クラウドセキュリティ態勢管理の解説

CSPM が重要となる理由

多くの企業では、クラウドに移行する場合に、クラウドセキュリティの責任は Amazon Web Services (AWS)、Google Cloud、Microsoft Azure などのクラウドプロバイダーがすべて負うものと考えています。しかし、当社の認識では、クラウドに対するすべての不正アクセスの原因は、クラウドプロバイダーではなくクラウドユーザー側のクラウドの設定ミスにあります。

CSPM を利用することで、企業はチェックを自動化してセキュリティとコンプライアンスのリスクを見極め、軽減できます。クラウドユーザーは、データの不正アクセスにつながる潜在的な設定ミスを発見できます。State of Cloud Native Application Security (クラウドネイティブアプリケーションセキュリティの現状) に関する調査では、回答者の半数以上が設定ミスや既知の脆弱性のインシデントに悩まされています。これは、CSPM ソリューションが包括的なクラウドセキュリティにとって重要であることを明確に示しています。

クラウドセキュリティの設定ミスの原因

クラウドの設定ミスとは、アプリケーション、コンテナ、インフラ、その他のソフトウェアコンポーネントに対して適切な制御が行われていないことを指します。このような設定ミスの問題は、企業がインフラ全体とコンテナ、Kubernetes、クラウドサービスとのやり取りを完全に可視化できていない場合によく発生します。また、企業によっては、デフォルトのセキュリティ設定や認証情報を使用している場合がありますが、これはセキュリティの観点からは必ずしも適切ではありません。

責任共有モデル

前述のとおり、クラウドプロバイダーだけがセキュリティに責任を持つわけではありません。むしろ、クラウドプロバイダーと公開クラウドサービスを利用する企業の間で、責任が共有されます。

この責任共有モデルは、企業が使用するインフラの種類によって異なります。企業は、オンプレミスのインフラのセキュリティには全責任を負いますが、クラウドのインフラにはあまり責任を負っていません。

• Infrastructure as a Service (IaaS):クラウドプロバイダーが物理ハードウェア、インフラ、ネットワーク、およびストレージを管理します。

• Platform as a Service (PaaS):クラウドプロバイダーは、インフラだけでなく、OS や環境など、アプリケーションを実行するために必要なあらゆるものを管理します。

• Software as a Service (SaaS)クラウドプロバイダーは、インフラ、プラットフォーム、およびソフトウェア自体を管理します。

IaaS から SaaS に移行する際、クラウドプロバイダーの責任は大きくなりますが、適切な設定によってユーザーがクラウドを利用する方法を保護する責任は、依然として企業が負っています。

CSPM のユースケース

CSPM は、脅威の検出、インシデント対応、コンプライアンス、インフラのセキュリティなど、複数のユースケースを備えたサイバーセキュリティツールです。

脅威の検出

CSPM では、複数のクラウド環境における脅威を事前に検知できます。継続的な脅威の検出により、企業は設定ミスや不審なアクティビティを一元的に可視化し、リスクエクスポージャーを評価して最小化できます。

インシデント対応

CSPM ソリューションのもう一つの重要な機能は、ハッカーが IAM の役割を変更したり、暗号化をオフにしたりするなどの不正アクセスの指標を検出し、設定ミスによる脆弱性を警告することです。インシデント対応機能を通じて、企業は検出された脅威を一元的に表示し、すばやく効率的に軽減できます。

コンプライアンス

CSPMS は、HIPAA、SOC2、およびその他の規制の継続的なコンプライアンスのモニタリングやレポーティングを提供できます。これにより、企業は公開クラウドサービスを利用する際にコンプライアンス違反を回避し、社内のセキュリティポリシーを徹底させることができます。

インフラのセキュリティ確保

インフラのセキュリティ確保について、CSPM では設定ファイル内の設定ミスを検出できます。これにより、企業は各種クラウドサービスの相互作用について理解し、安全でないクラウド環境にアプリケーションをデプロイしないように注意することができます。

CSPM および DevSecops

クラウドインフラのビルドと管理に IaC (infrastructure as code) が広く使われるようになるなかで、クラウド環境における開発者の責任もますます重くなっています。その結果、開発チーム、DevOps チーム、セキュリティチームの間で、クラウドとインフラのセキュリティに関するオーナーシップを共有する必要性が生じています。

この DevSecOps アプローチでは、IaC 導入の自動化を含む、ソフトウェア開発ライフサイクル (SDLC) 全体でセキュリティが統合されます。クラウドインフラのプロビジョニングや管理には設定ファイルが使用されるため、IaC の導入は設定ミスの影響を大きく受けます。CSPM では IaC の導入をモニタリングして、脆弱性の含まれる設定を検出し、開発チームがセキュリティ問題を修正できるようにしています。

Policy as Code (PaC) は、DevSecOps アプローチの一環として、CSPM ソリューションと組み合わせて使用できるもう 1 つのツールです。PaC は、他のコードや実行環境をチェックして、望ましくない状態や安全でない設定がないかどうか確認できるように設計されています。PaC はセキュリティの自動化を促進し、ソフトウェア開発ライフサイクル (SDLC) のどの段階においても、ルールの内容や適用方法について、曖昧さや意見の相違が生じることがないようにし、すべてのクラウド関係者にとって安全な運用を実現できます。

CSPM ソリューションは、クラウドネイティブアプリケーションセキュリティプラットフォームと併用することで、アプリケーションと実行するクラウドファースト環境のセキュリティを高めることができます。最近の Snyk による Fugue の買収により、企業はクラウドの設定ミスの影響に関する詳細な情報を得ることができ、開発チームは簡単に修正できるようになります。これにより、クラウドネイティブアプリケーションのセキュリティ態勢が劇的に改善されます。

よくある質問

CSPM が必要なのはどうしてですか？

ほとんどの企業では、外部のハッカーや内部関係者からの意図的な不正アクセスを検知するクラウドセキュリティプロセスが整備されていますが、意図しないセキュリティリスクも存在するためです。デフォルト設定の使用や不適切なアクセス制御など、クラウドの設定ミスにより、企業の脆弱性が残る可能性があります。クラウドセキュリティ態勢管理 (CSPM) はコンテナや Kubernetes からマルチクラウド環境まで、クラウドインフラ全体の設定ミスを自動的に検出できます。

CSPM と CASB の違いは何ですか？

クラウドアクセスセキュリティブローカー (CASB) では、企業がクラウドリソースを使用するときにセキュリティポリシーを適用します。CASB ソリューションはファイアウォールとして機能し、会社のポリシーに準拠した方法でユーザーがクラウドを利用できるようにしています。一方、クラウドセキュリティ態勢管理 (CSPM) ソリューションでは、潜在的な設定ミスを自動的に検出することで、クラウドリソースが安全に設定されていることを確認します。

CSPM と CWPP の違いは何ですか？

クラウドワークロード保護プラットフォーム (CWPP) は、レガシーデータセンター、プライベートクラウド、公開クラウド環境内のワークロードを保護するセキュリティソリューションです。クラウドセキュリティ態勢管理 (CSPM) がクラウド環境を中心にしているのに対し、CWPP は場所にかかわらずワークロードを保護します。ただし、どちらのサイバーセキュリティツールも、クラウド上の機密データを保護することに重点を置いています。