クラウド セキュリティ ポスチャー管理(CSPM)とは

CSPMが重要な理由

クラウド サービスやクラウドベースのアプリは生産性と柔軟性に大きなメリットをもたらす一方、インターネットに公開され、誰でも簡単に利用できるため、データ侵害などのサイバーセキュリティ脅威のリスクを高めます。セキュリティ意識向上トレーニングを実施したとしても脆弱性は残り、そこからセキュリティ問題が発生し、機密データが危険にさらされる可能性があります。ITセキュリティ部門やビジネス リーダーは、次のような課題に常に取り組んでいます。

• クラウド インフラの設定ミスに起因するデータ侵害：これによって膨大な量の機密データが流出する可能性があるため、法的問題や金銭的損害につながる場合があります。
• クラウド アプリやワークロードの継続的なコンプライアンス準拠：従来のオンプレミスのセキュリティ ツールやプロセスではこれを実現できません。
• クラウド ガバナンスの課題：可視性、権限、ポリシー施行、クラウド セキュリティ制御に関する知識の欠如などの課題は、クラウドの導入に伴い増加しつつあります。

データ侵害は社会が注目する大きな問題の一つであり、大規模な損害をもたらします。Verizonの2023年データ漏洩/侵害調査報告書によると、設定ミスは依然としてデータ侵害の主な原因のトップ3に入っており(2023年のレポートでは20%以上を占める)、Webアプリは全業界においてトップ3の攻撃ベクトルの一つとして挙げられています。

効果的なCSPMは自動化された可視性、アラート、施行を提供しながら、機密データやインフラをクラウド固有のリスクから保護します。

クラウド セキュリティ ポスチャー管理のメリット

CSPMツールはコストの削減とセキュリティの強化を実現すると同時に、クラウド環境におけるリスク エクスポージャーを最小限に抑え、次のようなメリットをもたらします。

• 攻撃者がリスクを悪用する前に、設定ミス、脆弱性、セキュリティ ギャップをリアルタイムで可視化して自動で特定することで、リスクをプロアクティブに検出して対処する
• 業界のスタンダードとベンチマークに照らして構成を継続的にモニタリングし、ベスト プラクティスと規制コンプライアンスを確保する
• 自動修復とポリシー施行を実施し、クラウド リソース全体のセキュリティ問題を手動で解決する時間とコストを大幅に削減する
• CSPMプロセスをDevOpsワークフローと統合して、DevSecOpsアプローチの一環としてソフトウェア開発全体にセキュリティを組み込む

CSPMの主な機能

大きく分けて、CSPMツールは次の3つの方法でユーザーを保護します。

• クラウド アセットと構成の可視化：Enterprise CSPMは設定ミス、ポリシーやメタデータの変更などを検出し、管理コンソールでこれらすべてのポリシーを管理できるようにします。
• 設定ミスの管理と修正：CSPMはクラウドの構成を業界のスタンダードや事前に構築されたルールと比較することで、高額被害につながるデータ侵害のリスクを増大させるヒューマン エラーを削減します。
• 新たな潜在的脅威の検出：CSPMはクラウド環境をリアルタイムでモニタリングし、不適切なアクセスや潜在的に悪意のあるアクティビティーを検出します。

クラウド インフラを保護するCSPMツールの仕組み

以上の大まかな概要を念頭に置いて、具体的な機能をさらに詳しく見ていきましょう。CSPMサービスは自動化を活用することで、マニュアル作業や遅滞を発生させることなく問題を修正し、継続的にモニタリングしながら以下を行います。

• クラウド環境のフットプリントを特定し、新しいインスタンスやS3バケットなどのストレージ リソースの作成をモニタリング
• マルチクラウド環境においてポリシーを可視化し、すべてのプロバイダーに対して一貫したポリシーを施行
• コンピューティング インスタンスをスキャンして、悪用される可能性がある設定ミスや不適切な設定がないかを確認
• ストレージ バケットをスキャンして、データが一般に公開される可能性がある設定ミスがないかを確認
• HIPAA、PCI DSS、GDPRなどの規制遵守状況を監査
• 確立された規格やフレームワーク(ISO、NISTなど)に対するリスク評価を実施
• 運用面のアクティビティー(キー ローテーションなど)が適切に行われているかを検証
• 特定された問題のワンクリック修復や自動修復を実施

CSPMと他のクラウド セキュリティ ソリューションの違い

CSPMはクラウド セキュリティの一側面として、適切なクラウド リソース構成のモニタリング、識別、施行に重点を置きます。その他のソリューションは、クラウド コンピューティングのコンテキストでの脅威検出、アクセス制御、データ セキュリティ、ソフトウェア セキュリティなどに対応します。

詳細は、クラウド セキュリティとはをご確認ください。

クラウド セキュリティ ポスチャー管理の実装

CSPMの実装方法は、規模、業界、クラウド フットプリントなどのさまざまな要因によって異なりますが、効果的なCSPMと専門家のサポートによる一般的な実装プロセスは次のようになります。

1. クラウドの評価：クラウド環境内のアカウント、サービス、リソースのほか、アーキテクチャー、構成、依存関係など、あらゆるものを特定する必要があります。

2. ポリシーの定義：組織のスタンダードとコンプライアンス要件にマッピングされたセキュリティ ポリシーを作成して適用し、クラウド サービス、ロール、責任に合わせてカスタマイズします。

3. スキャンの自動化：環境の設定ミス、脆弱性、ポリシー違反をリアルタイムで継続的にモニタリングし、リスクに対してプロアクティブに対処できるようにします。

4. DevOpsワークフローへのCSPMの統合：CSPMをボトルネックにさせないためにも、変更管理を含む開発ライフサイクル全体に組み込みます。

5. リスクのトリアージと修復：潜在的な重大度と悪用される可能性に基づいてリスクをランク付けし、全体的なポスチャーに最も大きな影響を与えるリスクから対処します。

6. 継続的な改善：クラウド環境、脅威、コンプライアンス要件は変化するため、ポリシーが有効であることを確認するために定期的に監査します。

以上がCSPMの実装と維持に関する概要です。しかし、CSPMだけでは不十分であるため、Zscalerはプラットフォーム アプローチを採用しています。