Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > DSPMはCUIの所在を特定してくれたのに、なぜCMMCにまだ不合格なのか?

DSPMはCUIの所在を特定してくれたのに、なぜCMMCにまだ不合格なのか?

by Danielle Barbour updated 2月 25, 2026 CMMCコンプライアンス
Reading Time: 11 minutes

防衛産業基盤(DIB)組織は、データセキュリティ態勢管理(DSPM)ツールに数百万円から数千万円を投じています。これらのツールは、ファイル共有、クラウドストレージ、データベース、SaaSアプリをスキャンし、組織全体に散在する制御されていない分類情報(CUI)を特定するという約束通りの機能を果たしています。

ダッシュボードは取締役会で見栄えがします。ギャップレポートも詳細です。リスクスコアは色分けされ、適切に警告を発しています。

ただし、ひとつ問題があります。発見しただけでは、何も守れません。

5つの重要なポイント

  1. DSPMは「発見」の課題は解決するが、「保護」は解決しない。DSPMプラットフォームは、ファイル共有、クラウドストレージ、データベース、SaaSアプリケーションをスキャンしてCUIを特定することに優れています。CUIがどこに存在し、誰がアクセスでき、既存の管理策が十分かどうかを可視化します。しかし、発見はCMMC 2.0コンプライアンスの前半に過ぎません。DSPMツールは、セキュアエンクレーブやFIPS 140-3認証済み暗号化、ガバナンスされた通信チャネルなど、評価者が求める機能を提供しません。CUIを見つけることと、CUIを保護することは、まったく異なる分野です。
  2. 外部とのコラボレーションはDSPMの死角。DIB組織は、CUIを元請業者、下請業者、政府機関と日常的に共有しています。DSPMツールは内部リポジトリに焦点を当てており、CUIが組織間でどのように移動するか(誰が受け取り、どのチャネルを通じ、どの暗号化下で、どの監査証跡が残るか)を管理する仕組みがありません。サプライチェーンをまたいだ制御された情報交換がビジネスの生命線である企業にとって、これはコンプライアンス態勢上、最も重大なギャップです。
  3. 事後検知は予防ではない。DSPMは、CUIが不適切に扱われた際にアラートを出しますが、それは違反が既に発生した後です。CMMC評価者は、データ交換時点で不正アクセスや送信を防止する管理策を求めています。違反を報告する通知システムと、違反自体を阻止する強制力のあるプラットフォームは、まったく異なります。
  4. 「Better Together」モデルが注目されている。主要なDSPMプロバイダーとエンフォースメントプラットフォームが、データ発見と自動ポリシー強制を連携させる戦略的パートナーシップを形成しています。これらの統合は、分類ラベルを活用してリアルタイムで暗号化、アクセス制限、期間限定共有などの制御を発動し、機密データが外部に移動する際に保護します。CMMC認証取得を最速で目指す組織は、これら両方の機能を並行して導入しています。
  5. DSPMは「評価」レイヤー、保護レイヤーも必要。完全なCMMC技術スタックは、評価(DSPM)、保護(セキュアCUIエンクレーブとガバナンス通信)、インフラ(EDR、ファイアウォール、SIEM)、アイデンティティ(MFA、特権アクセス管理)、ガバナンス(GRCプラットフォーム)で構成されます。DSPMはそのうちの一層に過ぎません。認証取得にはすべてのレイヤーが必要です。

DSPMとCMMC 2.0に関する不都合な真実

DSPMプラットフォームは、その役割をしっかり果たします。存在を知らなかったCUIを発見し、機密データにアクセスできる休眠アカウントを特定し、長年積み重なった特権の肥大化を明らかにし、データフローを可視化してCMMCレベル2の実践項目に対するコンプライアンスギャップを示します。

これは重要です。発見できていないデータは保護できません。しかし、ここで論理が破綻します。データを見つけることと、データを守ることは、まったく別の分野です。

DSPMのスキャンで、承認されていないSharePointフォルダーにCUIが保存され、「Everyone」グループと共有され、暗号化もされていないことが判明する場合があります。これは有益な情報です。しかし、DSPMツールは、そのデータを強化された環境に移動したり、FIPS 140-3認証済み暗号化で保護したり、最小権限アクセスを強制したり、CMMC評価者が求める不変の監査証跡を生成したりすることはできません。

DSPMは診断を行いますが、治療はしません。

この違いは、多くのDIB組織が思っている以上に重要です。CMMC 2.0レベル2では、NIST SP 800-171に基づく110のセキュリティ実践項目全体にわたり、CUIの実証可能な保護が求められます。発見と分類は、そのうちのごく一部にしか対応しません。大半、特にアクセス制御、監査とアカウンタビリティ、システムおよび通信の保護ファミリーは、暗号化(保存時・転送時)、制御されたデータフロー、不変のログ、データ交換時点で機能する最小権限アクセス制御など、積極的な強制力が必要です。

市場にあるどのDSPMツールも、その強制レイヤーは提供していません。どれだけ発見機能が高度でも、この根本的な限界は変わりません。

CMMC 2.0コンプライアンスロードマップ for DoD請負業者

Read Now

DSPMが得意なこと

ギャップに触れる前に、DSPMがもたらす価値を正確に把握しておくことが重要です。これらの機能は現実的であり、CMMC準備にとって重要です。

CUIの発見と分類。DSPMプラットフォームは、オンプレミスのファイル共有、クラウドストレージ、データベース、SaaSアプリケーションをスキャンしてCUIを特定します。どこに保存され、誰がアクセスでき、既存の保護が基準を満たしているかを可視化します。CUIの棚卸しを一度も行ったことがない組織(ほとんどが該当)にとって、これは不可欠な第一歩です。

アクセスリスク評価これらのツールは、広範なグループと共有されたCUI、アクセス権を持ち続ける休眠アカウント、長年見直されていない権限など、過度に公開されたCUIを特定します。結果として、誰が機密データにアクセスできるか、またその権限が妥当かをリスク優先で可視化します。

コンプライアンスギャップ分析。DSPMプラットフォームは、発見したデータをCMMC 2.0の実践項目と照合します。ギャップレポートを生成し、リスクやコンプライアンスへの影響に基づいて是正の優先順位を付け、準備状況の進捗を追跡します。これらのレポートは、CMMC準備の初期段階で非常に有用です。

継続的なモニタリング。導入後は、承認されていないシステム外で新たに作成されたCUIリポジトリをアラートし、承認されていないクラウドサービスにCUIが保存されるなどのポリシー違反を検知し、コンプライアンスギャップを生じさせる設定ドリフトも監視します。

これらはすべて価値がありますが、十分とは言えません。

DSPM+保護が求められる3つの課題

CMMC 2.0認証を目指す組織は、同じ壁に直面しており、そのパターンは予測可能です。

CUIは至る所にあり、誰も整理の責任を持たない。DSPMスキャンにより、メール、ファイル共有、クラウドストレージ、コラボレーションプラットフォームなど、数十〜数百のリポジトリにCUIが存在することが明らかになります。セキュリティチームは包括的な課題リストを得ますが、必要なのはCUIの保存・送信専用に設計されたセキュアエンクレーブという「ガバナンスされた行き先」です。それがなければ、ギャップレポートは増える一方です。四半期ごとのスキャンで、さらに多くの未承認場所にCUIが見つかり、是正のバックログが増え続けます。なぜなら、CUIを移動すべき「正しい」場所が指定されていないからです。

外部コラボレーションは死角。DIB組織は、CUIを元請業者、下請業者、政府機関と日常的に共有しています。DSPMツールは内部リポジトリに焦点を当てており、CUIが組織間でどのように移動するか(誰が受け取り、どのチャネルを通じ、どの暗号化下で、どの監査証跡が残るか)を管理する仕組みがありません。サプライチェーンをまたいだ制御された情報交換がビジネスの生命線である企業にとって、これは小さなギャップではありません。「最大のギャップ」です。そしてCMMC評価時に最も注目されるポイントです。なぜなら、評価者は外部送信時のCUI保護方法を特に評価するからです。

事後検知は予防ではない。DSPMは、誰かがCUIを未承認の場所に保存した場合、違反後にアラートを出します。評価者が求めるのは、交換時点で不正アクセスや送信を防止する管理策であり、後から報告する通知システムではありません。例えば、エンジニアがCUIを含む技術図面を個人のGmailアカウントで下請業者に送信した場合、DSPMツールは事後にこれを検知するかもしれません。しかし、データは既に暗号化もガバナンスもされていないチャネルで組織外に流出し、監査証跡も残りません。コンプライアンス違反は既に完了し、損害も発生しています。交換時点での予防こそがCMMCの要件であり、DSPMにはその機能がありません。

DSPMが止まり、保護が始まる場所:要件別の視点

責任分担を最も明確に理解する方法は、CMMCの具体的な要件を、それに対応するツールとマッピングすることです。

アクセス制御実践「AC.L2-3.1.1」(システムアクセスを認可ユーザーに限定)では、DSPMがCUIリポジトリへの現在のアクセス権を発見します。保護プラットフォームは、セキュアエンクレーブ内で最小権限アクセスを強制します。

「AC.L2-3.1.20」(CUIフローの制御)では、DSPMが現状のデータフローを可視化します。保護プラットフォームは、ガバナンスされた暗号化チャネルを通じて承認済みCUIフローを強制します。

監査とアカウンタビリティ実践「AU.L2-3.3.1」(監査ログの作成・保持)では、DSPMが監査ログのないシステムを特定します。保護プラットフォームは、CUIのアクセス・変更・送信ごとに不変の監査証跡を生成します。

システムおよび通信の保護実践「SC.L2-3.13.11」(FIPS認証暗号の利用)では、DSPMが暗号化されていないCUIを特定します。保護プラットフォームは、保存時・転送時のCUIにFIPS 140-3認証済み暗号化を提供します。

「SC.L2-3.13.16」(CUI機密性の保護)では、DSPMが現状の保護態勢を評価します。保護プラットフォームは、CUI通信のための強化エンクレーブを実装します。

このパターンはCMMCの管理策ファミリー全体に当てはまります。DSPMはコンプライアンスの破綻箇所を教え、保護レイヤーがそれを再構築します。

DSPMパートナーシップモデル:発見と強制の融合

CMMCコンプライアンスの最も効果的なアプローチは、DSPMと保護を競合ソリューションではなく、統合スタックの補完レイヤーとして扱うことです。これは理論上の話ではありません。市場は、DSPMプロバイダーとエンフォースメントプラットフォームの戦略的提携によってこの方向に進んでいます。

これらの統合は通常、分類ラベルを介して機能します。DSPMプラットフォームが文書を「Confidential」と分類したり、「CMMC」や「ITAR」などのコンプライアンスラベルを付与すると、エンフォースメントプラットフォームが自動的に対応する制御(暗号化、アクセス制限、期間限定共有、編集権限の制限など)を外部データ移動時に適用します。分類がポリシーを駆動し、ポリシーが強制を駆動し、強制が監査証跡を生成します。

このモデルは、従来コンプライアンスプログラムを悩ませていた手作業の引き継ぎを排除します。セキュリティアナリストがDSPMレポートを確認し、ギャップを特定し、チケットを発行し、誰かが是正するのを待つのではなく、全工程が自動で完結します。分類→強制→記録。このスピードと一貫性はCMMC評価時に重要です。評価者は管理策の存在だけでなく、継続的かつ確実に運用されているかも評価します。

Kiteworksのプライベートデータネットワークは、この統合モデルを中心に構築されています。DSPMプラットフォームが付与したMicrosoft Information Protectionラベルを取り込み、外部共有時に自動でポリシーを適用します。これには、ファイルのコピーやダウンロード可否、受信者のアクセス期間、転送時・保存時の暗号化レベルなどが含まれます。すべての操作が不変の監査記録として残ります。

Kiteworksは2017年からFedRAMP中程度認証を取得し、2025年にはFedRAMP高水準Ready認定も達成しています。この認証実績は、CMMC評価時にレベル2要件に直接対応する事前検証済みセキュリティ管理策を示すため、重要です。FIPS 140-3認証暗号化と強化仮想アプライアンスアーキテクチャを組み合わせることで、DSPMツールが必要と特定するCUI保護インフラを提供しますが、DSPM自体にはこの機能はありません。

完全なCMMC技術スタック

DSPMと保護プラットフォームは単独で機能するものではありません。CMMCコンプライアンスの全体アーキテクチャは、以下の5つのレイヤーで構成され、それぞれ明確な役割を担います:

  • 評価:CUIの発見、ギャップの特定、是正の優先順位付け。これがDSPMレイヤーです。
  • 保護:セキュアエンクレーブと暗号化通信チャネルによるCUIの保存・送信の保護。
  • インフラ:強化エンドポイント、ネットワークセグメンテーション、エンドポイント検知・対応、ファイアウォール、SIEM。
  • アイデンティティ:多要素認証、特権アクセス管理、アイデンティティガバナンス。
  • ガバナンス:ポリシー管理、コンプライアンス追跡、他レイヤーを統合するGRCプラットフォーム。

いずれか一層にだけ多額の投資をし、他を軽視すると、ある分野では優れた能力を持ちながら、別の分野では重大な欠陥が生じます。評価者はスタック全体を評価し、個々のコンポーネントだけを見ているわけではありません。

異なる段階にあるDIB組織への意味

すでにDSPMを導入済みの場合、最初の問い「CUIはどこにあり、誰がアクセスできるか」には答えが出ています。次の問いはより難しい:「それに対して何をしているか?」です。強制プラットフォームのない包括的なDSPM導入は、自社の非コンプライアンスを記録する高額な方法に過ぎません。ギャップレポートは詳細でも、評価者は不合格とします。次のステップは、CMMC要件に従いCUIの受信・保存・送信ができるセキュアエンクレーブとガバナンス通信チャネルによる保護レイヤーの構築です。

DSPMを評価中の場合、最初から発見と保護の両方を計画してください。多くのDIB組織は、DSPMを単独のCMMCソリューションと誤認し、数か月後に「発見だけでは認証に届かない」と気づきます。両方に予算を割き、並行または順次導入してください。最初から両レイヤーが必要だと認識することが重要です。

どちらも未導入の場合、「現状CUIがどこにあるかの把握」と「あるべきセキュア環境の構築」という2つの並行ニーズがあります。まずDSPMで課題の範囲を特定し、その後保護プラットフォームを導入して解決する組織もあれば、先に保護レイヤーを構築し、後からDSPMでCUIを発見・移行する組織もあります。順序よりも、両レイヤーが不可欠だと認識することが重要です。

DSPMベンダーの過剰主張:主張の評価方法

一部のDSPMプロバイダーは、自社ツールを包括的なCMMCソリューションとして位置付けています。典型的な主張は「当社プラットフォームはCUIを発見・分類・監視し、継続的なCMMCコンプライアンスを実現します」といったものです。これをCMMCの実際の要件と照らして評価する方法を紹介します。

CUI用のセキュアエンクレーブを提供しているか?CMMCは、CUIの保存・送信を保護された環境で行うことを要求します。DSPMは既存システムをスキャンするのみで、CMMCが求める強化インフラを構築しません。FedRAMP認証済み・FIPS 140-3認証済みのCUIワークフローインフラを提供できないツールは、保護ソリューションではありません。

外部CUI共有をガバナンスできるか?DIB組織は、外部パートナーとCUIを制御下で共有しなければなりません。ツールが内部リポジトリのみ監視し、CUIを元請業者や政府機関に送信する際の暗号化・アクセス制御・監査ログ強制ができない場合、CMMC評価で最も注目される部分が未対応となります。

リアルタイムで管理策を強制できるか?検知とアラートは有用ですが、CMMCが求めるのは違反発生後ではなく、データ交換時点で機能する予防的な管理策です。主な機能が事後アラートである場合、それは監視ツールであり、強制ツールではありません。

CMMC対応の監査証跡を提供できるか?DSPMは発見スキャンやアラートイベントを記録するかもしれませんが、CMMC評価者が求めるのは、CUIのすべてのアクセス・変更・送信の不変監査証跡です。外部データ交換の記録を出力できないツールは、監査とアカウンタビリティ要件を満たしません。

これらの限界は、DSPMが本来の目的で持つ価値を損なうものではありませんが、CMMC対応を謳うベンダーの主張を評価する際の指針となるべきです。

まとめ

DSPMは課題を発見します。しかし、それを解決するものが別途必要です。

CMMC 2.0認証を最速で取得する組織は、この違いを最初から理解しています。DSPMでCUIを発見・分類し、保護プラットフォームでセキュアエンクレーブを構築し、外部通信をガバナンスします。両者を統合し、分類ラベルが自動的に強制を駆動する仕組みを作ります。そして、継続的コンプライアンスを証明する不変の監査証跡を生成します。

発見と保護。評価と強制。診断と治療。CMMCは両方を求めています。DSPMで「CUIがどこにあり、どれだけ露出しているか」が判明した後、その先の対策を計画しているかどうかが問われます。

なぜなら、その問いこそ評価者が必ず投げかけるからです。「ダッシュボードは素晴らしい」だけでは合格できません。

Kiteworksがどのように支援できるか知りたい方は、カスタムデモを今すぐご予約ください

よくある質問

データセキュリティ態勢管理(DSPM)は、組織のIT環境全体で機密データを発見・分類・監視するセキュリティツールのカテゴリです。CMMC 2.0において、DSPMプラットフォームはオンプレミスのファイル共有、クラウドストレージ、データベース、SaaSアプリケーションをスキャンし、制御されていない分類情報(CUI)を特定します。誰がアクセスできるかを把握し、過度に公開されたデータを警告し、データフローを可視化し、CMMCレベル2の実践項目に基づくコンプライアンスギャップレポートを生成します。DSPMは、CUIの完全な棚卸しと既存管理策の不足箇所を明確にできるため、CMMCの評価・準備段階で特に価値があります。ただし、DSPMが対応するのは発見と監視であり、CUIの保護や送信に必要な暗号化、アクセス強制、セキュアエンクレーブ、監査ログなどは提供しません。

できません。CMMC 2.0レベル2では、NIST SP 800-171に基づく110のセキュリティ実践項目の実装が求められます。DSPMツールが対応できるのは、主に発見・分類・監視といった一部の実践項目だけです。CMMC要件の大半、特にアクセス制御、監査とアカウンタビリティ、システムおよび通信の保護ファミリーは、FIPS 140-3認証暗号化、最小権限アクセス制御、不変監査証跡、セキュアな外部コラボレーション、CUIワークフローのための強化インフラなど、積極的な強制機能を要求します。これらの強制機能はDSPMの範囲外です。認証取得には、発見レイヤー(DSPM)と保護レイヤー(セキュアCUIエンクレーブとガバナンス通信)の両方が必要です。

DSPMはCUIがどこにあり、誰がアクセスでき、どこにコンプライアンスギャップがあるかを可視化します。CUI保護プラットフォームは、CUIを保存すべきセキュアな環境と、CUIを送信すべきガバナンスされたチャネルを提供します。実際には、DSPMが未承認のSharePointフォルダーに過剰な権限と暗号化なしでCUIが存在することを発見し、保護プラットフォームがそのCUIをFedRAMP認証・FIPS認証済みエンクレーブに移動し、最小権限アクセスを強制し、保存時・転送時に暗号化し、すべての操作の不変監査証跡を生成します。DSPMは診断ツール、保護プラットフォームは治療ツールです。

最も効果的な導入は、DSPMによる発見と自動ポリシー強制を統合しています。DSPMプラットフォームがCUIを分類し、感度ラベルを付与します。保護プラットフォームはそのラベルを受け取り、データ共有時に自動で暗号化、アクセス制限、ダウンロード制限、期間限定共有などの制御を強制します。これにより「分類→強制→記録」のクローズドループが形成されます。分類がポリシーを駆動し、ポリシーが強制を駆動し、強制がCMMC評価者が求める監査証跡を生成します。両ツールは並行または順次導入できますが、発見と強制の統合こそがコンプライアンスギャップを埋め、継続的な準備態勢を維持します。

DSPMについては、すべてのデータリポジトリ(クラウド、オンプレミス、SaaS、メール)を網羅したCUI発見、CMMC関連カテゴリへの正確な分類、アクセスリスク評価、CMMCレベル2実践項目にマッピングされたコンプライアンスギャップレポート、設定ドリフトの継続的監視を重視してください。保護プラットフォームについては、FedRAMP認証、FIPS 140-3認証暗号化、強化仮想アプライアンスまたはエンクレーブアーキテクチャ、サプライチェーンCUI交換のためのセキュアな外部コラボレーション機能、すべてのCUI操作の不変監査証跡、SSPやPOA&M対応済みCMMC管理策、柔軟な導入オプション(オンプレミス、プライベートクラウド、認証済みクラウド)を求めてください。最も重要なのは、両ツールが統合され、DSPMの分類が自動的に強制ポリシーを駆動できるかどうかです。

追加リソース

  • ブリーフ Kiteworks + データセキュリティ態勢管理(DSPM)
  • ブログ記事 DSPM vs 従来型データセキュリティ:重要なデータ保護ギャップの解消
  • ブログ記事 DSPM ROI計算機:業界別コストメリット
  • ブログ記事 DSPMが不十分な理由とリスクリーダーがセキュリティギャップを軽減する方法
  • ブログ記事 2026年に向けたDSPM分類機密データ保護の必須戦略

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks