データ侵害はもはや日常生活の一部となり、病院、大学、政府機関、慈善団体、そして企業にも影響を与えています。米国保健福祉省によると、医療分野だけでも2020年には640件の侵害が発生し、3,000万件の個人記録が流出しました。これは2019年比で25%増加しており、1日あたり約2件の侵害が発生している計算になります。世界全体では、2021年2月に23億件の記録が侵害されました。
既存のデータ損失防止 (DLP) ツールが、仮想世界を構成するデータの拡散、ユビキタスなクラウド サービス、デバイスの多様性、人間の行動に対処するのに苦労していることは、痛いほど明らかです。
従来のDLPソリューションは、データセンターやクラウドプラットフォームが機密データを保管する城となる「城と堀」型のフレームワークに基づいて構築されています。そして、ネットワーク、エンドポイントデバイス、そして人間がそれらを囲み、堀として機能し、各組織のセキュリティ防御境界を定義しています。従来のソリューションは、個々のデータ資産に機密性レベルを割り当て、これらの境界を監視することで、機密データの不正な移動を検出します。
残念ながら、ボット、API、コラボレーション ツールがデータの共有と交換の主な手段となるにつれ、こうした従来のセキュリティ境界はますます曖昧になり、やや無関係になってきています。
現実には、データ損失は現代の企業が直面する問題のほんの一部に過ぎません。企業は、社内における機密情報の不適切な取り扱いや誤用に伴う財務的、法的、倫理的リスクに日常的にさらされています。個人を特定できる情報の誤用に伴うリスクは広く知られています。
ただし、知的財産、重要な非公開情報、またはその使用に明確な制限を課す正式な契約を通じて取得されたあらゆる種類のデータの取り扱いが不適切だった場合、同等またはそれ以上の重大なリスクが発生する可能性があります。
従来のDLPフレームワークでは、これらの課題に対処することができません。私たちは、データの盗難や不注意による紛失だけでなく、企業環境内での不正使用や不適切な使用からもデータを保護する、新たなデータ不正使用防止(DMP)フレームワークに置き換える必要があると考えています。DMPソリューションは、従来のセキュリティ境界による監視に頼るのではなく、データ資産に高度な自己防衛メカニズムを提供します。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
これは微妙ですが、重要な違いです。データ資産にタグやポリシーを適用するのではなく、資産自体が豊富なメタデータ特性を「所有」し、その整合性を保護し、利用を制御するサービスに加入する必要があります。データ資産の系統、ホスティング環境の脆弱性、ユーザーの権限、ポリシー適用を管理するための新しいアプローチは、これらの次世代DMPソリューションの基盤となる柱として台頭しています。
重要なデータ資産は、その系統樹を包括的に把握する必要があります。主要な資産には、それがどのように、いつ、なぜ、どこで構築されたかを示すメタデータを含める必要があります。この情報は、すべての派生資産に継承されるべきです。セキュリティ分類と利用制限を適切に指定し、一貫して適用することで、機密データの管理に現在日常的に使用されているブルートフォーススキャンやタグ付けのプロセスの多くを排除できます。
サイバーヘイブンは、データファイルの系統を遡及的に特定できる追跡ソリューションを考案することで、この課題に対応しました。Secure Circleは、ノートパソコンやスマートフォンに転送されたデータファイルが、元のシステムに設定された条件付きアクセスルールを継承することを保証する手段を提供します。Mantaは全く異なるアプローチを採用しています。派生資産の構築に使用されているソフトウェアアルゴリズムを継続的にスキャンすることで、系統関係を確立します。
データは世界で最も価値のある(そして脆弱な)リソースである
最近では、Stacklet、Accurics、Bridgecrew、Concourse Labsといったポリシー・アズ・コード(Policy as Code)ベンダーが登場しています。これらのプラットフォームは、企業がアプリケーション開発時に拡張メタデータスキーマを実装し、これまで実現できなかったレベルのスキーマの一貫性とカバレッジを確保するのに役立ちます。
資産の現在のホスティング環境のセキュリティに関する情報を継続的に提供できる新しいツールも登場しています。Kenna Securityは、既存のセキュリティツールのデータとグローバルな脅威インテリジェンスを統合し、資産のホスティング環境内の個々のインフラストラクチャ要素の脆弱性を評価します。Traceableは、エンドユーザーの行動、APIインタラクション、データの移動、コード実行を監視し、アプリケーション内およびアプリケーション間でのデータ不正処理の潜在的な兆候を特定します。
今日のクラウドファースト、最も手軽なデバイスの選択、そしてコラボレーション重視の世界では、アプリケーション、ネットワーク、エンドポイントではなく、人がセキュリティ境界の主役となっています。個々のデータ資産を取り巻く保存領域は、データ利用者に付与されたアクセス権限と承認権限の集合体にすぎません。
簡単に言えば、資産にアクセスできるユーザーと、アクセス後に何ができるかをまとめたものです。Authomizeは分析エンジンを用いて既存のユーザー権限を一覧化し、権限昇格を抑制するための手順を提案します。Okeraは、複数の業務部門に分散されたデータスチュワードが資産ごとに権限を管理できるようにします。また、CloudKnox、Ermetic、Sonrai Securityなどの企業は、パブリッククラウドプラットフォーム内で人間とマシンの権限を管理する機能を提供しています。
次世代の DMP フレームワークでは、個々のデータ ストアが、強化されたメタデータ、専門サービスへのサブスクリプション、カスタマイズされたアプリケーション、API、ボットの使用に依存した自己防衛メカニズムを備え、さまざまな使用シナリオを規制します。
多くのセキュリティツールは、データ利用ポリシーの適用に自動化された手順を採用しています。自動化により、セキュリティイベントへの対応が迅速化されるとともに、セキュリティチームの作業負荷が軽減されます。原則的には良い意図で行われていますが、複数のツールに分散したポリシー適用は、混乱や一貫性のない結果を招くことがよくあります。ポリシーの無秩序な拡散は、あらゆるセキュリティフレームワークの有効性を損なう可能性があります。
この問題は、個々のデータ資産が、それぞれの保護のために個別に構成されたポリシー適用エンジンにサブスクライブできれば解決できます。ポリシー管理の様々な側面を1つまたは複数の独立した仲介サービスに抽象化することは、既存のツールに組み込まれたビジネスルールが読み取り可能なAPIを通じて公開されることがほとんどないため、実際には困難です。
これにより、事前に定められた手順を発見、標準化、そして調整する取り組みが複雑化します。様々な利用シナリオに応じて資産固有の対応を調整できる、設定可能なポリシー仲介サービスの構築は、起業家とベンチャーキャピタルの両方が早急に取り組むべき、意欲的な目標です。
機密データに対する人間のインタラクションは、カスタマイズされたローコードアプリケーション、RPAソフトウェアボット、データサービスAPIの活用を拡大することで、さらに厳格に管理できます。これらの自動化技術は、データの取得、変換、共有方法を制限できます。データの悪用を防ぐために意図的に使用すれば、効果的な制御メカニズムとなります。
DLPからDMPへの移行は、単なるイベントではなく、一つの道のりとなるでしょう。これらの原則に基づいた新しいツールや機能は、段階的に登場します。進歩的なセキュリティチームは、まずこれらの新機能を活用して既存のプラクティスを強化し、最終的には従来のDLPソリューションを完全に置き換えることになるでしょう。
包括的なDMP技術スタックの欠如を理由に、データセキュリティをDLPの問題ではなくDMPの問題として根本的に再考することを遅らせるべきではありません。メタデータのエンリッチメント、ホスティング環境の監視、エンドユーザーの権限管理、人間とデータのやり取りを規制するための自動化ツールの活用など、上記で言及したコンセプトのいくつかは、クラウドベースのサービスを利用して今日から実装可能です。
これらのプラクティスを今から積極的に実装することで、進歩的なセキュリティ チームは、近い将来に登場する可能性のある新しい DMP 機能からすぐにメリットを得ることができます。
開示情報:Sid TrivediはStackletとCloudKnoxの取締役です。両社はFoundation Capitalの投資先です。Mark SettleはAuthomizeのアドバイザーです。
セキュリティチームがセキュリティデータレイクを採用すべき時が来た
