今回は、最新用語の解説になります。CSPM(Cloud Security Posture Management )という言葉をご存じでしょうか?これは日本語に直すと、「クラウドセキュリティ態勢管理 」とされますが、これを見てもピンとはこないかもしれません。

わかりやすくいうと、CSPMとは、パブリッククラウド(IaaSやPaaS)の設定ミスを検出するセキュリティソリューションになります。

クラウドファーストといった言葉もありますが、組織においてクラウドの利用はDXの推進とともに欠かせないものになっています。とあるデータでは直近の5年間で2倍以上の利用が進んでいるとの結果も出ており、この動きはますます加速しているともいえるでしょう。

このパブリッククラウドにおける設定ミスは年々大きな問題になっています。いくつか事例もありますので、下記リンクを参考にしてみてください。

[アフラックの個人情報流出]

https://xtech.nikkei.com/atcl/nxt/news/18/14419

[トヨタコネクディッドの個人情報漏洩]

https://xtech.nikkei.com/atcl/nxt/column/18/01157/061300088

アフラックでのインシデントでは、クラウド上のストレージサービスやデータベースへの不正アクセスの可能性が高いと言われています。必要な対策としては、ストレージの公開範囲を監視することや、データベースの脆弱性診断が求められるでしょう。

また、トヨタコネクティッドの件では、認証の設定ミスや暗号化の設定ミスが指摘されています。対策としてはきちんと確認することが必要になりますが、膨大なクラウド環境の設定を人間が集管理を行うということは最早現実的とは言えない状況だと言えます。

また、AWSでストレージサービスであるS3の公開設定を誤り、機密情報を漏洩させてしまったというのも、クラウドでは頻繁にインシデントが発生してしまっています。

クラウドは非常にサービス進化の速度が激しい領域です。そのため、技術者も仔細事項を理解することなく、スピード感が求められるビジネスの流れに伴って競争に負けることの無いよう、先行してサービスをリリースしてしまうことが往々にしてあります。これがクラウドにおけるセキュリティの設定ミスを増加させている要因のひとつであり、問題になっています。

また、この進化の速さは別な問題を産んでいます。ある時点までは問題の無かった設定が、クラウド側の仕様変更により、突如問題になってしまうという事があり得ます。最近ではクラウド提供事業者も配慮してきており、その心配は少なくなりつつはありますが、完全にゼロにコントロールすることはできません。

このように、クラウドにはオンプレミスとは異なるセキュリティ上の配慮が必要になっています。このようなクラウド特有のセキュリティについて対策を行うことができるソリューションがCSPMであるといえるでしょう。

CSPMは、クラウドインフラ全体の設定ミスを検出してくれるだけではなく、リスクを可視化して、優先度をつけて対応する順序を示したり、製品によっては設定の自動修復機能を備えているものもあります。一般的な製品では復旧手順がガイドされて、その手順通りに対処をすれば、専門家ではなくとも、安全な状態を保てるようにできることが多くなっています。

マルチクラウドとシフトレフトへの対応

さて、このようなクラウドにおける設定ミスの検出と修復ですが、実はこういった内容を提供するサービスは、クラウドサービスプロバイダ(AWS/Azure/GCP)でも用意されていることがほとんどです。

そんな中でCSPMを利用するメリットはあるのでしょうか?

これは現在の組織で、マルチクラウドの利用が活性化していることが関係してきます。各クラウドサービスプロバイダのサービスでは、当然のことながら自社のサービスを用いている場合にのみその設定ミス防止機能が有効になります。つまり、複数のクラウドサービスを利用するマルチクラウドの場合、各プロバイダごとに提供される個別サービスについて習熟することが必要になり、学習コストが高くなります。これは可視化する上でも好ましいことではなく、利用する組織にとってみればプロバイダを問わず一元的に管理てきた方が安全性は高まりまし、便利です。そのため、CSPMの利用に注目が集まっているのです。

また、CSPMはシフトレフトと呼ばれている、セキュリティを極力開発段階で確保しようという考えとマッチしており、多くの製品が対応しています。最近のクラウドは、構成をコードを用いて管理するIaC(Infrastracture as Code)を用いることが主流になっています。具体的にはTerraformなどがサービスとして該当します。

CSPMIaCでコードの状態で、クラウドに設定を適用する前の段階から設定ミスを調査することができるので、セキュリティ上の問題が顕在化する前に解消させることができるのです。これは、後になればなるほど対応にコストがかかり、影響も大きくなるセキュリティの問題に対処する上では、非常に有効に機能します。

各種コンプライアンスへの対応も可能に

業界によっては、各種コンプライアンスへの準拠が求められることも多くなっています。例えば自社サービスでクレジットカードを扱う場合は、PCI DSSという規定への準拠が強く求められます。こういったコンプライアンスへの準拠状況を即座に確認できるのもCSPM製品の魅力の一つだと言えます。

製品にもよって機能は異なりますが、特定のコンプライアンスへの準拠状況をパーセンテージで可視化してくれる製品も多くなっています。

コンプライアンスへの対応は一般に関係者に対する負担が大きいとされていますので、こういった運用面でのコストダウンにも貢献できる可能性があります。

まとめ

クラウド特有のセキュリティの設定ミスを検知してくれるがCSPMです。このようなソリューションは1回実行して終わりにするのではなく、継続的に確認することが求められます。クラウドの進化速度は非常に速いため、日々の確認でその進化に追従していく必要があるのです。

なお、総務省がクラウド設定ミス対策のガイドラインを出していますが、その中でもCSPMの利用が推奨されています。 

これをマルチクラウド環境で容易に実現してくれるCSPMは、これからの展開が期待されるソリューションと言えます。ぜひこの機会に理解を深めて、利用することを考えてみてください。

テクノロジー 一般