Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > 移動中データの自動ポリシー適用でDSPM戦略を完成

移動中データの自動ポリシー適用でDSPM戦略を完成

by Robert Dougherty updated 12月 4, 2025 サイバーセキュリティー・リスク管理
Reading Time: 8 minutes

多くの組織がData Security Posture Management(DSPM:データセキュリティ態勢管理)ソリューションに多額の投資をしています。その理由は明白です。自社の機密データがどこに存在しているかを把握することは、その保護の基盤となるからです。しかし、セキュリティ責任者が夜も眠れない理由がここにあります。DSPMはデータの所在は教えてくれますが、そのデータが外部に出た後に何が起こるかまでは把握できません。

本記事では、データの発見と保護の間に存在する重大なギャップ、そのギャップが大きなリスク露出となる理由、そしてデータ移動時の自動ポリシー適用によって、DSPMへの投資を高価なインベントリシステムから包括的なデータセキュリティ戦略へと変革する方法を解説します。

エグゼクティブサマリー

主旨:DSPMソリューションは、保存中の機密データの発見と分類に優れていますが、そのデータが組織外に移動する際の強制力は持ちません。データ移動時の自動ポリシー適用により、DSPMでの分類が外部共有時にリアルタイムで保護を発動し、セキュアメール、ファイル転送、API、サードパーティとのコラボレーションなど、どのチャネルであっても機密データが確実に守られるようになります。

なぜ重要なのか:Frost & Sullivanによると、現在の侵害の40%は複数環境にまたがって保存されたデータが関与しています。一方、Secureframeの調査では、過去12か月間に61%の組織がサードパーティによるデータ侵害を経験しています。DSPMで文書を「Confidential(機密)」と分類しても、強制力がなければ、誰かがベンダーにメール送信した瞬間にその分類は意味を失います。発見に投資した価値は、それを実際に活用できるかどうかにかかっています。

自社のセキュリティを信頼していますか?その信頼、証明できますか

Read Now

主なポイント

  1. DSPMは可視化を提供するが、保護はしない。発見とデータ分類は重要な第一歩ですが、DSPMツールはネットワークの境界までしか機能しません。機密データが外部に移動すると、強制力のない分類は意味を持ちません。
  2. サードパーティ共有は最大のリスク盲点。昨年61%の組織がサードパーティ侵害を経験し、サプライチェーン攻撃の封じ込めには平均267日かかっています。外部コラボレーションは多くのデータセキュリティ戦略における最も危険なギャップです。
  3. シャドーAIが強制力のギャップを拡大。IBMの報告では、20%の組織が非公認AI利用による侵害を経験し、97%が適切なアクセス制御を持っていません。自動強制力がなければ、従業員が分類済みデータをAIツールにうっかり公開してしまうリスクがあります。
  4. 自動強制力でDSPM分類が実効性を持つ。MIPラベルを取り込み、データの機密性や受信者の状況に応じて動的なポリシーを適用することで、保護がデータの移動先まで確実に追従します。
  5. 統合のためにDSPM投資を置き換える必要はない。強制力ソリューションは既存のDSPMプラットフォーム(Microsoft Purview、Cyera、Varonis、BigIDなど)と連携し、その価値を拡張します。

DSPMのカバー範囲が終わる場所:データ移動時の盲点

DSPMはエンタープライズセキュリティスタックにおいて確固たる地位を築いています。これらのソリューションはリポジトリをスキャンし、機密データを特定・分類し、これまで得られなかった可視性をセキュリティチームに提供します。市場もその価値を反映しており、Frost & Sullivanによれば、DSPM市場は2024年に4億1,500万ドルに達し、年率37.4%で成長しています。

しかし、DSPMベンダーが営業トークで強調しない根本的なアーキテクチャ上の制約があります。

DSPMは保存データに強い

DSPMツールは「機密データはどこにあるのか?」「どのように分類されているか?」「誰がアクセスできるか?」「規制コンプライアンス要件を満たしているか?」といった重要な問いに答えるために設計されています。ファイル共有、クラウドストレージ、データベース、SaaSアプリケーションをスキャンし、データ全体像のマップを構築します。

この機能は非常に価値があります。見えないものは守れませんし、多くの組織は何年もかけて多数のリポジトリに機密データを蓄積し、中央集約的な可視性を持てていませんでした。

ネットワーク境界の問題

課題はデータが移動する必要が生じたときに現れます。ビジネスは孤立して成り立つものではありません。組織はベンダーとファイルを共有し、パートナーと協業し、監査人にレポートを送り、顧客と情報を絶えずやり取りしています。

DSPMで「Confidential」と分類されたファイルがメールに添付されたり、パートナーポータルにアップロードされた場合、何が起こるでしょうか?多くの環境では何も起こりません。分類はメタデータとして存在しますが、ネットワーク境界を越えた瞬間、その分類に基づく保護を強制する仕組みはありません。

これがデータ移動時の盲点です。DSPMは保存データを監視しますが、移動時は誰も見ていません。

実際のデータ移動の姿

データは日々、複数のチャネルを通じて組織から外部へ流出しています:

これらの各チャネルが、DSPMによる分類はあっても強制力が伴わない潜在的なギャップとなっています。

強制力ギャップのリスク

発見と強制力の間のギャップは、理論上の懸念ではありません。実際の侵害統計、規制当局の指摘、インシデント対応のタイムラインに現れています。

サードパーティリスクの顕在化

外部コラボレーションは、エンタープライズセキュリティの「アキレス腱」となっています。Secureframeの調査によると、過去12か月間に61%の企業がサードパーティによるデータ侵害を経験しており、これは2023年比で49%増加しています。さらに驚くべきことに、98%の組織がサプライチェーン内に侵害経験のあるベンダーを少なくとも1社抱えています。

IBMの2025年データ侵害コストレポートは、このリスクにさらなる側面を加えています。サプライチェーン侵害は全体の15%を占め、封じ込めに平均267日を要し、すべての攻撃経路の中で最も長い期間です。強制力なくデータが組織外に出ると、検証なき信頼を拡大することになります。効果的なサードパーティリスク管理には、データが境界を越えても保護が追従する仕組みが不可欠です。

複数環境の複雑性

現代のエンタープライズは、データを一か所に保存していません。オンプレミス、複数のクラウドプロバイダー、SaaSアプリ、パートナー環境など、さまざまな場所に分散しています。Frost & Sullivanは、侵害の40%が複数環境にまたがるデータに関与していると報告しています。

DSPMはこれらの環境全体でデータを発見・分類できます。しかし、データがそれらの間を移動する際(実際には常に移動しています)、分類は自動的に保護へと変換されません。Azure環境で「Restricted」とタグ付けされたファイルも、パートナーのAWS環境に転送されると、その保護は引き継がれません。データ主権要件を抱える組織は、さらに複雑な課題に直面します。

シャドーAIによる新たな露出経路

AIツールの急速な導入により、多くの組織が対応に追われる新たなリスクカテゴリが生まれました。IBMによると、すでに20%の組織が非公認AI利用に起因する侵害を経験しており、これらのインシデントは平均で67万ドルの追加コストをもたらしています。

特に深刻なのは、AI関連の侵害を経験した組織の97%が適切なアクセス制御を持っていなかったことです。従業員が要約や分析、コンテンツ生成のために機密文書をAIツールにアップロードしてしまい、知らず知らずのうちに分類済みデータをサードパーティシステムに公開しているのです。AIデータガバナンスには、データが未承認の宛先に到達する前に強制力を発動する仕組みが必要です。

こうしたツールにデータが到達する前に自動強制力でポリシーを適用しなければ、DSPMの分類は「すでに不適切に共有されているファイル上のラベル」に過ぎません。

自動ポリシー強制力の実際

強制力ギャップを埋めるには、DSPMの分類情報を取り込み、データが外部に移動する際にリアルタイムで保護を適用する仕組みが必要です。これはDSPMの代替ではなく、DSPMを「実効性のあるもの」にするためのものです。

分類ベースの強制力の仕組み

強制力プロセスは、DSPMによる発見からリアルタイム保護までを以下のステップでつなぎます:

ステージ 内容
分類 DSPMが機密データを発見しラベル付け 「Confidential—PII/PHI」とタグ付けされた文書
検知 データ共有時に強制力レイヤーが分類を検知 ユーザーが外部メールにファイルを添付
コンテキスト評価 システムが送信者・受信者・データ機密性を評価 従業員が既知のベンダー宛か未知の受信者宛か
ポリシー適用 適切な保護を自動適用 暗号化必須、ダウンロード制限、透かし付与など
監査ログ コンプライアンスのための完全な記録作成 誰が・何を・いつ・どこで・どのようにを監査ログに記録

動的ポリシー強制力

効果的な強制力は単純な「許可/拒否」ではありません。コンテキスト認識型システムは、状況に応じて段階的な保護を適用できます:

  • エンドツーエンド暗号化(認可された外部受信者への機密データ送信時)
  • 閲覧専用アクセス(ダウンロード不可の高度機密文書)
  • 透かし付与デジタル著作権管理による不正再配布抑止)
  • 非所有型編集(ファイルのダウンロードなしでコラボレーション可能)
  • ブロック(未承認者への制限データ共有試行時)

このような柔軟なアプローチにより、生産性を維持しつつ、確実な保護を実現します。ユーザーはコラボレーションを継続できますが、データセキュリティポリシーに違反する方法ではできません。

再設計不要の統合

最新の強制力ソリューションは、Microsoft Information Protection(MIP)ラベルやAPI連携を通じてDSPMプラットフォームと統合します。これにより、組織は:

  • 既存のDSPM投資をそのまま活用可能
  • すでに適用済みの分類を活用
  • 既存コンテンツの再分類・再タグ付け不要
  • 発見と強制力で一貫したポリシーを維持

DSPMが発見と分類を担い、強制力レイヤーが保護を担います。それぞれが得意分野を活かします。

可視化からコントロールへ:成果とメリット

強制力ギャップを埋めることで、DSPMは単なるレポーティングツールから能動的な防御システムへと進化します。

規制横断の自動コンプライアンス

DSPMの分類は、規制ごとに特化したコントロールを自動発動できます:

  • CUIタグ付き文書はCMMCコンプライアンス保護を適用
  • PHI分類ファイルHIPAAコンプライアンス対策を発動
  • 個人データはGDPR要件を自動強制
  • 財務記録はSOXやGLBAコントロールを適用

これにより、分類とコンプライアンス要件のマッピングを手作業で行う必要がなくなります。ポリシーエンジンが、DSPMで既に付与されたラベルに基づき自動で処理します。

測定可能なセキュリティ向上

自動強制力をDSPMと組み合わせて導入した組織では、通常以下の成果が得られます:

  • 外部共有される分類済みデータの100%ポリシー強制
  • すべての外部データ操作に対する完全な監査証跡
  • 自動コントロールによるインシデント対応時間の短縮
  • 統合可視性によるコンプライアンス報告の簡素化

運用効率の向上

セキュリティ向上に加え、強制力の自動化は運用負担も軽減します:

  • 単一の分類システムで全保護ポリシーを駆動
  • ポリシー遵守のための追加ユーザートレーニング不要
  • セキュアなファイル共有に関するヘルプデスク対応の削減
  • 包括的なログによる監査準備の迅速化

IBMの調査によれば、AI活用のセキュリティ自動化を導入した組織は、1件あたり平均190万ドルの損失削減と、脅威検知の迅速化(自動化未導入組織より80日早い)を実現しています。

KiteworksプライベートデータネットワークがDSPM強制力ギャップを解消

DSPMによる発見とデータ保護の間のギャップには、データ移動時の保護に特化したソリューションが必要です。Kiteworksプライベートデータネットワークは、以下の主要機能でこのギャップを解消します。

MIP連携による自動ポリシー強制力。Kiteworksは、Microsoft Information Protectionラベルを通じてあらゆるDSPMソリューションの分類を取り込み、分類済みデータが外部共有される際に自動で保護ポリシーを適用します。手動介入は不要です。

全チャネル横断のデータ移動時暗号化。特定の共有方法だけを守るポイントソリューションとは異なり、Kiteworksはメール、ファイル共有、マネージドファイル転送、API、ウェブフォームなど、すべてのチャネルでAES 256暗号化を強制します。どのような経路でも機密データの保護を徹底します。

SafeEDITによる非所有型編集。高度な機密文書には、SafeEDITを使ってファイルのダウンロードなしで外部コラボレーションが可能です。受信者はファイルを取得せずに閲覧・編集できるため、制御不能なコピーリスクを排除します。

外部共有のためのゼロトラストアーキテクチャ。Kiteworksはゼロトラスト原則をネットワーク境界の外まで拡張し、すべてのアクセス要求を検証し、外部受信者にも最小権限アクセスを強制します。

包括的な監査ログ。すべてのアクセス、共有、変更、転送を詳細に記録し、規制コンプライアンスやインシデント調査に必要な監査証跡を提供します。

外部コラボレーションを伴う機密データ保護において、発見だけで終わるわけにはいきません。KiteworksはDSPMの分類を強制力ある保護へと変換し、データセキュリティ戦略を完成させます。

この重要なDSPM投資ギャップの解消について詳しく知りたい方は、カスタムデモを今すぐご予約ください

よくあるご質問

DSPMとデータ移動時保護は、データライフサイクルの異なるフェーズを対象としています。DSPMはリポジトリやクラウド環境に保存されている機密データの発見・分類・監視に重点を置きます。一方、データ移動時保護は、そのデータがメールやファイル転送、コラボレーションツールを通じて外部共有される際にセキュリティポリシーを強制します。両者を組み合わせることで初めて完全なカバー範囲が実現し、DSPMが可視性を提供し、データ移動時保護が分類を実効性ある保護へと変換します。

自動ポリシー強制力ソリューションは、既存のDSPMプラットフォームと統合可能で、現在の投資を置き換える必要はありません。統合は通常、Microsoft Information Protection(MIP)ラベルを通じて行われ、これが共通の分類基準となります。Purview、Varonis、Cyera、BigIDなどのDSPMソリューションがMIPラベルを付与すると、強制力レイヤーがそのラベルを読み取り、対応する保護ポリシーを自動適用します。

自動強制力は、CUI分類文書が外部共有される際にCMMC 2.0コンプライアンス要件を自動で満たす保護を適用することで、Controlled Unclassified Informationの管理に役立ちます。DSPMが文書をCUIとタグ付けすると、強制力レイヤーが暗号化、アクセス制御、監査ログなど必要なコントロールを手動操作なしで適用します。これにより、CMMC評価者が求める文書化された一貫した保護が実現します。

ダウンロードなしで外部コラボレーションが必要な場合は、SafeEDITのような非所有型編集技術を利用できます。この方法では、外部受信者がセキュアなインターフェースを通じて機密文書を閲覧・編集でき、実際のファイルをダウンロードすることはありません。文書は保護された環境から出ることがないため、制御不能なコピーリスクを排除しつつ、コラボレーション機能を維持できます。

シャドーAIリスクへの対応には、未承認AIツールへのデータ共有試行を事前に検知し、制御する自動ポリシー強制力が有効です。従業員が分類済み文書をAIサービスにアップロードしようとすると、強制力レイヤーがDSPMの分類を検知し、ポリシーに応じて転送をブロック、承認を要求、または記録付きで許可します。これにより、従業員が手動で分類を確認しなくても、意図しない情報漏洩を防止できます。堅牢なAIデータガバナンス戦略は、DSPMによる可視性と強制力を組み合わせてこのギャップを解消します。

追加リソース

  • ブログ記事 DSPM vs 従来型データセキュリティ:重要なデータ保護ギャップの解消
  • ブログ記事 法律事務所向けDSPM:クラウド時代のクライアント機密保持
  • ブログ記事 医療業界向けDSPM:クラウド・ハイブリッド環境でのPHI保護
  • ブログ記事 製薬業界向けDSPM:治験データと知的財産の保護
  • ブログ記事 銀行業界のDSPM:規制コンプライアンスを超えた包括的データ保護

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks