クラウドの設定ミスを防ぐCSPM(クラウドセキュリティポスチャマネジメント)とは?
多くの企業がクラウドを利用する中、クラウド上のシステムが「安全な状態」かどうかを確認することの重要性が高まっています。もし、安全な状態でなければ、クラウド上のサーバーから大切な情報が漏洩してしまうことも懸念されます。こうしたリスクに対する解決策として注目されているのが「クラウドセキュリティポスチャマネジメント(Cloud Security Posture Management:CSPM)」です。その機能や導入メリットを解説します。
近年、DX(デジタルトランスフォーメーション)の推進やテレワークの拡大に伴い、自社の基幹システムや連携する各種システムをクラウドに移行する企業が増えてきました。クラウドへの移行が進む一方でクラウド環境にパッチの未適用や脆弱性の放置、アカウント設定の不備があると情報漏洩やマルウェア感染のリスクとなるため、クラウド上に構築したシステムのセキュリティを確認し、常に安全な状態に保ち続けることが求められています。
しかし、アプリケーションやOSごとにセキュリティ対策を実施するためには、複数のツールを適用しなければいけない場合があります。コストがかかるだけではなくクラウドについての知識も必要なため、情報セキュリティ部門の負担となり対策がなかなか進まない企業も多いでしょう。 そこで、注目されているのが、クラウド上の各種システムの「今の状態」を確認し、設定ミスや脆弱性などを検証してセキュリティを担保する「クラウドセキュリティポスチャマネジメント」です。 CSPMは、現在、多くの企業がその導入・活用を検討しているセキュリティソリューションです。IT専門調査会社アイティアールの発表によると、『国内のCSPM市場は2020年度に前年度比2倍強の13億円に達し、2021年度には同38%増の18億円、2022年度には21億円にまで拡大する』と予測されています。※1
※1 国内のパブリッククラウド向け診断/CSPM(Cloud Security Posture Management)サービス市場規模推移および予測(株式会社アイ・ティ・アール プレスリリース)
この記事に関連するおすすめの製品
Orca Security資料ダウンロード
ダウンロードさて、クラウド上のシステムにおいて、設定ミスが起きてしまうのはなぜでしょうか。ひとつには、クラウド事業者が用意した基盤上にシステムを開発・構築しデータを保存するため、自社のセキュリティポリシーを完全に適用できるとは限らないということが考えられます。また、Amazon Web Services(以下AWS)、Microsoft Azure(以下Azure)、Google Cloud Platform(以下GCP)など複数のクラウドを利用するマルチクラウド環境も増えてきました。それぞれのクラウドサービスの仕様を把握してセキュリティ設定を適切に行うのは困難です。情報セキュリティ部門が把握していない、部門が独自に契約したクラウドサービスが存在し、リスクの検知が難しいケースもあります。 その課題を解決するソリューションとして、CSPMの注目度も高まっているのです。
製品によって機能に違いはありますが、CSPMにはおおむね次のような機能が備えられています。
■パブリッククラウドの利用状況とリスクを可視化
IaaSやPaaS、またそのうえに構築されているシステムが、どのように設定されているかを、ダッシュボードなどの画面を用いて可視化します。脆弱性やアクセス設定状況、機密データの管理状況についても確認することが可能です。
■マルチクラウドを一元管理
AWS、Azure、GCPといった、主要なクラウド事業者から提供される環境に対応しており、異なるクラウドサービスを一元的に管理できます。
■設定ミスやインシデントなどを検知
誰が、いつ、どのような設定を変更したのかを確認し、ルールに反する操作が行われていないかを監視します。設定ミスや不審な操作、脆弱性の存在、マルウェアの侵入などのインシデント発生を検知した場合は、アラートによりセキュリティ担当者に通知し、迅速な対応を促します。
■国際基準にもとづくチェック
CSPMでは、あらかじめ設定した会社のポリシーやISO 27017※2やNIST CSF※3、SP 800-53※4、SOC2-TYPE2※5といったクラウド利用に関する国際基準にもとづくチェックが可能です。CSPMを使えば、ポリシー違反がないか、導入したクラウドサービスの安全性が保たれているかを効率的に確認することができます。
※2 クラウドサービスの提供および適用に関する国際的なセキュリティ基準
※3 米国立標準研究所(NIST)Cybersecurity Framework
※4 米国の連邦情報システムのセキュリティおよびプライバシー管理の管理策
※5 米国公認会計士協会(AICPA)が定めたセキュリティ評価基準
通常、クラウドサービスのセキュリティリスクを洗い出す場合、担当者はセキュリティに関する知見はもちろん、各クラウド事業者特有の設定項目などを熟知している必要があるなど、さまざまな方面の知識やノウハウが必要になります。
CSPMにより、マルチクラウド環境の広範囲にわたるセキュリティリスクを、自社の定めたポリシーや国際基準にもとづき可視化・一元管理することができるため、クラウドの設定ミスをなくすだけでなく、クラウド利用におけるコンプライアンスやガバナンスを強化し、クラウド環境の安全性を高めることにもなります。
CSPM導入を機に、セキュリティポリシー、ガバナンス強化の方針についても改めて検討し、クラウド利用を前提とした内容に見直すのもよいでしょう。
日立ソリューションズでは、CSPM関連ソリューションとして「Orca Security」「Palo Alto Networks Cortex Cloud」を提供しています。
- Orca Security
独自技術である「SideScanningTM」により、既存の環境を変更することなく数分の権限設定で利用を開始することが可能です。クラウドサービスの設定ミスや脆弱性だけではなくラテラルムーブメント※6のリスクも検出できます。 - Palo Alto Networks Cortex Cloud
パブリッククラウド上のセキュリティ設定をポリシーにもとづきチェックし、違反している項目についてアラート通知や自動修復、ランタイム防御を行います。
※6 攻撃者が企業や組織内のネットワークに侵入した後に、ネットワーク内のほかのサーバーに渡り歩いて機密情報などを窃取する活動
ポスチャマネジメントという用語は、安全な状態を維持できるために継続的に管理する体制を意味しています。つまり、一時的に使うのではなく、「継続的に」利用することがポイントになります。 既存のシステムであっても、新しい脆弱性が見つかったら、その影響を受ける場所を探して対処する必要が生じます。特に、マルチクラウド上に数多くのシステムを稼働している環境では、一つひとつに時間をかけて対応している余裕はありません。その効率化にもポスチャマネジメントは役に立つでしょう。 将来にわたってクラウドやエンドポイントをビジネスで安心して利用していくためにも、ポスチャマネジメントの継続的な活用によって安全性を高めることは、企業にとって重要なセキュリティ戦略のひとつと言えるでしょう。
「ゼロトラストモデル」とは―クラウド時代の次世代セキュリティモデル―
