クラウドセキュリティポスチャ管理(CSPM)とは何か？

多くのビジネスリーダーは、長い間、セキュリティ上の懸念から、IT環境をクラウドに移行するのはリスクが高すぎると認識していました。しかし、近年になって流れが変わり、データをクラウドに移動する企業が増えてきました。

クラウドは、典型的には、オンプレミスのデータセンターと同程度、またはそれ以上に安全ではあるのですが、多くのリーダーはクラウドのリスクを過小評価しているか、あるいは、セキュリティに関してクラウドプロバイダが完全に責任を負うだろうと想定しています。

そのため、Gartner の推定によると、今後5年間に、パブリッククラウドの使用をコントロールできない組織の90％が不適切に機密データを共有してしまう恐れがあります。また、クラウドセキュリティの不具合の99％は利用者側の過失に起因すると推測されます。

通常、クラウドセキュリティの不具合はクラウド環境の設定方法に起因します。クラウドインフラストラクチャの設定や管理が正しく行われていなければ、クラウドサービスに対するサイバー攻撃はたいてい成功します。この状況は、以下のような要因によって、近年、より深刻になっています。

• インフラストラクチャの変更が簡単すぎる — 「コードとしてのインフラストラクチャ（Infrastructure as Code）」により、アプリケーションのワークロードに応じてITインフラストラクチャを簡単に変更できるようになりました。そのため、顧客やエンドユーザーのニーズに迅速に対応することができますが、必要なセキュリティ制御を持たない設定にすることも同じくらい簡単です。
• アプリケーションの更新が簡単すぎる — 開発者は、アプリケーションの更新を合理化し、新しいサービスを顧客やエンドユーザーに迅速に提供できるマイクロサービスやコンテナを歓迎します。しかし、モノリスアプリケーションよりも多くの管理リソースが必要になり、セキュリティギャップの可能性を高めます。
• 世界中に簡単に拡張 — クラウドの主な利点の1つは、コンピューティングリソースをスケーリングし、世界中になるデータセンターを経由して世界中の多数の地域にサービスを展開できることです。これは、企業が通常オンプレミスで処理するよりもはるかに大きく複雑なIT環境になります。何がどこで実行されているのかを把握し、認可アクセスを的確に管理することは困難です。
• クラウドセキュリティはオンプレミスのセキュリティとは異なる — データセンターを安全に保護する必要があるIT部門は、クラウド環境を保護するための追加スキルを習得する必要があります。たとえば、ユーザーはネットワークセグメンテーションに関係なくアカウントのリソースにアクセスできますが、これで可能になる横方向の動きは、従来のセキュリティツールでは検出できません。
• セキュリティの責任範囲が曖昧 — 多くのビジネスリーダーは、クラウドセキュリティはクラウドプロバイダが責任を負うと考えがちです。しかし実際には、セキュリティはプロバイダとその利用者の間で共有される責任です。一般的に、クラウドプロバイダは、クラウドサービスを実行するハードウェアインフラストラクチャを管理します。利用者は、クラウドの内部、つまりオペレーティングシステム、アプリケーション、データのセキュリティに注意を払う必要があります。利用者は、クラウドリソースの設定にも責任があります。両者の責任範囲がどこで始まりどこで終わるのかは、それほど単純に線引きできるものではありません。

すべてがクラウド内にあるという事実は、これらの要因によって生ずる問題をさらに悪化させます。IT部門はデータセンターに足を踏み入れて、何が起こっているかを確認することはできず、クラウドインフラストラクチャの可視性の欠如が改めて認識されることになります。深刻なセキュリティリスクが、長期間検出されない可能性もあります。

解決策は CSPM

この問題を解決し、クラウド設定のセキュリティ保護を強化できるのが、クラウドセキュリティポスチャ管理（Cloud Security Posture Management、CSPM）ソリューションです。CSPM のプロセスとツールを使用して、インフラストラクチャクラウドスタック全体のセキュリティ評価とコンプライアンスの監視を行い、クラウドセキュリティリスクを事前に特定し、さらに修正することが可能になります。

近年、CSPM のアプローチはレポートツールから進化して、自動化を含むようになりました。CSPM ソリューションが提供する主要なセキュリティ機能は以下の通りです。

• アクセスの識別
• コンプライアンスポリシーの評価と監視
• オペレーションの監視
• インシデント対応
• リスク検出と可視化
• アセットインベントリと分類

CSPM の重要な利点は、セキュリティプロセスを DevOps プロセスと統合できることです。検出機能、ログ機能を備えた CSPM ソリューションは、クラウドセキュリティのリスクを継続的に管理することもできます。CSPM を使うと、サービス設定からクラウドリソースのセキュリティ設定に至るまで、様々な問題に簡単に対処できます。

監視と自動化の間の相互運用性は、CSPM ソリューションが提供するもう1つの重要な機能であり、特に、マルチクラウドプラットフォームとコンテナ環境を利用している場合には有用です。脆弱なセキュリティポスチャ設定に結びついたセキュリティ上の懸念に対処でき、継続的なリアルタイム監視と自動修復も加わって、クラウドガバナンス、セキュリティ、規制コンプライアンスの強化に役立ちます。