CSPMは良いことばかり?
必要なワケや4つの機能を公開
CSPMはクラウドセキュリティポスチュアマネジメント(Cloud Security Posture Management)の略で「クラウドセキュリティ態勢管理」と表現されることが多いです。主にクラウドセキュリティの構成ミスや、管理の不備などへ対応するための仕組みとして注目されています。
このように注目されているのは、組織で利用しているクラウドサービスの構成に間違いがあったり、様々な種類のミスや管理不十分などが原因による情報漏洩やサイバー攻撃が発生したりしているということが背景としてあります。
この記事では、 現在CSPMがなぜこんなにも必要とされているのか、CPSMの機能などにも触れながら利用するにあたって実際には良いことばかりなのかどうかに言及して解説していきます。
CSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)とは、クラウドサービスのセキュリティの設定状況を見える化し、不適切な設定やコンプライアンス違反、脆弱性が無いかどうかなどのチェック、アドバイスをしてくれるソリューションのことを指します。
CSPMは、冒頭で軽く触れた利用しているクラウドサービスの不備やミスで発生する情報漏洩やサイバー攻撃などのインシデントに対して、プロセスとツールを用いて、インフラも含めたクラウドサービス全体のセキュリティとコンプライアンスの監視を行い、クラウドセキュリティリスクを事前に特定した上で、更に修正までしてくれる優秀なソリューションです。
クラウドサービスの設定ミスの原因は、主に設定者の知識不足によるものと言われています。これは設定者が勉強不足、怠惰ということではなく、クラウドサービスは複雑なものが多く、新しいサービスが次々とリリースされていくため、そのスピードに設定者やユーザーが追いつくことができず、最新の仕様を把握すること自体が難しくなっているのです。更に、クラウドサービス事業者の責任範囲は決して広くなく、ユーザー側のデータやPCのセキュリティまでは責任はとれないということも認識しておかなければなりません。
前の見出しでCPSMは、クラウドサービスのセキュリティやコンプライアンスの監視、修正などを一括して行うものであることは大まかに説明しましたが、ではなぜこんなにもCSPMはIT業界から必要とされているのでしょうか。この見出しでは、CSPMが必要とされている理由について、より具体的に解説していきます。
多くの企業がオンプレミスのデータストレージやウェブホスティングからクラウドベースのインフラストラクチャに移行している中で、クラウドサービスの利用は増加する傾向にあり、それに伴い設定ミスが原因で発生してしまっているセキュリティ被害が数多く存在しているのが現状です。実際に、単なるクラウド設定ミスの約5割が機密データの漏洩に繋がっているのです。
設定ミスがどのようなときに起きるのかというと、データをある場所から別の場所に移動させるなど、業務においてユーザーが例外的に権限などの設定をし直すようなときに多く発生しています。この際にクラウドインフラストラクチャを正しく設定したとしても、時間の経過とともに 意図的でなくとも元のセットアップから外れていくという可能性があります。
このような変更によって、意図せずとも情報やデータが流出してしまい、被害が拡大していくと共にクラウド内の安全性が失われ、本来ならアクセス権限がない第三者がシステムに容易にアクセスできるようになってしまいます。
これらの問題に対処するため、クラウドインフラストラクチャの管理とセキュリティの現状に上手く対応できるように作られているのがCSPMなのです。 非常に複雑なクラウド環境のセキュリティを守るために必要な手作業を軽減することができます。安全な環境で業務をするにあたって、CSPMは必要なのです。
更に、場所に捉われない働き方であるテレワークの普及もCSPMの必要性が高まった大きな理由の一つです。コロナ禍でのテレワークの広がりにより、社外でスマートフォンやタブレットやノートPCからクラウドを利用する人が増えている中で、セキュリティのミスや管理不足に一貫して即時に対応してくれるCSPMは必要不可欠のソリューションです。
CSPMの必要性について前述しましたが、では具体的にどのような機能が備えられているのでしょうか?製品によって機能に違いはありますが、メリットともとれるCSPMに搭載されている主な機能について、以下で解説していきます。
IaaSやPaaS、またその上に構築されているシステムがどのように設定されているかを、ダッシュボードなどの画面を用いて見える化します。この機能により、アクセスの設定状況や機密データの管理状況、脆弱性などについても常に確認することができます。
AWS、Azure、GCPなどといった、主なクラウド事業者から提供される環境に対応しているため、複数のクラウドサービスを利用している場合、異なるクラウドサービスでも一元的にクラウドの設定状況を管理することができます。
まず、誰がいつどのような設定を変更したのか、設定し直したのかという履歴を都度確認し、ルールに反する操作が行われていないかをチェックします。そして設定ミスや不審な操作、脆弱性、マルウェアの侵入などのインシデントを検知した場合には、システム担当者にアラートを通知し、迅速な対応を促します。更に、自動的に設定を修正してくれる機能を持ったソリューションもあり、この場合には更にスピーディーな問題解決が可能になります。
この機能により、リスク発見にかかる時間の短縮や、ベストプラクティスへの設定変更などの作業にかかる負担を効率化します。
CSPMは、あらかじめ設定している会社のポリシーやクラウド利用に関することに関して、国際基準に基づくチェックもすることが可能です。CSPMを使うと、ポリシー違反が無いかどうか、クラウドサービスの安全性は保たれているかどうかを効率的に確認することができます。
CSPM導入は、セキュリティポリシーについて改めて検討し直す良いタイミングとも言えます。従来の内容から、クラウド利用を前提とした内容に再度見直して作り直すのも良いかもしれません。
昨今、設定ミスを原因とするクラウドセキュリティインシデントのリスクがますます高まる一方で、実はそれほどセキュリティ対策が進んでいないのが実態です。
そもそもクラウドのセキュリティ対策にリソースを割けていなかったり、専門知識のない社内のエンジニアが自主的にパブリッククラウドの設定をしていたり、ペネとレーションテストの実施の頻度が低かったり、脆弱性診断のみを実施している場合なども、セキュリティの管理体制としては不十分と言えます。
いずれの場合も、ほぼ確実と表現しても大袈裟でないほど設定ミスがあり、クラウドのセキュリティ管理体制として不十分な状態です。
現状、多くの企業やサービスにおいてセキュリティ管理体制は甘いことが多く、事故のリスクにさらされていると言えます。これは重大なセキュリティインシデントにつながってしまうリスクが高く、セキュリティレベルの確認や修正が必要なものの洗い出しを一刻も早い段階でしなければなりません。
組織のリソースを完全にサポートできるCSPMソリューションを見つけるのは簡単なことではありません。クラウドプロバイダの設立当初は、企業規模が小さい可能性がありますが、ニーズの拡大に対応して拡張できるソリューションが必要になることを忘れてはなりません。この見出しでは、 CSPMソリューション選びに失敗しないよう、適切なソリューションを探すときのポイント、コツを紹介します。
まず、戦略とソリューションは、既存のクラウドリソースへのセットアップと統合が容易であるものを選ぶようにしましょう。更に、パフォーマンスやセキュリティを犠牲にしてしまっては意味がありません。現在のリソース、もしくは将来的に追加される可能性のあるリソースに適合できる柔軟性も搭載されているものを選ばなくてはなりません。
次に、拡張性のあるものを選ぶようにしましょう。スケーラビリティは、成長していく企業にとって非常に重要です。CSPMソリューションが少数のリソース向けにカスタマイズされた場合、インフラに拡張できないと、ITの混乱や大事なデータや資産を失うことになってしまう可能性もあるのです。
最後に、クラウドセキュリティはインターネット上のリソースをサポートする必要があり、ローカルのオンプレミスのサポートとは異なるということを理解しておくということです。ローカルネットワークでは、内部のリソースは公共のインターネットから遮断されますが、クラウドリソースは特別な設定をしなければ、インターネット上で利用可能な状態になっています。クラウドリソースは、設定に問題がないかどうかを常にチェックされていなければなりません。
せっかくCSPMを導入するのですから、無駄のないよう充分な機能がきちんと搭載されたものを選ぶようにしましょう。
