検索
連載

IaaSの設定ミスによる脆弱性を減らす「CSPM」(Cloud Security Posture Management)とは?特集:withコロナ時代のクラウドセキュリティ最前線(2)

主にIaaS利用における「設定ミス」を防ぎ、想定外の事態を起こさないための仕組み「CSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理」)に関心が集まっている。概要や必要性、使いどころ、他のリューションとの違いなどをガートナーのアナリストに聞いた。

Share
Tweet
LINE
Hatena

 「クラウドセキュリティ」というと、非常に幅広い範囲を指してしまい、いったい何の話をしているのかをおぼろげながらもすり合わせていかないと、結論がぼやけてしまうことが多い。クラウドセキュリティの印象というと、これまでは「Microsoft 365」「Google Workspace(G Suite)」などSaaSに対するものだとイメージすることが多かったと思うが、「Amazon Web Services(AWS)」「Microsoft Azure」「Google Cloud Platform(GCP)」などのIaaS/PaaSに対するセキュリティもしっかりと考えるべきだろう。

 IaaS/PaaSの可用性に関しては、冗長化をはじめとした施策がしっかりと行われている。通常の組織では実現できないような耐性を持っている――これこそがクラウド活用のメリットといえるだろう。しかし、その高可用性も使い方次第では、利用者側が“穴”を作ってしまう可能性がある。そこで、主にIaaS利用における「設定ミス」を防ぎ、想定外の事態を起こさないための仕組み「CSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理」)に関心が集まっている。

 特集「withコロナ時代のクラウドセキュリティ最前線」の第2回は、ガートナー ジャパン リサーチ&アドバイザリ部門 バイス プレジデント アナリストの礒田優一氏に、CSPMの概要や必要性、使いどころ、他のリューションとの違いなどを聞いた。

CSPMとは?

 CSPMとは、IaaSやPaaSの構成について、セキュアな状態になっているかどうかを継続的に分析する管理ツールだ。具体的には、例えば特権アカウント、ネットワークおよびストレージ構成などの設定、暗号化などのセキュリティ設定といった“状態”を分析し、その設定が望ましくない場合、“修復”を含むアクションを実行することもできる。


ガートナー ジャパン リサーチ&アドバイザリ部門 バイス プレジデント アナリスト 礒田優一氏

 企業がパブリッククラウドにより多くのサービスを配置するにつれて、それら全てがセキュアに構成されているかどうかを確認することはますます困難になり、時間がかかるようになっている。例えば、AWSの安全なセットアップと構成について、数百あるさまざまなサービス全てを評価することはもはや困難だ。CSPMは、このような「構成がセキュアな状態になっているかどうか」を常にチェックする仕組みを提供する。

 礒田氏によると、ガートナーにおいてもクラウドに関する問い合わせや相談は増加傾向にあり、「日本ではSaaSに対するセキュリティの案件は引き続き多いが、IaaSに関してもAWSやAzureでのシステム構築の案件が増加傾向だ。1つはオンプレミスシステムをクラウドでマイグレーションするもの。もう1つは“新築”として、IaaS上でクラウドネイティブのものを作るもの。それぞれをガートナーでは『モード1』『モード2』と呼んでいるが、特に新築となるモード2ではアジャイルな開発も多く、その環境でどうセキュリティを向上させるかが課題になっている」と述べる。

設定ミスを減らす。常にチェックする――CSPMのカバー範囲は

 CSPMとは、ポスチャー、つまり“姿勢”(状態)を管理するものだ。具体的には、IaaSそれぞれに存在するベストプラクティスによる具体的な設定方法を、開発もしくは利用しているシステム上でしっかり設定されているかどうかを確認する。これだけだと、「わざわざCSPMといった仕組みを導入する必要があるのか?」と思う読者もいることだろう。CSPMのメリットは、どこにあるのだろうか。

 まず1つ目は、「全ての環境を手作業でチェックできない」という課題に応える点にある。ネットワークやストレージの設定ミスは時として致命的だ。ネットワークならば本来接続される必要のない機器が過剰に公開されてしまっていたり、ストレージならばパーミッションの設定ミスでデータへのアクセスを許してしまったりと、設定ミスがインシデントに直結してしまう。それ以外にも、特権ユーザーの設定ミスやアクセス管理など、チェックすべき項目は非常に多い。IaaSを活用する場合、インスタンスを即座に増やすことこそがメリットだが、その数と広さを考えると、それらを全て手作業でチェックすることは難しいのが現状だろう。

 2つ目は継続的なチェックが可能な点だ。ガートナーでは「CARTA(Continuous Adaptive Risk and Trust Assessment:継続的で適応性のあるリスクおよび信頼の評価)」を提唱しており、「常に評価する」ことをセキュリティにおける重要な手法としている。礒田氏は「クラウドのインフラは常に変化し、昔のセキュリティならば年に一度のペースなどだったが、今では継続的に、リアルタイムにアセスメントすべきだ。CSPMはそれを具体的に可能にしているツールの一つ」と述べる。

CSPMとは「ガードレール」だ。ルールを押し付けない

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  2. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  3. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  6. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  7. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  8. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  9. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  10. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
ページトップに戻る