Data Protection and Classification (データ保護・分類)

article technology medium #DLP#データ分類#DSPM#Microsoft Purview#データセキュリティ#cybersecurity#data-security
Created: 2026-05-31 Updated:

データ中心セキュリティの要となるデータ分類・DLP・DSPM の三層構造を解説。機密度ラベルから AI エージェントの over-sharing 監視まで、2025 年の最新動向を含めて俯瞰する。

データ保護・分類

「何を守るか知らなければ守れない」——データセキュリティの出発点はデータそのものの把握にある。データ分類によって機密度を特定し、DLP(Data Loss Prevention)で流出を阻止し、DSPM(Data Security Posture Management)でクラウド横断の状態を継続監視する。この三層が揃って初めて「データ中心セキュリティ」が機能する。本記事ではそれぞれの役割と実装、2025 年時点の最新動向(AI エージェントリスクを含む)を俯瞰する。

データ中心セキュリティという考え方

従来のセキュリティはネットワーク境界やデバイスを守る「境界防御」が主体だった。クラウド普及・リモートワーク・マルチクラウドの時代には境界が消失し、データそのものにセキュリティコントロールを付随させる「データ中心セキュリティ(Data-Centric Security)」が要となった。

データ中心セキュリティの三つの問いは「このデータは何か(分類)」「どこに行くべきでないか(DLP)」「今どこに何があるか(DSPM)」である。これらを答えるコントロールが連動して初めて実効的な保護が生まれる。

データ分類:機密度ラベルによる可視化

データ分類(Data Classification)はデータに機密度ラベルを付与し、そのラベルに基づいてコントロールを適用するプロセスである。

分類レベルの例(組織により異なる):

レベル取り扱い要件
公開(Public)プレスリリース・製品カタログ制限なし
社内(Internal)社内議事録・業務メール社外共有要承認
機密(Confidential)顧客データ・財務情報暗号化・アクセス制限必須
極秘(Highly Confidential)M&A 計画・個人情報(PII)・秘密鍵厳格な Need-to-Know

自動分類技術は機械学習・正規表現・フィンガープリントを組み合わせてデータをスキャンしラベルを付与する。Microsoft Purview Sensitivity Labels は Office 365 / SharePoint / Teams / OneDrive 上のドキュメント・メールに感度ラベルを付与し、ラベルに基づいて暗号化・透かし・アクセス制御を自動適用する。GDPR・HIPAA・PCI DSS などの規制要件と連動させることで「規制対象データの自動特定→コントロール適用」のパイプラインを構築できる。

分類の精度を上げる要素として「コンテンツ分析(ファイル内容)」「コンテキスト分析(アプリケーション・場所・共有相手)」「ユーザー指定(手動ラベル付け)」の三つを組み合わせることが重要だ。

DLP:データ流出防止のポリシー強制

DLP(Data Loss Prevention)は機密データが不正に組織外へ流出することをリアルタイムで検出・阻止するコントロールである。

DLP の実装形態は三層に分かれる。

エンドポイント DLP はエンドユーザーのデバイス上でファイル操作を監視する。USB へのコピー・印刷・スクリーンショット・クラウドアップロードなどのアクションに対し、ポリシーに基づいてブロック・警告・暗号化・監査ログを実行する。

ネットワーク DLP はプロキシ・ゲートウェイ・メールフィルターでトラフィックをインスペクションする。平文 HTTP・メール添付・クラウドストレージ同期クライアントを検査し、機密データの送信を遮断する。TLS インスペクション(SSL Inspection)により暗号化トラフィックも対象にできる。

クラウド DLP(CASB 統合) は SaaS アプリケーション(Google Drive・Slack・Salesforce 等)上のデータを API 経由で監視・強制する。CASB(Cloud Access Security Broker)と統合することでシャドー IT も対象に含められる。

コンテンツ検査技術としては正規表現(クレジットカード番号・社会保障番号パターン)・キーワードマッチング・機械学習モデル・データフィンガープリント(既知ドキュメントのハッシュ照合)が使われる。

DLP の主要アクションは「ブロック(送信拒否)」「暗号化(送信前に自動暗号化)」「警告(ユーザーに確認)」「監査ログ(記録のみ)」の四段階から選択できる。

DSPM:クラウド横断の継続的データリスク管理

DSPM(Data Security Posture Management)は DLP が「フロー(データの動き)」を守るのに対し、「ポスチャー(データの状態・配置)」を継続的に監視・評価する。

DSPM が解く問題:クラウド移行後に「機密データが S3 バケットに公開されている」「データベースに過剰なアクセス権がある」「未知のデータストアに PII が散在する」といった状況が生まれる。従来のポイントインタイムな監査では追いつかない。DSPM はクラウド / ハイブリッド横断でデータを自動発見・分類し、リスクを継続評価する。

DSPM の主要機能

  1. データ発見(Discovery):構造化 DB・非構造化ストレージ・SaaS・データレイク横断でデータを自動スキャン
  2. 分類・感度評価:PII / PHI / PCI など規制対象データを特定
  3. リスク評価:過剰権限・暗号化未適用・公開設定・地理的コンプライアンス違反を検出
  4. 継続監視:設定変更・アクセスパターン変化をリアルタイムで検知

主要 DSPM 製品として Microsoft Purview DSPM(2026-04〜05 に GA、情報カットオフ ~2025-08 時点での確認情報)・Varonis・Cyera・BigID・OneTrust が挙げられる。2025 年には GCP・Snowflake・Databricks への対応が進んでいる。

DLP vs DSPM の役割分担

観点DLPDSPM
焦点データの「移動」データの「状態・配置」
タイミングリアルタイム強制継続的評価
対象エンドポイント・ネットワーク・クラウド APIクラウドインフラ・データストア
主な出力ブロック・警告・ログリスクスコア・インベントリ・修正提案

両者は補完関係にあり、多くの組織で統合された「Data Security Platform」として提供されるようになっている。

AI エージェントリスク:Over-sharing と Exfiltration 監視

2025 年以降、生成 AI・AI エージェントの業務利用が急拡大したことで、新たなデータリスクが顕在化している。

Over-sharing(過剰共有):AI エージェントが「役に立とうとして」必要以上の機密情報を応答に含める問題。エージェントがベクターデータベースや RAG ソースから機密文書を引用する際、それが意図せず外部に露出するケースが増えている。

Exfiltration(意図的漏洩):プロンプトインジェクション攻撃によって AI エージェントが機密データを攻撃者のエンドポイントに送信させられる脅威。

Microsoft Purview DSPM の 2025 年アップデートでは AI エージェントの over-sharing 監視・exfiltration 検出機能の追加が報告されている(情報カットオフ ~2025-08 で確認済み;2026-05 時点での最新機能状況は要確認)。Varonis / Cyera / BigID 等のサードパーティ DSPM ベンダーも AI 対応を進めている。

暗号化・アクセス制御との連携

データ分類・DLP・DSPM は単体ではなく、暗号化(tech-133)・アクセス制御(tech-127)と組み合わせて初めて完全な保護を形成する。

一般的な連携パターン:

  • 分類ラベル「Highly Confidential」→ 自動暗号化(AES-256)+ アクセスログ強化
  • DLP でブロックできなかったデータ → 暗号化で読めない状態を担保
  • DSPM でリスク検出 → アクセス制御の自動修正(過剰権限の剥奪)

アンチパターン:よくある失敗

アンチパターンリスク
分類なしで DLP ポリシーを構築ポリシーが曖昧になり誤検知・過検知が多発、ユーザーが回避策を学習
DSPM の可視化だけで強制なし問題が分かっても修正されない「アラート疲れ」状態に陥る
AI エージェントを DLP・DSPM のスコープ外にOver-sharing / exfiltration リスクが死角になる
過検知によるユーザー回避ユーザーが個人デバイス・個人アカウントを使い始め逆効果

Local graph