クラウドセキュリティ体制管理(CSPM)ツールは、データ漏えいやコンプライアンス違反の原因となりうる不適切なセキュリティ設定がないか、クラウド上に展開されているサービスをスキャンします。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
クラクラウドセキュリティ体制*管理(CSPM)は、クラウドインフラストラクチャにあるセキュリティリスクを特定する自動化されたソフトウェアツールの一種です。CSPM は、潜在的な安全上の問題を発見する建築検査官と考えることができますが、CSPMは建造物ではなく、クラウドでホストされるソフトウェアを検査します。CSPMが検査するクラウドインフラストラクチャには、Software as a Service(SaaS)、Platform as a Service(PaaS)、Infrastructure as a Service(IaaS)、コンテナー、サーバーレスコードが含まれます。
CSPMは自動化されています。セキュリティチームがクラウドのセキュリティリスクを手動でチェックする代わりに、クラウドのコンプライアンスリスクや設定の脆弱性をバックグラウンドで分析します。
ほとんどのCSPMツールは、 マルチクラウド 環境をスキャンすることができ、すべてのクラウド・サービスのセキュリティ状態を統合的に把握することができます。多くの企業は複数のクラウドサービスを利用しているため、設定ミスのリスクが高まり、手動での管理も難しくなるため、この機能は非常に重要です。
*「体制」とは、セキュリティ用語で攻撃を軽減するための準備態勢を意味します。たとえば、ブラウザの分離を使用してオンライン攻撃を阻止しているネットワークは、この機能を使用していないネットワークよりもセキュリティ体制が良いと言えます。
クラウドセキュリティは、これまでのコンピューティングモデルのリスクとは異なる課題を提示しています。まず第一に、クラウドインフラストラクチャは必然的にインターネットに接続されています。インターネットは、あらゆる種類のデータをほぼ瞬時に転送することができるため、インターネットに接続されているあらゆるものを膨大な数の脅威にさらすことになります。インターネットに接続されていることで、データ漏洩の危険性も高まります。データがプライベートネットワークに保管されている場合とは異なり、世界中の誰もが公開されたデータを見ることができ、盗用される可能性もあります。
第二に、クラウドインフラストラクチャは非常に複雑であることが多く、マルチクラウド環境のように複数のタイプのクラウドサービスが組み合わされています。ビジネスニーズの変化に応じて、さまざまなコンピューティング、ストレージ、ソフトウェアサービスの追加、拡張、削除を実施します。これらはすべて遠隔地のデータセンターで行われるため、可視性と制御性を維持し、コンプライアンス要件を満たし、リスクを特定して排除することが難しくなります。これは、不動産の所有者が、隣に住んでいるときとは異なり、遠方から不動産を管理するのに苦労するのと同じです。
第三に、クラウドサービスの他の側面はサービスプロバイダーによって管理されている場合もありますが、セキュリティ設定に関しては通常管理されていません。このため、企業は自社で管理していないインフラストラクチャに対してセキュリティを実装することを余儀なくされます。
これらの問題に対処するため、CSPMソリューションは、このクラウドインフラストラクチャの管理とセキュリティの現実に対処するように構築されています。CSPMは、非常に複雑なクラウド環境のセキュリティを守るために必要な手作業を軽減します。
CSPMは、SaaS、PaaSなどのクラウドサービスを定期的にスキャンして分析します。スキャンの頻度は、使用するCSPMソリューションによって異なります。不適切なセキュリティ設定、コンプライアンス違反の可能性、脆弱性などを検索します。また、組織のクラウドインフラストラクチャ全体のマップを作成し、これまで知られていなかったリスクを明らかにします。潜在的なリスクがあれば、セキュリティチームにアラートを送信します。CSPM製品は通常ダッシュボードを備えており、ここで特定された問題の表示や、アラートの送信が行われます。
クラウドセキュリティの不適切な設定とは、データを公開したり、データを攻撃される可能性を残すような落ち度のことです。不適切なセキュリティ設定は、玄関の鍵や、銀行の金庫を開け放しにするようなものです。不適切なセキュリティ設定は、多くの場合、クラウドサービスの設定作業の中で発生します。
例えば、大規模なデータ漏えい事件の多くは、組織がAWSのS3ストレージバケットの設定を誤ったために、内部のデータが一般に公開されたままになってしまったことが原因で発生しています。
多くの組織は、データ保護やデータへのアクセス制御に関する厳しい要件に準拠する必要があります。CSPMは、データベースへのアクセス権の所有者が多すぎる場合など、違反の可能性を自動的にスキャンして検出します。これにより、医療保険の携行性と責任に関する法律(HIPAA)、カリフォルニア州消費者プライバシー法(CCPA)、一般データ保護規則(GDPR) などの規制に準拠しやすくなります。
規制への遵守は複雑であり、CSPMツールの使用は、組織が取るべき多くのステップの一つに過ぎません。
組織は、ビジネスの成長に合わせてクラウドインフラストラクチャを継続的に拡張および変更しています。その際、特定のプロセスをあるクラウドから別のクラウドに移行することがあります。引っ越しをする人物が、その過程で一部の用品を置き忘れることがあるように、組織がデータやアプリケーションを新しいクラウドプロバイダーに移行する際に、データや資産の一部を見失ってしまう可能性があります。
このような理由から、クラウドを利用する多くの組織にとって、可視性(どのような資産が存在し、それらがどこにあるのかを把握すること)は大きな課題となっています。攻撃対象領域の全容さえも把握できていない可能性があり、可視性の欠如はセキュリティリスクを生み出します。組織にシャドーIT(従業員が無許可で使用しているクラウドサービス)がある場合、この問題はさらに深刻になる可能性があります。
CSPMは、クラウド上に展開されているサービスをスキャンしてすべてのクラウド資産を特定し、それらのステータスを明確に可視化します。また、発見された資産の不適切な設定について、セキュリティチームに警告を発します。
その他のCSPMの機能は以下の通りです。
クラウドの導入と移行の増加に伴い、クラウドセキュリティは進化を続けています。CSPMは、企業がクラウドでホストしているデータとシステムを保護するために使用できるツールの1つに過ぎません。
以下について理解します: