CSPMとは?
CSPM(Cloud Security Posture Management)とは、利用しているクラウドサービスの設定状況などを管理し、安全に利用できるよう支援してくれるソリューションです。クラウドセキュリティ動態管理などと訳されます。
近年、企業においてはオンプレミス環境以上にクラウド環境が利用されることが多くなっています。特にコロナ禍以降は、テレワークの進展とも相まって、各種クラウドサービスの利用シーンが増加しています。これに伴って、クラウド環境のセキュリティリスクも高まっていることが、CSPMが求められる理由のひとつです。
またクラウド環境は、従来のオンプレミス環境と比べて多様化・複雑化が進んでいます。そのため、クラウドを利用している企業の担当者であっても、当該クラウドの設定の問題やセキュリティリスクの把握が難しいという側面もあります。
さらに、クラウドが飛躍的に普及していることに伴って、クラウドに関するセキュリティ規制が強化される傾向も強まっています。具体的には、米国政府機関が定めたセキュリティ基準を示すガイドライン「NIST SP 800-171」や、国際的なクレジット産業向けのデータセキュリティ基準「PCI DSS」、そして国際標準のセキュリティマネジメントシステムに関する規格「ISO/IEC 27001」などがあります。こうしたクラウドセキュリティに関する各種の規制に対応する上でも、CSPMの導入が求められています。
CSPMの主な機能
CSPMの基本的な機能としては、次の5つを挙げることができます。
1.構成情報の収集・管理
クラウド環境のセキュリティ設定や構成が最適な状態にあるかどうかといった構成情報を収集・管理する機能です。
2.ログ情報の収集・分析
クラウド環境で発生するさまざまなログ情報を収集し、それらを分析することで、セキュリティインシデントなどを特定する機能です。
3.セキュリティポリシーのチェック
クラウド環境において、セキュリティポリシーが適切に設定されているかどうかをチェックする機能です。
4.セキュリティリスクの分析・評価
収集したさまざまな情報に基づいて、クラウド環境のセキュリティリスクを分析・評価する機能です。
5.セキュリティインシデントの検知・対応
万が一セキュリティインシデントが発生した場合、当該のインシデントを検知し、必要に応じた対応を行う機能です。
これらの機能は一般的なCSPMの機能です。ただし、CSPMソリューションは多種多様であり、これらすべての機能がすべてのCSPMに備わっているとは限りません。そのため、選定にあたっては、必要な機能が備わっているかどうかを確認することが重要です。
CSPMを包含するソリューションであるCNAPPについても別記事にて解説しています。ご参考までにご紹介いたします。
CSPMの活用シーン
ある証券会社グループのシステム開発・運用会社では、業務上の要件により、多様なクラウドサービスを活用していました。証券会社のシステム開発やその運用を担っている関係上、クラウドセキュリティについては徹底した対応が不可欠でした。
そこで、株式会社イーツ・丸紅情報システムズ株式会社が連携して、両社が有するさまざまなセキュリティソリューションを組み合わせた提案を実施しました。その提案の中に、CSPMの主要な機能を網羅するソリューションを盛り込むことで、クラウド環境における設定不備の検知などをはじめとしたセキュリティ対策の向上を目指しました。
ただし、CSPMの評価ではアラート発出の対象となるような設定であっても、実際の業務上の必要性によって、そう設定せざるを得ないというケースが発生する場合があります。そのため初期の段階では、CSPMでチェックされたアラートの内容が妥当なものかどうか、対応が必要なものかどうかを個別具体的に選定する必要があります。その上で、内容に応じて自動修正の設定を準備するなどの対応が必要になる場合があります。
CSPMの選定ポイントと導入時の注意点
CSPM関連のさまざまなソリューションがある中で、自社に適したソリューションを選定するポイントとしては、次のものが挙げられます。
対応するクラウド環境
ひと口にクラウド環境といっても、Amazon Web ServicesやMicrosoft Azure、あるいは Google Cloud Platformなど、企業によって利用しているクラウド環境は異なります。そのため、自社が利用しているクラウド環境に対応したCSPMを選ぶことが、まずは大前提となります。
備えている機能
CSPMの主な機能は、上記の「2.CSPMの主な機能」で説明した通りです。ただし、すべてのCSPMが同じ機能を備えているとは限らないため、選定にあたっては、自社に必要な機能が備わっているかどうかを必ず確認する必要があります。
もちろん、CSPMの機能は主要な5つに限定されるものではなく、各社各様に主要な5つ以外の機能を実装している場合もあります。そのため、必要最低限の機能を確認するのと併せて、付加的な機能についても確認した上で選定することも大切な選定ポイントといえます。
価格
CSPMの価格帯はさまざまです。当然に、高機能なものであればあるほど、価格も高くなります。しかし予算には限度があります。そのため、予算の範囲内で自社のニーズを満たすCSPMを選定しなければなりません。
場合によっては、必要な機能について優先順位をつけ、予算内におさめるために、優先度の低い機能についてはあきらめるという判断も必要になるかもしれません。いずれにしろ、価格と機能のバランスをきちんと見極めることは重要です。
導入時の注意点
なお、CSPMソリューションの選定のためのポイントとは異なりますが、CSPMの導入にあたっては、「運用体制の整備と運用ルールの策定」が不可欠な重要ポイントとなります。
CSPMを導入することによって、多くの場合、自動化機能の効用として運用にかかる負荷を軽減することが可能になります。しかしそれでも、すべてを自動化できるわけではなく、運用業務がゼロになることはありません。そのため、一定の運用体制を整備することが必要となります。
また、運用体制の整備と関連して運用ルールを策定しておくことも、CSPMを効果的に、そして円滑に運用していく上で重要です。たとえば、CSPMから何らかのアラートが発出された際に、当該アラートについての確認をどうするのかであったり、実際に対策が必要だと判断された際にその実施の許諾を誰にとるのか、という対応ルール、あるいは業務フローを策定しておく必要があります。
CSPMの選定・導入にあたっては、自社のニーズを満たしているかどうかの確認や、予算との整合性はもちろんのこと、運用体制・ルールなども考慮して、適切なCSPMを選ぶようにすることが重要です。
CSPM機能も提供可能なハイブリッドクラウド運用サービス「Maru Ope」
イーツでは、ハイブリッドクラウド運用サービス「Maru Ope」を軸に、その他のセキュリティ関連のソリューションを組み合わせることで、CSPMの基本機能ともいうべき「構成情報の収集・管理」、「ログ情報の収集・分析」、「セキュリティポリシーのチェック」、「セキュリティリスクの分析・評価」、「セキュリティインシデントの検知・対応」までをご提供します。
加えて、PCI DSSやCIS Benchmarks ※1 に対応した「定義済みのコンプライアンスルール」が準備されているため、それに従って初期導入を比較的簡便に行うことも可能です。
さらに付加的なサービスとして、CSPMで発出されたアラートに対し具体的にどう対応すべきか、あるいは許容すべきかといった判断について、イーツが技術的なコンサルティングをご提供する用意もあります。
なお、「Maru Ope」は、イーツが提供するハイブリッド・マルチクラウド環境に対応した運用・監視・障害対応を24時間365日体制で提供するサービスです。クラウドネイティブと呼ばれるようなサーバレスのアーキテクチャなどのクラウドネイティブサービスの監視を行うことが可能です。もちろん、利用しているクラウドが複数であっても、さらにはオンプレミスのサーバやネットワーク機器をも同時に監視することもできます。
「Maru Ope」なら、これらマルチクラウド、ハイブリッドクラウド環境下にある複数のクラウドやオンプレミス環境を、1つのダッシュボードで管理することが可能であり、業務効率を大幅に改善します。
クラウドサービスの利用が不可欠ともいえる状況の中、イーツでは「Maru Ope」を軸として、お客様のニーズに対して最適なソリューションとしてのCSPM機能を提供するとともに、技術的コンサルティングをはじめ最新のテクノロジーサービスの提供によって、よりセキュアなマルチクラウド・ハイブリッドクラウド環境の実現をサポートします。
※1 CIS Benchmarksは、Center for Internet Security(CIS)が公開している、情報セキュリティに関するベストプラクティスをまとめたガイドラインです。