生成AI・量子コンピューターの時代にはDSPMによるデータの可視化と暗号鍵の管理が最重要に

　「生成AI（人工知能）技術の利用に伴い企業のセキュリティ担当者が抱える不安は明確に変化した。非構造化データの管理不全と、量子コンピューターの実用化に備えた暗号技術の更新である」──。タレスDISジャパン サイバーセキュリティプロダクト事業本部 シニアセールスエンジニアマネージャの舟木 康浩 氏は、生成AI時代を迎えた企業の課題を、こう指摘する（写真1）。

写真1：タレスDISジャパン サイバーセキュリティプロダクト事業本部 シニアセールスエンジニアマネージャの舟木 康浩 氏

　これら2つの懸念は、仏タレスが毎年実施しているグローバル調査の結果に基づくもの。同社は、航空宇宙や防衛、金融などの領域でセキュリティ事業をグローバルに展開する。

　懸念点の１つである非構造化データの管理不全とは、企業内で日々、大量に生成される非構造化データの大半が、管理所在が不明確なままな状態を指す。　従来は「活用されずシステムに読みこまれず安全なデータ」（舟木氏）が、AIシステムに解析対象として取り込まれるようになったことで「意図しない情報漏えいや権限管理の不備を突いた誤用リスクが顕在化してきた」（同）

　一方、量子コンピューターの進化は、既存の暗号技術を根底から揺るがす問題だ。これまでの暗号強度は「解読に要する計算量の膨大さに依存していた」（舟木氏）。この前提を量子コンピューターによるアルゴリズムが崩し「現在の暗号を容易に突破する可能性がある」（同）

増える「シャドーデータ」を含めた全データをDSPMで可視化する

　これら2つの課題への現実解として舟木氏は、データの所在と状態を常時把握する「DSPM（Data Security Posture Management：データセキュリティ態勢管理）」を中核にしたデータセキュリティの再構築を提唱する。

　DSPMは、オンプレミスやクラウドの別を問わず、組織のデータ環境全体を可視化し、データの種類や所在、アクセス権限、リスクレベルを継続的に監視・管理するフレームワークである（図1）。

図1：「DSPM」はデータをあらゆるリスクから保護するためのフレームワークである

　クラウドの利用拡大に伴い、IT部門やセキュリティ部門の管理外にある「シャドーIT」が増加している。それに付随して、その存在が把握されていない「シャドーデータ」が大量に蓄積されている。舟木氏は「保護すべき対象が見えていなければ守りようがない。DSPMはシャドーデータを含めた全データの特定から始まる」と話す。

　タレスが定義するDSPMの主要機能は次の5つである。

（1）発見と分類 ：クラウド、オンプレミス、アプリケーションなどのハイブリッド環境全体から機密データを自動検出する
（2）リスク評価 ：発見されたデータの機密性、付与されている権限、暗号化状況をスコアリングする
（3）コンプライアンス監視 ：「GDPR（EU一般データ保護規則）」や「PCI DSS（Payment Card Industry Data Security Standard：クレジットカード業界特有のセキュリティ基準）」などの規制への準拠状況を追跡・監視する
（4）異常検知 ：通常と異なるアクセスパターンを検出し、不審な挙動を特定する
（5）データ保護 ：適切な鍵管理技術により、あらゆる場所に存在するデータに暗号化を適用する

　特に重要だと舟木氏が指摘するのが「データ保護」、すなわち暗号鍵の管理である。「どれほど強固な暗号化を施しても、復号に必要な『鍵』がデータと同じ場所、あるいはクラウド事業者のブラックボックス内にあっては意味をなさない」（同）からだ。