多くの企業がクラウドを利用する中、クラウド上のシステムが「安全な状態」かどうかを確認することの重要性が高まっています。もし、安全な状態でなければ、クラウド上のサーバーから大切な情報が漏洩してしまうことも懸念されます。こうしたリスクに対する解決策として注目されているのが「クラウドセキュリティポスチャマネジメント（Cloud Security Posture Management：CSPM）」です。その機能や導入メリットを解説します。

近年、DX（デジタルトランスフォーメーション）の推進やテレワークの拡大に伴い、自社の基幹システムや連携する各種システムをクラウドに移行する企業が増えてきました。クラウドへの移行が進む一方でクラウド環境にパッチの未適用や脆弱性の放置、アカウント設定の不備があると情報漏洩やマルウェア感染のリスクとなるため、クラウド上に構築したシステムのセキュリティを確認し、常に安全な状態に保ち続けることが求められています。
しかし、アプリケーションやOSごとにセキュリティ対策を実施するためには、複数のツールを適用しなければいけない場合があります。コストがかかるだけではなくクラウドについての知識も必要なため、情報セキュリティ部門の負担となり対策がなかなか進まない企業も多いでしょう。 そこで、注目されているのが、クラウド上の各種システムの「今の状態」を確認し、設定ミスや脆弱性などを検証してセキュリティを担保する「クラウドセキュリティポスチャマネジメント」です。 CSPMは、現在、多くの企業がその導入・活用を検討しているセキュリティソリューションです。IT専門調査会社アイティアールの発表によると、『国内のCSPM市場は2020年度に前年度比2倍強の13億円に達し、2021年度には同38％増の18億円、2022年度には21億円にまで拡大する』と予測されています。^※1

さて、クラウド上のシステムにおいて、設定ミスが起きてしまうのはなぜでしょうか。ひとつには、クラウド事業者が用意した基盤上にシステムを開発・構築しデータを保存するため、自社のセキュリティポリシーを完全に適用できるとは限らないということが考えられます。また、Amazon Web Services（以下AWS）、Microsoft Azure（以下Azure）、Google Cloud Platform（以下GCP）など複数のクラウドを利用するマルチクラウド環境も増えてきました。それぞれのクラウドサービスの仕様を把握してセキュリティ設定を適切に行うのは困難です。情報セキュリティ部門が把握していない、部門が独自に契約したクラウドサービスが存在し、リスクの検知が難しいケースもあります。 その課題を解決するソリューションとして、CSPMの注目度も高まっているのです。

製品によって機能に違いはありますが、CSPMには概ね次のような機能が備えられています。

■パブリッククラウドの利用状況とリスクを可視化
IaaSやPaaS、またそのうえに構築されているシステムが、どのように設定されているかを、ダッシュボードなどの画面を用いて可視化します。脆弱性やアクセス設定状況、機密データの管理状況についても確認することが可能です。

■マルチクラウドを一元管理
AWS、Azure、GCPといった、主要なクラウド事業者から提供される環境に対応しており、異なるクラウドサービスを一元的に管理できます。

■設定ミスやインシデントなどを検知
誰が、いつ、どのような設定を変更したのかを確認し、ルールに反する操作が行われていないかを監視します。設定ミスや不審な操作、脆弱性の存在、マルウェアの侵入などのインシデント発生を検知した場合は、アラートによりセキュリティ担当者に通知し、迅速な対応を促します。

■国際基準にもとづくチェック
CSPMでは、あらかじめ設定した会社のポリシーやISO 27017^※2やNIST CSF^※3、SP 800-53^※4、SOC2-TYPE2^※5といったクラウド利用に関する国際基準にもとづくチェックが可能です。CSPMを使えば、ポリシー違反がないか、導入したクラウドサービスの安全性が保たれているかを効率的に確認することができます。

通常、クラウドサービスのセキュリティリスクを洗い出す場合、担当者はセキュリティに関する知見はもちろん、各クラウド事業者特有の設定項目などを熟知している必要があるなど、さまざまな方面の知識やノウハウが必要になります。

CSPMにより、マルチクラウド環境の広範囲にわたるセキュリティリスクを、自社の定めたポリシーや国際基準にもとづき可視化・一元管理することができるため、クラウドの設定ミスをなくすだけでなく、クラウド利用におけるコンプライアンスやガバナンスを強化し、クラウド環境の安全性を高めることにもなります。

CSPM導入を機に、セキュリティポリシー、ガバナンス強化の方針についても改めて検討し、クラウド利用を前提とした内容に見直すのもよいでしょう。

日立ソリューションズでは、CSPM関連ソリューションとして「Orca Security」「クラウドワークロードセキュリティサービス」「Palo Alto Networks Prisma Cloud」を提供しています。

この「ポスチャマネジメント」というコンセプトを、エンドポイント、つまり、ユーザーが使用するパソコンやスマートフォン、タブレットなどの端末に対しても同様に適用し、セキュリティを高めようというサービスも登場しています。 それが、日立ソリューションズが提供する「秘文 統合エンドポイント管理サービス」です。秘文 統合エンドポイント管理サービスは、内部不正や盗難紛失への対策、IT資産管理、スマートデバイス管理、ポスチャマネジメント機能を備えています。 秘文 統合エンドポイント管理サービスの持つポスチャマネジメントとは、エンドポイントの状態やセキュリティリスクを可視化し、分析・評価して、リスクに応じた対策を講じることでエンドポイントを常に安全な状態に保つ機能です。「可視化」「分析・評価」「対策」というサイクルで継続的にエンドポイントを管理することで、常に脆弱性やセキュリティ設定に不備がない状態を維持することができるようになります。 まず「可視化」では、OSのセキュリティ設定状況、OSやアプリケーションの脆弱性といったセキュリティリスクをダッシュボードで一元管理します。次に「評価・分析」にて、200項目以上にのぼるセキュリティの国際基準の推奨事項をもとに、日立ソリューションズの知見を盛り込んだチェックリストを使うなどして、脆弱性の深刻度を評価、分析します。そして「対策」では、リスクが見つかったエンドポイントに対し、自動での是正や、ユーザー通知して対策を促すことも可能です。 また、クラウド型ID管理・統合認証サービスを提供するOkta Identity Cloudと連携し、Oktaによるユーザー認証と証明書にもとづく「デバイス認証」で、認証済みのユーザーが会社支給の安全な端末を利用している場合のみ会社のリソースにアクセスといった対策が可能となります。さらに、セキュリティが維持された端末のみアクセスを許可する「ポスチャマネジメント認証」により、エンドポイントのセキュリティを担保し、安全にビジネスで利用できるようにします。

ポスチャマネジメントという用語は、安全な状態を維持できるために継続的に管理する体制を意味しています。つまり、一時的に使うのではなく、「継続的に」利用することがポイントになります。 既存のシステムであっても、新しい脆弱性が見つかったら、その影響を受ける場所を探して対処する必要が生じます。特に、マルチクラウド上に数多くのシステムを稼働している環境では、一つひとつに時間をかけて対応している余裕はありません。その効率化にもポスチャマネジメントは役に立つでしょう。 将来にわたってクラウドやエンドポイントをビジネスで安心して利用していくためにも、ポスチャマネジメントの継続的な活用によって安全性を高めることは、企業にとって重要なセキュリティ戦略のひとつと言えるでしょう。