本文の内容は、2025年7月28日に Dale Norrisが投稿したブログ(https://sysdig.com/blog/defending-sensitive-data-with-sysdig-secure)を元に日本語に翻訳・再構成した内容となっております。
個人識別情報(PII)、保護対象医療情報(PHI)、財務記録といったデータは、組織にとっても敵対者にとっても、まさに通貨のような存在です。こうしたデータは、重要な業務の原動力となり、顧客体験を向上させ、分析に基づく意思決定を強力に推進するため、サイバー犯罪者や国家機関にとって非常に価値の高い標的となっています。
機密データを脅威から守り、規制コンプライアンスを満たすことは、多くの場合、コストのかかる手作業のプロセスです。データはAWSのリレーショナルデータベースサービス(RDS)やシンプルストレージサービス(S3)バケットなど、クラウド環境全体に散在しており、データがどこにどのような形で保存されているかを把握することが困難です。同時に、多くのセキュリティプログラムは、アラートの追跡、バックログへの対応、そして対応の急ぎといった、機密データを扱うモグラ叩きのような状況に陥っています。
サイバーセキュリティに万能薬はありませんが、脅威アクターを阻止するチーム、そして開発のリスク軽減を任されている開発者の負担を軽減できるソリューションは存在します。リスクを正確に特定し、攻撃者が機密データを狙っていることを検知できれば、最も緊急性の高い脅威、脆弱性、設定ミスにも迅速に対応できます。
Data Security Findings の紹介
「データセキュリティファインディング(Data Security Findings)」は、Bedrock Security との統合によって実現された新しいアドオン機能で、現在 Sysdig Secure で利用可能です。
この機能は、貴重なデータに対するリスクを積極的に管理するために、ビジネスおよびセキュリティリーダーに必要な戦略的な明確性を提供します。実務担当者にとっては、データの所在や分類に関する見えない領域や不確実性を解消する手段となります。
データセキュリティファインディングを活用することで、継続的なスキャンと AI によるフィンガープリント機能によって、データの保存場所を特定し、保護対象となる機密データの種類を分類できます。
この情報を基に、機密データの露出を明らかにし、パッチ適用や設定ミスの修正など、是正措置を重点的に実施し、脅威に対する迅速かつ確信に満ちた対応を可能にします。
Data security findingsの主なベネフィット
Data security findings は、ソリューションやタブを切り替えることなく、スタンドアロンのクラウドネイティブなデータセキュリティポスチャー管理(DSPM)ツールに搭載されている多くの機能を組織に提供します。Data security findings を使用すると、次のことが可能になります。
- データ漏洩の検出:個人識別情報(PII)、個人健康情報(PHI)、財務データを自動的に検出・分類し、隠れたリスクを顕在化させます。これらのリスクには、機密データがセキュリティ検知の対象となることや、既知の脆弱性や設定ミスのあるデータベースやS3バケットに保存されていることなどが挙げられます。
- 修復に重点を置く:機密データが存在する脆弱なリソースや設定ミスのあるリソースへのパッチ適用と構成修正を優先します。セキュリティアナリストが脆弱性を発見した後でも、開発者が多忙なためパッチ適用に数日、数週間、数か月、あるいはそれ以上かかる場合があります。機密データが危険にさらされている時期を特定できれば、セキュリティチームは開発者に状況説明を提供でき、開発者はより効果的な作業に集中できるようになります。
- 脅威のコンテキスト化:攻撃経路上の機密データを可視化することで、影響範囲を迅速に把握し、最も重要なアラートを確実に上位に表示できます。Sysdig Secure の攻撃経路分析は、攻撃者が機密データにアクセスするために悪用する可能性のあるクリティカルパスを迅速かつ効率的に特定する方法を提供します。この機能は、潜在的なリスクとリアルタイムイベントのギャップを埋め、攻撃が横方向に広がる前に阻止することを可能にします。
これらの機能を組み合わせることで、セキュリティ チームと DevOps チームは機密データをより自信を持って効率的に保護できるようになります。
Sysdig Data security findings のユースケース
Data security findings は、次のような幅広いデータ中心のユース ケースをサポートします。
- 規制コンプライアンスの向上:コンプライアンスに準拠したレポートを提供します。PII(個人識別情報)、PHI(医療情報)、財務データを識別、分類、保護することで、情報に基づいた対応が可能になり、罰則を回避し、HIPAA、GDPR、PCI DSSなどの規制を遵守できます。
- インシデント対応コンテキストの強化:影響を受けるリソースに機密データが含まれているかどうかを迅速に識別し、爆発範囲を即座に把握して対応の優先順位を決定できます。
- 機密データの漏洩によるビジネス リスクを定量化して軽減します。漏洩したデータを特定し、リスク パスをマッピングし、修復の優先順位を決定して、侵害の可能性を軽減します。
- プロアクティブな脆弱性と誤った構成の管理を可能にする:データ セキュリティの検出結果の情報を使用してパッチ適用と構成の修正に優先順位を付けることで、MTTR を短縮し、セキュリティ チームと DevOps チーム間の連携を改善します。
これらの重要なユースケースに対応することで、Sysdig Data security findings は、組織がセキュリティに対してプロアクティブでデータ主導のアプローチをとるのに役立ちます。ユーザーはリスクを最小限に抑え、脅威への対応を迅速化し、脆弱性や構成ミスの管理を加速できます。
クラウドネイティブ サイバーセキュリティを強化
データセキュリティの知見が追加されたことで、Sysdigはリスク検出と修復の強化、可視性ギャップの削減、ツールの無秩序な拡散の防止を目的とした機能ポートフォリオの拡充を続けています。Sysdig Secureのその他の機能には、以下が含まれます。
クラウド セキュリティ ポスチャー管理 (CSPM):コンプライアンス リスクと構成ミスを監視、特定、修正できます。CSPM 機能は、攻撃の防止を強化し、ランタイム インサイトによるセキュリティ ハイジーン (衛生状態) の改善、本番環境での使用状況の把握に役立ちます。
クラウド ワークロード保護 (CWP):クラウドとオンプレミスのアーキテクチャー全体の物理サーバー、仮想マシン、コンテナ、サーバーレス機能に対して、詳細なランタイム可視性と制御を備えた強力なセキュリティを提供します。
クラウド検知・対応(CDR):クラウド攻撃は急速に広がり、10分以内に発生します。オープンソースのFalcoを基盤とするSysdig CDRは、クラウド資産とアクティビティをリアルタイムで可視化し、クラウド検知・対応の555ベンチマークを満たします。
脆弱性管理:ディープランタイムと AI を活用した修復のガイダンスを組み合わせることで、影響の大きい修正を特定し、迅速かつ確実に対処できるようになります。
クラウド インフラストラクチャーエンタイトルメント管理 (CIEM):クラウド リソースの包括的なビューを提供し、不正アクセスや横方向の移動を防止します。
まとめ
約95%の企業がクラウドを活用している [1] 現代において、クラウドインフラはイノベーションを加速させ、運用負荷を軽減する一方で、機密データの保護をより困難にする側面もあります。クラウドの複雑性はデータの可視性における盲点を生み出し、実際に83%の組織が可視性のギャップを抱えていると回答しています [2]。こうしたギャップはリスクを高め、対応の遅れにもつながります。
「Data Security Findings」を活用すれば、リスクを迅速に特定し、攻撃者が機密データを標的としている兆候を検知できます。これにより、脆弱性や設定ミスへの対応を自信をもって進められ、最も緊急性の高い脅威への対応に最適な体制を整えることが可能になります。
[1] Colorlib, “Cloud Computing Statistics,” July 2024.
[2] Bedrock Security, 2025 Enterprise Data Security Confidence Index, 2025.