DSPMはデータの所在を可視化。次にすべきことは？

DSPMは、わずか18カ月で新興カテゴリから主流のセキュリティ投資へと進化しました。最近の業界報道によると、2026年には英国のCISOの約30%がDSPMソリューションを導入し、クラウド、SaaS、オンプレミス環境全体でデータ露出を削減しています。この数字は、より広範なアナリスト予測や、州・地方自治体の動向とも一致しています。

主なポイント

1. DSPMの導入が急速に加速。 2026年には英国のCISOの約30%がDSPMソリューションを導入しており、州や地方自治体も同様の流れにあります。
2. 発見は文書化された義務を生む。 DSPMスキャンで露出が検知されると、組織は実際の知識を得たことになり、原告や規制当局、監査人が基準とする是正対応のタイムラインが始まります。
3. ガバナンスギャップは発見ギャップよりも大きい。 33%の組織が証拠レベルの監査証跡を持たず、61%が断片的なログしかありません。多くの組織は、DSPMで発見したデータに対して何をしたか証明できません。
4. 可視性とコントロールは別物。 データの保存場所を完全に把握している組織はわずか33%。さらに少数しか、メール、ファイル共有、SFTP、MFT、Webフォーム、API、AIなどを横断してデータの流れを管理できていません。
5. 必要なのはコントロールプレーンであり、追加のスキャナーではない。 DSPMはリスクを特定しますが、それを解決するのはガバナンスされたデータ交換レイヤーです。これがなければ、DSPMレポートは責任を問われる文書となります。

StateTech Magazineは2026年4月、DSPMがハイブリッドクラウド環境や高まる規制圧力に直面する州・地方機関にとって不可欠になったと報じました。記事では、DSPMを「データ中心のコントロールレイヤー」と位置付け、エンタープライズ全体で機密データを継続的に発見・分類・監視するものとしています。この位置付けは、DSPMの本質的な価値を正確に捉えると同時に、その限界も明確に示しています。

DSPMは、どんなデータがどこにあり、誰がアクセスでき、どこで適切に保護されていないかを可視化します。しかし、データをガバナンスされた状態に移すことはできません。パートナーにデータを送信したり、SaaSアプリにアップロードしたり、AIエージェントがクエリした際にポリシーを強制することもできません。その後の証拠レベルの監査証跡も生成しません。市場は、組織にデータの可視性が必要であることを正しく認識しています。次の課題――多くのセキュリティプログラムがまだ答えを出せていないのは、「可視化した後に何をすべきか」です。

これがギャップです。DSPMは発見を解決しましたが、多くの組織はガバナンスを解決できていません。

DSPMパラドックス：発見が義務を生む

DSPMスキャンは、法的には「知識創出イベント」となります。スキャン前は、「そのデータが存在することを知らなかった」という防御が成り立つ場合もありますが、スキャン後はその防御は通用しません。組織はデータの所在と保護不十分な状態を正確に認識し、是正対応がなければ、文書化された知識に基づく行動を怠ったことになります。

これは、データセキュリティインシデントに対して法的枠組みが強化されつつある背景となっています。主な論点は3つです。実際の知識。 DSPMがこれを提供します。保護義務は即時に発生します。故意の無視は認められない。 十分なツールが利用可能であったにもかかわらず導入しなかった場合、「見て見ぬふり」防御は裁判所で却下される傾向が強まっています。是正対応のタイムラインが始まる。 発見により、「合理的な期間内」の対応義務が発生し、高リスクデータなら数日～数週間、低リスクなら数カ月が目安となります。

訴訟のパターンもすでに形成されつつあります。例えば、Q1のDSPMスキャンでPIIを含む暗号化されていない高リスクデータベースが検知され、是正対応が行われなかった場合、Q4にそのデータベースが侵害される――このとき、原告は全てのDSPMスキャンレポートと是正計画の提出を求めます。尋問では「1月に暗号化されていないことを知っていたのに、何をしましたか？」と問われ、知識と侵害の9カ月のギャップが裁判の中心証拠となります。

タグ付けは知識の認定です。タグ付けされたデータが侵害時に適切に保護されていなければ、組織は自らの過失を文書化したことになります。

ガバナンスギャップは発見ギャップよりも大きい

発見の問題は解決されつつありますが、ガバナンスの問題は解決されていません。

Kiteworks Data Security and Compliance Risk: 2026 Forecast Report（業界横断で組織のデータガバナンス成熟度を調査）は、33%が証拠レベルの監査証跡を持たず、61%が断片的で活用できないログしかないと報告しています。また、2026年予測レポートでは、78%がAIトレーニングパイプラインに入るデータを検証できず、63%がAIエージェントの目的制限を強制できず、60%が問題のあるAIエージェントを迅速に停止できないとしています。これらは発見のギャップではなく、ガバナンスのギャップです。

2026 Thales Data Threat Reportも異なる視点から同様の結論に至っています。データの保存場所を完全に把握している組織はわずか33%。全データを分類できているのは39%のみ。クラウド上の機密データのうち暗号化されているのは47%に過ぎません。侵害の主因は高度な脅威ではなく、28%が人的ミスです。データの所在を把握していても、どのようなコントロールが適用されたか証明できない組織が多いのが現状です。

2026年予測レポートは運用面の影響も強調しています。「マネージド」データガバナンス成熟度（定義された指標、一貫した実行、一定の自動化）に到達した組織はわずか28%。25%は依然として手動または定期的なコンプライアンスプロセスに頼っています。継続的な証拠が求められる規制環境下では、定期的なコンプライアンスは潜在的なリスクとなります。

このパターンは業界・地域を問わず繰り返されています。組織は自らが直面するデータリスクを説明できますが、それを管理するコントロールを構築できていません。

発見だけのプログラムはリスクを減らさず責任を生む理由

DSPMだけのデータセキュリティプログラムは、「露出を文書化したが是正対応を文書化していない」という特有の失敗パターンを生みます。これは組織にとって最悪の状態です。DSPM導入前なら「知らなかった」と主張できましたが、DSPMだけの組織は「未対応リスクの証拠」を持つことになります。

このパターンは訴訟だけでなく、規制環境にも波及しています。2026 Thales Data Threat Reportでは、相互接続されたSaaSエコシステムやコードリポジトリ・企業データを横断するAIツールが管轄の境界を曖昧にし、アプリ単位の静的評価ではなく、動的かつ継続的なデータ主権の強制が求められていると指摘しています。規制当局はもはや時点の文書化に満足せず、データの流れに対する継続的なコントロールの実証を求めています。

サードパーティの関与もギャップを拡大させます。2026年予測レポートでは、89%の組織がサードパーティベンダーとのインシデント対応訓練を一度も実施しておらず、87%が共同対応プレイブックを持っていません。パートナーが侵害された場合、約9割の組織が即興で対応することになります。DSPMはどの機密データがパートナー経由で露出したかは示せても、交換時にどんなコントロールが適用され、どんな監査証跡が残り、規制当局の調査でどんな証拠を出せるかまでは示しません。

これが、DSPM単独では解決できない運用上の現実です。発見だけでは半分の解決策に過ぎません。リスクを本当に閉じるもう半分――それはスキャン後のデータの扱いです。

防御可能な状態とは：発見からガバナンス、証拠へ

防御可能なデータセキュリティプログラムは、DSPMを4段階アーキテクチャのフロントエンドと位置付けます。発見：機密データの所在、分類、露出箇所を特定。ガバナンス：メール、ファイル共有、SFTP、マネージドファイル転送、Webフォーム、API、AI連携など、どのチャネルでも一貫してポリシーが強制される管理環境にデータを移動。追跡：全てのアクセス、転送、ポリシー決定を証拠レベルの改ざん検知付き監査証跡として生成。証明：規制当局や監査人に提出できる、発見に基づき組織が行動したことを示す証拠を作成。

この4段階は、バラバラなツールの積み重ねではなく、単一のアーキテクチャとして機能する必要があります。2026年予測レポートでは、61%の組織が断片的なデータ交換基盤を持ち、それが監査証跡の断片化の原因であると指摘しています。5つの異なるシステム、5つの異なるポリシーエンジン、5つの異なるログ形式から統一された証拠記録を生成することはできません。

ガバナンスレイヤーは、人によるデータアクセスだけでなく、AIデータガバナンスにも拡張する必要があります。2026年予測レポートによると、パートナーがAIシステムでデータをどう扱っているか可視化できている組織は36%に過ぎず、29%が国境を越えたAIベンダーのデータ取扱いを主要なプライバシーリスクに挙げています。AIエージェントは、DSPMが特定した機密データを――しばしばガバナンスされていない連携経由で――消費しており、人のファイルアクセスを管理するコントロールがAIレイヤーには全く及んでいないことが多いのです。

このパターンは主要な調査で一貫しています。CrowdStrikeの2026年グローバル脅威レポートでは、AIを活用した攻撃者による攻撃が前年比89%増加し、82%がマルウェアを使わない検知であったと報告。攻撃者はクラウド、SaaS、IDシステムを経由してデータに迫っており、まさにDSPMツールが監視しているがガバナンスしていないチャネル――メール、SaaS、コラボレーションプラットフォーム、AI連携――を通じて攻撃を仕掛けています。

Kiteworksのアプローチ：DSPMの次に来る運用レイヤー

KiteworksはDSPMツールではありません。Kiteworksは、DSPMの後に位置する「ガバナンスされたデータ交換レイヤー」であり、発見を防御可能なアクションへと変換します。DSPMは機密データの所在や露出箇所を特定します。Kiteworksは、そのデータを管理環境に移し、一貫したポリシーを適用し、組織が行動した証拠を生成します。

このアーキテクチャが重要なのは、DSPMの発見結果をどのようにアクションに変換するかにあります。DSPMプラットフォームが保護対象医療情報や規制対象金融データ、CUIを含むデータセットを分類した場合、その分類情報をKiteworksにポリシー入力として連携できます。Kiteworks Data Policy Engineは、そのデータへの全ての操作――保存時・転送時の暗号化、ロールベース・属性ベースアクセス制御、保持ポリシー、地理的処理制限――をメール、ファイル共有、SFTP、マネージドファイル転送、Webフォーム、API、AI連携にわたり、Kiteworks Secure MCP ServerやKiteworks AI Data Gatewayを通じて強制します。

DSPM-ガバナンスギャップを埋めるには、3つのアーキテクチャ特性が重要です。統一されたポリシー強制：単一のポリシーエンジンが全てのデータ交換チャネルを管理し、多くの組織で監査証跡が一貫しない原因となる断片化を解消します。改ざん検知付き証拠レベルの監査証跡：全ての操作を統合監査証跡に記録し、リアルタイムでSIEMに連携。2026年予測レポートが指摘する33%の証跡ギャップ、61%の断片化ギャップに対応します。コンプライアンスダッシュボード：事前構築されたレポートが、HIPAA、GDPR、CMMC、FedRAMP、SOX、PCI DSS、FISMA、ITARなどの規制枠組みに対するコントロールをマッピングし、監査人向け証拠をオンデマンドで生成します。

この結果、DSPMパラドックスが解消されます。未保護の機密データを指摘したDSPMレポートは、そのデータがいつガバナンスされたストレージに移され、どの暗号化が適用され、誰がアクセスでき、どの保持ポリシーが適用されたかを示す是正記録とセットになります。DSPMスキャンレポートは訴訟で最も不利な文書から、防御可能な対応の前半――発見に基づき組織が行動したことを示す監査証跡と組み合わされた文書――へと変わります。

今、組織が取るべき行動――全てをロックダウンせずに

DSPM導入段階にある、または次のステップを検討している組織は、以下をチェックリストではなく、順序立てたプログラムとして捉えるべきです。

第一に、DSPMスキャンレポートを完了した瞬間から法的文書として扱う。 DSPMで指摘されたものは全て実際の知識となります。リスク分類に応じた是正対応のタイムライン――高リスクは数日、中リスクは数週間、低リスクは数カ月――を設定し、全ての是正アクションをそのタイムラインに沿って文書化しましょう。法的ロジックは明快です。リスクを知りながら是正しないことは、過失の典型例です。

第二に、発見とガバナンスのギャップを監査する。 DSPMの発見結果のうち、どれが自動ポリシー強制に連携され、どれが手動チケットベースで処理されているかを特定しましょう。2026年予測レポートでは、25%の組織が依然として手動または定期的なコンプライアンスプロセスに頼っています。継続的証拠が求められる環境では、これは重大なギャップです。

第三に、データ交換基盤を統合する。 61%の組織は、メール、ファイル共有、SFTP、MFT、Webフォーム、APIなどで断片的なデータ交換基盤を持っています。それぞれが別のポリシードメイン・ログ形式となり、証拠レベルの監査証跡の前提となる単一ガバナンスレイヤーへの統合が不可欠です。

第四に、ガバナンスレイヤーをAIデータアクセスまで拡張する。 AIエージェントは今や機密エンタープライズデータの最も急成長する消費者です。2026年予測レポートによると、78%の組織がAIトレーニングパイプラインに入るデータを検証できず、60%が問題のあるAIエージェントを迅速に停止できません。AI対応ガバナンスのない発見は、最も活発なデータ消費者をコントロールプレーンの外に置くことになります。

第五に、監査証跡をSIEMやコンプライアンスレポートとリアルタイム連携する。 2026 Thales Data Threat Reportでは、データの保存場所を完全に把握している組織は33%のみと報告。リアルタイムでSIEMに連携する改ざん検知付き監査証跡は、定期的証拠から継続的証拠への移行を実現する運用メカニズムです。

第六に、サードパーティとのデータ交換を最重要ガバナンス対象とする。 Kiteworks 2026年予測レポートでは、89%の組織がサードパーティベンダーとのインシデント対応訓練を一度も実施していません。DSPMはどのパートナーがどの機密データを保有しているかを特定できますが、防御可能な交換を担保するのは、ガバナンスされた交換チャネルと共同インシデント対応プレイブックだけです。

この対応ウィンドウは急速に狭まっています。規制当局、原告弁護士、監査人は皆、機密データに対する証拠レベルの継続的コントロールを期待する方向に動いており、定期的なスナップショットでは不十分です。DSPMをゴールと考えていた組織は、そのゴールがすでに移動していることに気付くでしょう。