを選定し、選定後は定めた方針と規程に沿ってデータの発見・分類・ラベリングを実施します。

PoCによる効果検証と選定基準の明確化

DSPMツールは、対応可能なデータストアの種類やデータ分類の精度、対応可能な法令、既存ツールとの連携性などが製品ごとに大きく異なります。本格導入の前に、PoCを実施して自社環境での動作や効果を検証することが重要です。

データの発見・分類・ラベリング

ツール選定後は、対象環境をスキャンして保有データを網羅的に発見・棚卸しを行います（Data Discovery）。その結果に対し、4-1で定めた保護対象データの定義に基づいてデータの分類・ラベリングを行います（Data Classification）。
この工程こそがDSPMの核心であり、以降のフェーズの精度を左右します。

継続的な監視とルールの最適化

データの発見・分類・ラベリングが完了した後は、継続的な監視と運用体制の整備に移ります。初期段階では分類ルールの精度が十分でないことも多く、誤認識や分類漏れが発生しやすいため、実際の分類結果を確認しながらルール設計とチューニングを繰り返し、精度を継続的に高めていくことが重要です。

また、アラート監視、ルールのチューニング、問題発生時のインシデント対応フローの整備といった運用業務は、専門知見を持つSOC（Security Operation Center：セキュリティ運用センター）事業者などと連携することで、より安定した体制を構築できます。

SOCについては、以下の記事で詳しく解説しています。
SOCとは？セキュリティ運用の仕組みと導入形態をわかりやすく解説

まとめ

DSPMは、データそのものに着目し、データのセキュリティ状態を継続的に把握・改善する、クラウド時代に不可欠なアプローチです。導入における最大の課題はデータ分類ですが、生成AIの活用によりそのハードルは下がりつつあります。
一方で、DSPMはツール導入だけでは不十分であり、現状分析から分類ルールの作成、運用定着まで、専門知見を活用した継続的な取り組みが重要です。

三井物産セキュアディレクション（MBSD）の「データセキュリティ（DSPM）導入支援サービス」では、生成AIを活用した「Data X-Ray」によるデータの可視化・自動分類を軸に、現状分析・規程策定からMicrosoft Purviewの秘密度ラベルとの連携設定まで、一貫してご支援します。導入後の監視・運用フェーズにも対応しており、実効性のあるデータセキュリティ体制の構築を総合的にサポートします。
DSPMの導入やデータ分類の高度化をご検討の際は、MBSDまでお気軽にご相談ください。

関連サービスページ
データセキュリティ（DSPM）導入支援サービス

関連資料のダウンロード
・ダウンロードページ・・・こちら
・Microsoft Purview活用サービス・・・Form
・データセキュリティ（DSPM）導入支援サービス・・・Form

お問い合わせはこちら