M365で終了。あなたのデータはそうではありません。

ほとんどどの中堅企業に入っても、同じようなセキュリティ設定を見つけることができます：Purview がある程度カバーされている Microsoft 365、おそらく Defender、そして最後の監査アンケートの「データ保護」の横のチェックボックス。

次に実際のSaaSのフットプリントを見ます。

Confluence。Salesforce。Box。GitHub。Jira。Slack。ワークデイ。Notion。Zendesk。DocuSign。Asana。IT部門の誰も承認した覚えのない一握りの部門ツール。

それが現在、機密データが実際に存在する場所です。そして、ほとんどの中堅企業のセキュリティチームにとって、それはブラックホールです。

Purviewが実際にカバーするもの

Purviewは、Microsoft 365用のデータ ガバナンスおよびDLPレイヤーという点では、妥当なツールです。適切なライセンス レベル (通常は E5 またはスタンドアロンのコンプライアンス アドオン) を持っていれば、SharePoint、OneDrive、Exchange、Teams のデータを分類できます。DLP ポリシーを記述できます。機密ラベルが伝播するのを確認できます。

PurviewはSalesforceのパイプラインをカバーしません。

Purviewでは、Salesforceのパイプラインをカバーすることはできません。HRツールや採用ツール、サポートツールなど、機密性の高いデータが存在する他の多くの場所についてはわかりません。

データがMicrosoftにしか存在しないのであれば、それでも構いません。Microsoft 365だけにデータがあるわけではありません。

500～3,000人規模の一般的な企業では、50～200のSaaSアプリケーションを使用しています。その中には、顧客の個人情報、財務、ソース コード、人事記録、健康情報、契約書、資格証明書などの機密データが含まれています。

そのデータのほとんどは次のようなものです：

• デフォルトで広く共有されている（SaaSアプリケーションはコラボレーションに最適化されています、
• data-list-item-id="e7cab3cf43be395a015ccf2f91f094ac7">誰もが認識しているよりもはるかに多くの人がアクセス可能
• data-list-item-id="ead74e40e4bae1bd7f94c61c38fb589f2">Invisible to the security tools the company already owns
• Growing in volume and sensitivity every quarter

誰もこれを計画しませんでした。このような事態になったのは、ビジネス チームが、セキュリティがインベントリを作成するよりも早くツールを購入したためであり、また、Microsoft 以外の SaaS に関するガバナンスの話は常に他人事だったからです。

なぜ既存の DSPM では解決できないのか

明白な答えは DSPM です。これらのプラットフォームは、特にSaaS、IaaS、および非構造化ストアにまたがるデータを発見、分類、管理するために存在します。

ここに問題があります。

これらの製品は、6桁の予算、データセキュリティの専門チーム、および長期的な展開を実行するのに十分な資金を持つフォーチュン500の企業向けに作られました。400人規模の企業にエンタープライズDSPMベンダーの立ち上げを依頼すると、通常3つの反応が順番に返ってきます。

具体的な障壁：

• コスト ほとんどのDSPMプラットフォームは、年間6桁半ばから始まります。
• DSPM プラットフォームは、年間6桁台半ばからスタートします。
• 展開の複雑さ すべてのSaaSアプリには統合が必要であり、すべての統合には認証情報とスコープが必要であり、すべてのスコープにはセキュリティレビューが必要です。無駄のないチームは、コネクタの配線に四半期を費やすことはできません。
• Operational overhead.DSPMは調査結果を生成します。所見にはトリアージが必要です。トリアージにはアナリストが必要です。ミッドマーケットのチームにはアナリストはいません。IAMを実行し、サーバーにパッチを当て、フィッシング・トレーニング・プログラムを所有するセキュリティ担当者が1人います。
• Enterprise bias baked into the product.UIは、データセキュリティアナリストが読んでいることを前提としています。ポリシーは、それを調整するチームがあることを前提としています。アラートは、誰かが調査する時間があることを前提としています。

その結果、中堅企業は、運用できないエンタープライズツールのためにお金を払うか、あるいは、運用せずに希望を持つことになります。

リスクは理論的なものではありません

私はこのパターンを繰り返し見てきました：

• IdP 以外のアプリのデプロビジョニング チェックリストは誰も所有していないため、契約解除後 90 日経っても契約社員が Salesforce にアクセスしたままになっています。
• あるエンジニアは、HubSpotから個人用のGoogleドライブに顧客リストをエクスポートします。
• 退職する営業担当者が、最終日の前にGongから3年分のアカウントデータをダウンロード。
• SOC 2 の証拠を含む設定ミスの Box フォルダーが、14 か月間「リンクを持つ誰でも」と共有されます。

これらのいずれも、Purviewでは表示されません。誰も時間をかけてカスタム作業を行わなければ、SIEM で表面化することはないでしょう。そして、ほとんどは既存の DSPM でも表面化しないでしょう。なぜなら、顧客はそもそもその SaaS アプリに対してそれを展開する余裕がなかったからです。

これらは仮定の攻撃ではありません。ダッシュボードの代わりに事後報告で表示されるものです。

なぜ未解決のままなのか

従来のDSPMモデルでは経済的にうまくいかないため、このギャップが続いています。すべてのSaaSアプリにスキャナーを構築し、コネクターを維持し、APIレート制限を処理し、スケールでデータを分類することは、高価なエンジニアリングであり、ベンダーはそれに応じて価格を設定します。ミッドマーケットのバイヤーは値崩れし、ベンダーはより大規模な案件を追い求めるために市場規模を拡大します。このサイクルは続きます。

一方で、SaaSの足跡は増え続けています。新しい部門のツール、買収、「チームのために必要だから」という購入のたびに、誰も見ていない機密データのポケットがまた1つ増えます。格差は縮まるどころか、広がる一方です。むしろ広がっています。

中堅企業のセキュリティチームはこのことを知っています。彼らは単純ではありません。彼らは、誰かのために価格設定されたツールと、悪化し続ける問題の間で立ち往生しています。ほとんどの人は、修正する余裕がないリスクと折り合いをつけるように、それと折り合いをつけています。

これが、ほとんどの中堅企業にとってのMicrosoft 365以外のデータセキュリティ姿勢管理の正直な現状です。未解決。惜しい。そして、Purviewが解決するつもりもありません。