Google Cloud DSPM でデータ セキュリティを次のレベルへ

※この投稿は米国時間 2025 年 8 月 21 日に、Google Cloud blog に投稿されたものの抄訳です。

データの民主化と生成 AI の時代が到来し、組織におけるデータの取り扱い方は劇的に変化しました。この進化により、新たな可能性とセキュリティ リスクが生まれています。セキュリティ チームの課題も増え、データの保護にとどまらず、新たな現実に合わせてセキュリティとコンプライアンスを拡張することが求められています。

従来型のセキュリティ管理はリスク軽減に不可欠ですが、データ セキュリティ ポスチャー管理ソリューションの多くには今日の組織が必要とする機能が不足しています。たとえば、AI ワークロードを導入している組織であれば、機密データがトレーニング環境に漏洩しないようにすること、モデルや重みなどの知的財産が外部に流失しないよう保護すること、すべてのモデルが「コンプライアンスの説明可能性」に対応していることを確実にする必要があります。

組織で堅牢なデータ セキュリティを確立するために、機密データがどこに保存されているか、どのように使用されているか、どのような制御プロセスで保護できるか、コンプライアンスの証拠を提供するために利用できるモニタリング ツールは何か、という 4 つの重要な点をおさえておくべきです。現在プレビュー版で提供している Google Cloud の新しいデータ セキュリティ ポスチャー管理（DSPM）は、データ セキュリティ、プライバシー、コンプライアンス ガバナンスをエンドツーエンドで提供するサービスです。

DSPM は、利用可能な高度なデータ制御を理解して区別し、セキュリティ、プライバシー、コンプライアンスの要件に適合するものをビジネスニーズに合わせて選択できる機能を備えています。Security Command Center の一部として提供されており、プラットフォームでシームレスに動作し、セキュリティ ツールの統合運用に伴う複雑さを軽減するのに役立つ Google Cloud のネイティブ ソリューションです。

DSPM はまずデータマップを作成し、Google Cloud 環境内のデータの概要と機密性レベル、デフォルトのセキュリティ ポスチャーを明らかにします。検出結果に基づいて、データのモニタリング ポリシーや保護ポリシーを適切に適用し、機密データのニーズに合わせて制御を選択できるように支援します。

セキュリティ チームやコンプライアンス チームで Google Cloud DSPM を活用すると、次のことが可能になります。

• データの検出: DSPM は、組織が所有するデータ資産を包括的に可視化します。Google Cloud 環境のデータ資産を自動的に検出し、Sensitive Data Protection の機密性ラベルを使用して、どのようなデータがどこにあるかを把握できるようにします。

• リスクの評価: DSPM は、Google Cloud が推奨するベスト プラクティスに照らして現在のデータ セキュリティ ポスチャーを評価し、潜在的な脆弱性や構成ミスの特定を容易にします。

• データの保護: DSPM は、セキュリティとコンプライアンスの要件をデータ制御ポリシーにマッピングすることで、データ セキュリティ フレームワークをデプロイし、ほぼリアルタイムでモニタリングできるようにします。

• コンプライアンスの簡素化: DSPM は、関連するコンプライアンス フレームワークに照らしてデータを監査し、ギャップを特定して、証拠に基づいた詳細なコンプライアンス レポートを生成します。DSPM は、HIPAA、GDPR、PCI DSS のコンプライアンス評価にも役立ちます。

高度な DSPM 制御がセキュリティとコンプライアンスの要件を満たすうえでどのように役立つか

セキュリティ チームは、組織の Google Cloud 環境にある機密データの特定から始めて、望ましいセキュリティとコンプライアンス目標を最適なデータ制御にマッピングすることができます。このプロセスを容易にするために、DSPM ではデータアクセス ガバナンス、フロー ガバナンス、データ保護、データ削除制御などの高度な制御機能を提供し、セキュリティとコンプライアンスの目標達成を支援します。

現在、これらの制御は組織、フォルダ、プロジェクトなどのデータ境界上で、検出モードで適用できます。さらに Google Cloud Sensitive Data Protection（SDP）を使用して、特定の種類の機密データをスキャンすることもできます。

データアクセス ガバナンスデータアクセス ガバナンス制御を活用すると、機密データへのアクセスを管理し、承認されたプリンシパルにのみ検出モードでアクセスを制限できます。

たとえば、顧客の請求データに関するガバナンスが必要な組織の場合、不正行為検出チームのみが機密性の高い顧客請求情報にアクセスできるようにするポリシーを作成し、その制御ポリシーを機密データ全体に適用すれば、ポリシーでデータそのものが継続的に追跡監視され、ポリシーに違反するアクセス インベントが発生するとアラートが生成されます。

フロー ガバナンス データフロー制御を活用すると、国境を越えるデータの移動を検出モードで制限し、機密性の高い顧客データが国外へ流出するのを確実に防ぐことができます。たとえば、ある国で事業を展開している組織が、顧客データをその国の地理的境界外に移動しないというコンプライアンス要件を遵守しなければならないとします。データフロー ガバナンスを活用して、その国でのみデータフローを許可するポリシーを作成し、組織が保有する機密データに適用すると、許可された地理的境界外からこのデータを読み取ろうとする違反行為がすべて報告されます。

データ保護データ保護制御は、顧客管理の暗号鍵（CMEK）の適用など、暗号鍵の構成の管理に役立ちます。機密データを保護する鍵に関するポリシーのひとつとして、CMEK の適用ポリシーを作成できます。

データ削除データ削除制御は、データの最大保持期間の管理に使用できます。許容される最大保持期間を定めたポリシーを作成し、機密データに適用できます。

データ セキュリティの未来を共創する

セキュリティ チームとコンプライアンス チームの皆様に、Google Cloud DSPM の機能をいち早く体験していただく機会をご用意しました。DSPM のプレビュー プログラムの一環として、次のような機会を提供しています。

• DSPM を有効にして、特定のビジネスニーズを対象に、その機能を早期評価する。詳細な手順については、ユーザーガイドをご覧ください。

• テクニカル アドバイザリー カウンシルとカスタマー デザイン パネルに参加して、DSPM の開発をより良いものにするために貴重な意見を共有する。

• Google Cloud のエキスパートとつながり、組織のデータ セキュリティ戦略を最適化し、実装を成功に導く。

ご不明な点がございましたら、Google Cloud アカウント チームにお問い合わせいただくか、dspm-pm@google.com までフィードバックをお送りください。

ー グループ プロダクト マネージャー、Colin Zhang 

ー シニア プロダクト マネージャー、Harsha Alapati