Microsoft PurviewのDSPM(Data Security Posture Management/データセキュリティ態勢管理)が2026年4月に正式提供(GA)を迎えた。マルチクラウド環境に散らばる機密データの可視化に加え、サードパーティのセキュリティシグナルとの統合や認証情報スキャンが新たに加わり、データセキュリティの「現状把握」という最も根本的な課題に本格的に向き合う機能が揃った。
DSPMとは何か——DLPとの違いを押さえる
DSPM(データセキュリティ態勢管理)は、組織のデータ資産が「どこに」「どんな形で」「誰がアクセスできる状態で」存在するかを継続的に把握するための概念と技術の総称だ。
従来のDLP(データ損失防止)が「機密データを外に出さない」ことに注力するのに対し、DSPMは「そもそもデータはどこにあるのか」という根本的な問いから出発する。ポリシーを作る前に実態を知る、というアプローチだ。
今回の主要アップデート
サードパーティシグナルの統合
BigID・Cyera・OneTrust・Varonisといった業界大手のデータセキュリティツールとのシグナル統合が実現した。Purviewのネイティブスキャンだけでは見えにくいオンプレミス資産や他クラウド環境のデータも、単一のダッシュボードに集約できるようになる。既存ツールへの投資を捨てずに、Purviewで「統合ビュー」を持てる設計は現実的で評価できる。
認証情報・シークレットスキャン
パスワード・APIトークン・秘密鍵がデータ資産内に平文で保管されていないかをスキャンする機能が追加された。ゼロトラスト実装において盲点になりやすい「資格情報の散在」に直接対処するものだ。「動いているシステムのどこかにAPIキーが埋め込まれている」という状況は今でも珍しくなく、この機能の実用価値は高い。
Security Copilotとの連携強化
検出されたリスクに対して、AIが修復アクションを提案・自動実行を支援する仕組みが強化された。SOCチームが単純な修復作業から解放され、より高度な分析に集中できる環境を目指している。
実務への影響——日本の現場で何が変わるか
日本のエンタープライズ環境では、SharePoint Online・Exchange Online・Azureストレージが混在しつつ、オンプレミスNASやAWS S3が並走するケースが多い。このような複合環境でDSPMは特に価値を発揮する。
実務での活用ポイント
- 機密情報ラベルの棚卸しを先に行う。DSPMはラベルのないデータも検出するが、Sensitivity Labelsが整っているほど分類精度が上がる。ラベリングが未整備なら、DSPMと並行して進めると相乗効果がある
- サードパーティ連携は段階的に。BigIDやVaronisをすでに導入済みなら、まずそこから統合を始めると既存投資を活かせる
- シークレットスキャンは最優先で有効化を。「ソースコードリポジトリにAPIキーが入ったまま本番稼働」という事故は今も後を絶たない。発見から修復までのプロセスを先に設計しておくこと
- AI修復提案は「提案」として扱う。Security CopilotのAutofix機能は便利だが、人間が承認するワークフローを維持するほうが望ましい。自動化は段階的に広げる
筆者の見解
セキュリティの話はどうしてもコンプライアンス重視で硬くなりがちだが、DSPMの本質は「データの実態を正直に知ること」だと思っている。何が、どこに、どんな形で存在するか分からないまま精緻なポリシーだけ積み上げても、それは地図なしで見張りをするようなものだ。
日本の大規模エンタープライズでは、旧来のセキュリティモデルにゼロトラストの要素を後付けで重ねた結果、「どこが誰の責任範囲か誰も分からない」という状況が各所で起きている。DSPMの「まず現状把握」というアプローチは、そういった積み重なった複雑さを解きほぐす入り口としても有効だ。
マルチクラウドのシグナルを一元化するというPurviewの方向性は正しい。Microsoft 365とAzureの統合資産を持つMicrosoftが、ここで本来の統合プラットフォームとしての力を発揮できるかどうか——DSPMはその試金石になる。2026年後半にかけて機能がどこまで成熟するか、実際の導入事例とともに注目していきたい。
出典: この記事は Beyond Visibility: The new Microsoft Purview Data Security Posture Management (DSPM) experience の内容をもとに、筆者の見解を加えて独自に執筆したものです。