生成 AI の業務利用拡大、マルチクラウド化、SaaS 乱立を背景に、機密データが「どこにあるか分からない」状態が中堅企業 (300-3,000 名) で深刻化しています。Gartner は 2024 年の Hype Cycle for Data Security で DSPM (Data Security Posture Management) を「Innovation Trigger を抜けたカテゴリ」として位置付け、2026 年までに大企業の 20% 以上が DSPM を導入すると予測しました (Gartner Hype Cycle for Data Security, 2024)。本稿では、中堅企業の情シス・CISO が DSPM をどう選び、どの順番で入れ、どう改正個情法と AI ガバナンスに繋ぐかを 8 つの論点で整理します。
目次
- DSPM とは / DLP・CSPM との違い
- 中堅企業で DSPM が必要になる 4 つの背景
- 主要 DSPM ベンダー比較 (Sentra / Cyera / Palo Alto Dig Security / Microsoft Purview / 国産)
- 段階導入 Phase 1-4 (棚卸し → 自動分類 → ポリシー → SOC 統合)
- 中堅企業の費用感 (PoC 200-500 万円 / 中規模 1,000-3,000 万円 / 大規模 5,000 万-1.5 億円)
- 改正個人情報保護法 (2026 年 4 月施行) 対応のポイント
- AI 学習データガバナンス (分類 / 漏えい / OPA Policy)
- FAQ
- 関連記事
DSPM とは / DLP・CSPM との違い
DSPM (Data Security Posture Management / データセキュリティポスチャ管理) は、クラウド・SaaS・オンプレに分散した機密データの所在・分類・アクセス権・露出リスクを自動的に発見し、姿勢 (Posture) として継続管理するセキュリティカテゴリです。Gartner は DSPM の主要ケイパビリティとして「シャドーデータの発見」「データ分類の自動化」「アクセス経路 (Lineage) の可視化」「リスクの優先度付け」の 4 つを挙げています。
従来の周辺カテゴリとの違いは次のとおりです。
| カテゴリ | 守る対象 | アプローチ | 代表ベンダー |
|---|---|---|---|
| DLP (Data Loss Prevention) | データの「出口」 | ネットワーク / エンドポイントの通信を検査し漏えいをブロック | Symantec, Trellix, Forcepoint |
| CSPM (Cloud Security Posture Management) | クラウド「設定」 | IaaS の構成ミス (公開バケット等) を検出 | Wiz, Prisma Cloud, Orca |
| DSPM | データ「そのもの」 | データを横断的に発見・分類しリスクを継続評価 | Sentra, Cyera, Palo Alto Dig Security, Microsoft Purview |
| DDR (Data Detection and Response) | データへの「振る舞い」 | DSPM のリスクをトリガに検知・対応を自動化 | Cyera, Sentra (DDR モジュール) |
まとめ:DLP は出口、CSPM は設定、DSPM はデータそのものを主語にします。中堅企業ではこの 3 つを別々に運用するのではなく、データの所在を DSPM で押さえた上で DLP と CSPM のポリシーを動的に更新するのが 2026 年の標準設計です。
DSPM が解決する 3 つの「見えない問題」
具体的に DSPM がカバーする課題を整理すると、次の 3 つに集約されます。
- シャドーデータ問題:誰がいつ作ったか分からないバケット・スプレッドシート・Notion ページに機密情報が残存
- 権限肥大化問題:退職・異動・部署統合の繰り返しで、個人や Service Account に過剰権限が累積
- 越境問題:意図せず海外リージョンや海外 SaaS にデータがコピーされ、データレジデンシー違反となる
これら 3 つは IAM ツール単体・CSPM 単体では検出できず、DSPM のように「データを主語に横串で見る」仕組みが必要です。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
中堅企業で DSPM が必要になる 4 つの背景
中堅企業 (300-3,000 名) で DSPM の問い合わせが急増しているのは、次の 4 つが同時に進行しているためです。
1. マルチクラウド化でデータの所在が見えない
AWS / Azure / Google Cloud に加え、Snowflake / Databricks / BigQuery などのデータウェアハウス、Salesforce / HubSpot / kintone などの SaaS が並存し、機密データの「どこにあるか」を IT 部門が把握できない状態が常態化しています。IPA「企業における情報セキュリティの実態調査」(2024 年版) によれば、従業員 300-1,000 名規模の企業の約 4 割が「クラウド上のデータの全量把握ができていない」と回答しています。
2. 退職連鎖と「シャドーデータ」の蓄積
クラウドストレージ (Box / Dropbox / Google Drive) と GitHub / Notion / Confluence を併用する企業では、退職者が作ったフォルダ・リポジトリ・スペースが孤児化し、機密データがシャドーデータ (Shadow Data) として残存します。Sentra の調査 (2024 年「State of Cloud Data Security」) では、エンタープライズの平均で本番データの約 60% が分類管理外のシャドーデータと報告されています。
3. SaaS の乱立と OAuth 連携の管理負担
中堅企業の SaaS 導入数は 50-150 本に達することが多く、OAuth で繋がった SaaS 間でデータが横断的に流通します。SaaS A の権限変更が SaaS B に流れ込むデータ範囲を変える、といった連鎖を手動で管理することは事実上不可能です。
4. AI 学習データの汚染と再漏えいリスク
社内文書を ChatGPT / Microsoft Copilot / 独自 RAG に投入する流れが加速し、学習データに個人情報・機密が混入する事故が相次いでいます。学習元のデータがシャドーデータだった場合、回答経由で社外に再漏えいするリスクが高まります。DSPM はこの「学習元の浄化」工程を自動化する役割を担います。
特に Microsoft 365 Copilot は「テナント内の全データを既存権限のまま参照可能」という特性を持つため、過剰権限が付いた共有フォルダの中身が、本来アクセス権を持たない従業員にも回答経由で露出する事故が複数報告されています。DSPM で「過剰共有検知 (Oversharing Detection)」を回し、Copilot 展開前にラベル整備と権限縮小を行うのが鉄則です。
主要 DSPM ベンダー比較 (Sentra / Cyera / Palo Alto Dig Security / Microsoft Purview / 国産)
中堅企業向けに 2026 年時点で評価対象に挙げられる主要ベンダーは次の 5 系統です。
| 製品 | 特徴 | 強み | 中堅向け費用感 (年額目安) | 日本語サポート |
|---|---|---|---|---|
| Sentra | クラウドネイティブ DSPM の先駆。Agentless スキャン | シャドーデータ発見が高速。DSPM + DDR 統合 | 800-2,500 万円 | パートナー経由 |
| Cyera | DSPM + DDR + Identity Fabric。AI 分類精度が高い | 個人情報・PCI / PHI の自動タグ付けが強力 | 1,000-3,000 万円 | パートナー経由 |
| Palo Alto Dig Security | Palo Alto が 2023 年に Dig 買収。Prisma Cloud と統合 | 既存 Prisma / Cortex 顧客に親和的 | 1,200-3,500 万円 | 直販 + パートナー |
| Microsoft Purview | M365 / Azure / Fabric ネイティブ。E5 ライセンス内包あり | M365 中心の中堅企業はライセンスで賄える | E5 アドオンで実質 +¥1,800/ユーザー/月 | Microsoft 直販 |
| 国産 (FFRI / NRI セキュア / NEC 等) | オンプレ・閉域網対応。SI が伴走 | 金融 / 製造の閉域要件、調達コンプラ | 1,500-4,000 万円 | 直販 |
選定の鉄則:M365 ヘビーユーザーは Purview が最初の検討対象です。E5 / E5 Compliance ライセンスに DSPM 機能 (旧 Microsoft Purview Data Map / Information Protection) が大半含まれるため、追加投資を最小化できます。AWS / Azure / GCP マルチクラウドで Snowflake / Databricks に大量データがある企業は Sentra / Cyera / Dig Security を本命に据え、PoC で精度と運用負荷を比較するのが現実的です。
ベンダー選定の補助評価軸
価格と機能だけでなく、次の 5 軸で比較することを推奨します。
| 評価軸 | 確認ポイント |
|---|---|
| データソース対応数 | AWS S3 / Azure Blob / GCS / Snowflake / Databricks / M365 / Google Workspace / Salesforce / GitHub の網羅性 |
| 分類精度 | 日本語 PII / 健康情報 / マイナンバー / 法人番号の検出精度 (PoC で誤検知率 5% 以下が目安) |
| 運用負荷 | アラート粒度・自動チケット起票・SOC 連携の容易さ |
| Time to Value | PoC から本番運用までの期間 (中堅で 6-9 ヶ月が目標) |
| 国内サポート | 日本語ドキュメント・障害対応時間帯・パートナーの厚み |
注意:海外ベンダーの「日本語対応」は機能 UI の翻訳止まりで、分類モデルが日本語に最適化されていないケースもあります。PoC 時に必ず日本語の実データで分類精度を確認してください。
段階導入 Phase 1-4 (棚卸し → 自動分類 → ポリシー → SOC 統合)
中堅企業で DSPM を 12-18 ヶ月かけて入れ切る標準プロセスを 4 フェーズに分解します。
Phase 1: データ棚卸し (1-3 ヶ月、PoC 200-500 万円)
対象クラウド・SaaS・データウェアハウスを 2-3 種に絞り、Agentless スキャンで「どこに何があるか」のインベントリを作ります。この段階では分類はせず、量と所在の把握に徹します。アウトプットは「機密データ候補リスト」「シャドーデータ件数」「公開状態のオブジェクト数」の 3 つです。
Phase 2: 自動分類とラベリング (3-6 ヶ月、500-1,500 万円)
PII (個人情報) / PCI (カード情報) / PHI (医療情報) / 営業秘密 / 知財 / ソースコードといった分類軸を定義し、DSPM の AI 分類エンジンに学習させます。この段階で**改正個人情報保護法の「要配慮個人情報」「個人関連情報」**のタグも付与しておきます。誤検知率を 5% 以下まで下げるチューニングが必要です。
Phase 3: ポリシーとアクセス制御 (3-6 ヶ月、500-1,500 万円)
分類結果を IAM / クラウド DLP / SaaS の権限設定に反映し、「PII を含むバケットは Public 不可」「営業秘密ラベルは AI 学習対象から除外」などのポリシーを自動適用します。OPA (Open Policy Agent) を Policy as Code のレイヤーに据え、Git 管理する設計が中堅以上の標準です。
Phase 4: SOC / SIEM 統合と DDR (3-6 ヶ月、500-1,500 万円)
DSPM のアラートを SIEM (Splunk / Sentinel / Chronicle) と SOAR に流し込み、DDR (Data Detection and Response) として「異常アクセス → 自動隔離」までを自動化します。ここまで来て初めて「ポスチャ」が継続的に維持される運用に到達します。
各 Phase の合否判定 checklist
PoC・本番の各段階で「次に進んで良いか」の判定基準を明確化しておくと、ベンダーとの SI 契約交渉が楽になります。
| Phase | 完了判定の最低ライン |
|---|---|
| Phase 1 | 対象クラウドのデータインベントリ網羅率 90% 以上、シャドーデータ件数のレポート提出 |
| Phase 2 | 主要 5 分類 (PII / PCI / 健康情報 / 営業秘密 / ソースコード) の誤検知率 5% 以下、ラベル付与率 95% 以上 |
| Phase 3 | リスクスコア上位 10% のオブジェクトに対するアクセス制御適用完了、Policy as Code の Git 管理開始 |
| Phase 4 | SIEM への DSPM アラート流入、Critical アラートの平均一次対応時間 (MTTR) 60 分以下 |
各 Phase の合否判定をベンダーと事前合意しておくのが、頓挫を防ぐ最大のコツです。
中堅企業の費用感 (PoC 200-500 万円 / 中規模 1,000-3,000 万円 / 大規模 5,000 万-1.5 億円)
予算配分の目安を規模別に整理します。
| 規模 | 対象範囲 | 期間 | 概算費用 (年額) | 主要コスト |
|---|---|---|---|---|
| PoC | クラウド 1-2 種 + SaaS 5 本 | 3 ヶ月 | 200-500 万円 | ライセンス + 伴走 SI |
| 中規模 | マルチクラウド + SaaS 30 本 | 12 ヶ月 | 1,000-3,000 万円 | DSPM 製品 + 分類設計 + IAM 連携 |
| 大規模 | 全社 + DDR + SIEM 統合 | 18-24 ヶ月 | 5,000 万-1.5 億円 | DSPM + DDR + SOC 自動化 + ガバナンス組織化 |
注:上記は 2026 年 4 月時点の主要ベンダー公開情報および国内 SI パートナーのヒアリングに基づく一般的な目安です。実費用は対象データ量・クラウド数・既存ライセンス保有状況により大きく変動します。
PoC は「一気に全社」よりも「最も漏えいリスクが高いクラウドや SaaS 1-2 種」に絞り、3 ヶ月で意思決定材料を揃えるのが鉄則です。
コスト圧縮の 4 つの工夫
中堅予算で DSPM を入れ切るための実務的なコスト圧縮策です。
- 既存 M365 E5 ライセンス活用:Purview の DSPM 機能は E5 / E5 Compliance に多くが含まれており、追加投資ゼロで Phase 1-2 相当を回せるケースがある
- 対象データの優先度付け:「全データ即時カバー」ではなく「PII 含有率の高いデータストアから順次」とし、ライセンス課金単位 (TB / 行数) を抑える
- PoC ベンダー数を 3 社に絞る:書類審査で 5 社 → デモで 3 社 → PoC で 2 社、と段階的に絞ることで PoC コストを 40-50% 圧縮
- SI パートナーの伴走範囲を分解:「設計だけ SI、運用は内製」「Phase 1 のみ SI、Phase 2 以降は内製化」など、SI 契約をフェーズ別に分割
特に 1 番の M365 E5 活用は見落とされがちで、ライセンス再点検だけで初年度 500-1,000 万円の追加投資を回避できる中堅企業が一定数存在します。
改正個人情報保護法 (2026 年 4 月施行) 対応のポイント
個人情報保護委員会は 2026 年 4 月施行の改正個人情報保護法において、漏えい時の本人通知義務の厳格化、要配慮個人情報の取扱い、個人関連情報の第三者提供規律などを強化しています (個人情報保護委員会公式)。中堅企業が DSPM 導入時に最低限カバーすべきポイントは次の 4 つです。
- 個人データの所在マップ整備:どのクラウド・SaaS・帳簿に個人情報があるかを継続的に可視化。漏えい発生時の影響範囲算出を自動化する
- 要配慮個人情報の自動タグ付け:健康情報・犯罪歴・人種・信条等を別ラベルとし、より厳格なアクセス制御を適用
- 個人関連情報の取扱い記録:Cookie / 行動履歴等が「個人関連情報」となる場合の第三者提供記録を自動収集
- 越境移転の可視化:データレジデンシー (どのリージョンに保管されているか) を DSPM で常時監視し、越境発生時にアラート
DSPM の分類タグ設計時に、改正法のラベル体系を最初から組み込んでおくと、後の法令対応コストが大幅に下がります。
改正個情法のラベル mapping (推奨)
DSPM のタグ設計に直接落とせる mapping 表を載せます。あくまで実装の出発点で、自社の業種・取扱情報に応じてカスタマイズしてください。
| 個情法上の区分 | DSPM ラベル例 | アクセス制御の最低水準 |
|---|---|---|
| 個人情報 (基本) | pii.basic | 部署単位の権限管理 + 監査ログ |
| 要配慮個人情報 (健康・犯罪歴・人種等) | pii.sensitive | 担当者個別承認 + DLP 強制 + 暗号化必須 |
| 個人関連情報 (Cookie・行動履歴) | pii.related | 同意管理 (CMP) ログとの紐付け |
| 仮名加工情報 | pii.pseudonymized | 識別情報との分離保管必須 |
| 匿名加工情報 | pii.anonymized | 再識別防止策の運用記録 |
| マイナンバー | mynumber | 物理 + 論理の二重統制、最小ユーザのみ |
法令対応とアクセス制御を「ラベル → ポリシー」で機械的に対応付けることで、監査時の説明コストが下がり、漏えい発生時の本人通知範囲算出も自動化できます。
AI 学習データガバナンス (分類 / 漏えい / OPA Policy)
生成 AI の社内利用が拡大する 2026 年は、「学習元データの分類管理」が DSPM の最大の付加価値領域になります。設計の要点は 3 つです。
1. 学習元データの分類
社内 RAG / Copilot / 独自 LLM のインデックス対象データに対し、**「学習可」「学習不可」「マスキング後のみ学習可」**の 3 値ラベルを DSPM で自動付与します。営業秘密・PII・PCI は原則「学習不可」、技術ドキュメントは「学習可」、契約書は「マスキング後のみ」が一般的な設計です。
2. 漏えい検知 (Prompt / Output)
ユーザの prompt と AI の output を DLP / Guardrail に通し、PII や営業秘密の流出を検知。DSPM は出口側ではなく、入口の学習データ側を浄化する役割を担います。両者の併用が必須です。
3. OPA Policy as Code
OPA (Open Policy Agent) を Policy as Code のレイヤーに据え、「PII ラベル付きデータは Production index に投入禁止」「越境移転禁止データは AWS Bedrock の us-east リージョン送信を拒否」といったポリシーを Git 管理します。NIST AI Risk Management Framework および ISO/IEC 42001 (AI マネジメントシステム) の要件にも沿う設計です。
AI ガバナンス運用の 5 つの実務 KPI
DSPM × AI ガバナンスの運用品質を測るには、次の 5 つの KPI を月次でレビューすると有効です。
- 学習禁止データの誤投入件数:「学習不可」ラベル付きデータが RAG / Copilot のインデックスに含まれてしまった件数 (目標:ゼロ)
- PII マスキング率:マスキング対象データのうち、実際にマスク処理されてから学習投入された割合 (目標:99% 以上)
- 過剰共有検知件数の月次変化:オープン共有・全社共有の機密ラベル付きオブジェクト数の推移 (目標:月次 -10%)
- OPA ポリシー違反のブロック件数:Policy as Code が実際にブロックした AI 経由のデータ参照件数 (目標:可視化のみ、ゼロを目指さない)
- データ越境アラート件数:意図せぬ海外リージョンへのデータコピー検知件数 (目標:30 日以内に全件解消)
これらは経営報告にも転用しやすく、CISO レポートの定型項目として組み込むのが推奨です。
CTA: DSPM 導入レディネス診断
「自社のクラウド・SaaS にどれくらいシャドーデータがあるか」「どのベンダーから検討すべきか」を 30 分の無料診断で整理します。
FAQ
Q1. DSPM と DLP は両方入れる必要がありますか
はい。DSPM は「データの所在と分類」、DLP は「データの出口での流出防止」を担う異なるレイヤーです。DSPM で分類した結果を DLP のポリシーに自動反映する連携が 2026 年の標準設計です。
Q2. 中堅企業 (500 名規模) で PoC のミニマム予算はいくらですか
クラウド 1-2 種 + SaaS 5 本に絞った 3 ヶ月の PoC で 200-500 万円が目安です。Microsoft 365 E5 ライセンス保有企業は Purview の追加コストなしで Phase 1 相当の棚卸しが可能なケースもあります。
Q3. Microsoft Purview だけで十分ですか
M365 / Azure 中心で SaaS 数が少ない企業は Purview のみで完結することがあります。AWS / GCP / Snowflake / Databricks に重要データがある場合は、Sentra / Cyera / Dig Security 等の専業ベンダーを併用するのが一般的です。
Q4. シャドーデータの発見数が多すぎて手が回らないときの優先順位は
「公開状態 (Public)」「PII / PCI / PHI を含む」「最終更新が 1 年以上前」の 3 軸で優先度を付け、上位 5% から処理するのが現実的です。DSPM のリスクスコアリング機能を活用します。
Q5. AI 学習データの分類は DSPM だけで完結しますか
DSPM は学習元データの分類とラベリングを担いますが、prompt / output 段階の漏えい防止には別途 AI Guardrail (Microsoft Prompt Shields, Lakera, Protect AI 等) の併用が必要です。
Q6. 改正個人情報保護法に DSPM は必須ですか
法令上「DSPM 必須」とは規定されていません。ただし、漏えい時の本人通知義務厳格化に対応するには「どのクラウドのどの場所に誰の個人情報があるか」を即座に算出できる仕組みが事実上必要となるため、DSPM が最も近い実装手段になります。
Q7. 国産 DSPM と海外製のどちらを選ぶべきですか
閉域網要件・調達コンプラ (政府系・防衛・金融) では国産が有利、マルチクラウド・SaaS が中心であれば海外製の機能優位が大きいというのが 2026 年時点の傾向です。両者でショートリスト 3 社の PoC 比較を推奨します。
Q8. SOC を内製していなくても DSPM は導入できますか
可能です。Phase 1-3 までは内製情シスでも回せます。Phase 4 (SOC / DDR 統合) は MSSP (Managed Security Service Provider) との分業が中堅企業の現実解です。
Q9. 既存の Microsoft Purview と専業 DSPM を併用するメリットはありますか
はい、特に M365 中心 + AWS / Snowflake 併用の中堅企業では一般的です。Purview で M365 / Azure を、専業 DSPM で AWS / Snowflake / Databricks をカバーし、リスクスコアを統合ダッシュボードで集約するのが推奨設計です。
Q10. ベンダー選定までの社内合意プロセスはどう進めるべきですか
CISO / 情シス / 法務 / 事業部のステークホルダーを早期に巻き込み、Phase 1 PoC の対象データ・期間・KPI を握ることが最優先です。「全社一気導入」を提示すると稟議が止まる確率が高いため、PoC の小さな成功を積み上げる進め方が中堅では現実的です。
関連記事
- DLP(情報漏えい防止)導入ガイド|機密データの流出を防ぐ仕組みと費用
- 生成 AI 社内利用ガイドライン策定の実務 - 中堅企業向け
- SOC2 / ISO27001 取得の費用感と段階整備プラン
- マルチクラウド構成のセキュリティ統制 - CSPM 選定 2026
CTA: 個別相談 (DSPM 設計・ベンダー選定)
「自社のクラウド構成・SaaS 数・既存 M365 ライセンスから最適な DSPM ベンダーを 1 社に絞りたい」「PoC スコープと予算を 1 時間で整理したい」といったご相談は、GXO のセキュリティ・データガバナンス専門チームが個別に対応します。
参考資料
- Gartner Hype Cycle for Data Security, 2024 — DSPM カテゴリの市場ポジション
- 個人情報保護委員会 (PPC) - 改正個人情報保護法 — 2026 年 4 月施行内容
- IPA 企業における情報セキュリティの実態調査 2024 — 中堅企業のクラウドデータ把握状況
- NIST AI Risk Management Framework — AI 学習データガバナンスのフレーム
- ISO/IEC 42001:2023 AI Management System — AI マネジメントシステム国際規格
- Sentra - State of Cloud Data Security 2024 — シャドーデータ統計
- Microsoft Purview 公式 — M365 / Azure ネイティブ DSPM
- Cyera 公式 — DSPM + DDR + Identity Fabric
- Palo Alto Networks - Dig Security (Prisma Cloud Data Security) — Prisma 統合の DSPM
- Open Policy Agent (OPA) 公式 — Policy as Code 実装基盤