IaaSの設定ミスによる脆弱性を減らす「CSPM」(Cloud Security Posture Management)とは?特集:withコロナ時代のクラウドセキュリティ最前線(2)

主にIaaS利用における「設定ミス」を防ぎ、想定外の事態を起こさないための仕組み「CSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理」)に関心が集まっている。概要や必要性、使いどころ、他のリューションとの違いなどをガートナーのアナリストに聞いた。

» 2020年11月17日 05時00分 公開
[宮田健@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 「クラウドセキュリティ」というと、非常に幅広い範囲を指してしまい、いったい何の話をしているのかをおぼろげながらもすり合わせていかないと、結論がぼやけてしまうことが多い。クラウドセキュリティの印象というと、これまでは「Microsoft 365」「Google Workspace(G Suite)」などSaaSに対するものだとイメージすることが多かったと思うが、「Amazon Web Services(AWS)」「Microsoft Azure」「Google Cloud Platform(GCP)」などのIaaS/PaaSに対するセキュリティもしっかりと考えるべきだろう。

 IaaS/PaaSの可用性に関しては、冗長化をはじめとした施策がしっかりと行われている。通常の組織では実現できないような耐性を持っている――これこそがクラウド活用のメリットといえるだろう。しかし、その高可用性も使い方次第では、利用者側が“穴”を作ってしまう可能性がある。そこで、主にIaaS利用における「設定ミス」を防ぎ、想定外の事態を起こさないための仕組み「CSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理」)に関心が集まっている。

 特集「withコロナ時代のクラウドセキュリティ最前線」の第2回は、ガートナー ジャパン リサーチ&アドバイザリ部門 バイス プレジデント アナリストの礒田優一氏に、CSPMの概要や必要性、使いどころ、他のリューションとの違いなどを聞いた。

CSPMとは?

 CSPMとは、IaaSやPaaSの構成について、セキュアな状態になっているかどうかを継続的に分析する管理ツールだ。具体的には、例えば特権アカウント、ネットワークおよびストレージ構成などの設定、暗号化などのセキュリティ設定といった“状態”を分析し、その設定が望ましくない場合、“修復”を含むアクションを実行することもできる。

ガートナー ジャパン リサーチ&アドバイザリ部門 バイス プレジデント アナリスト 礒田優一氏

 企業がパブリッククラウドにより多くのサービスを配置するにつれて、それら全てがセキュアに構成されているかどうかを確認することはますます困難になり、時間がかかるようになっている。例えば、AWSの安全なセットアップと構成について、数百あるさまざまなサービス全てを評価することはもはや困難だ。CSPMは、このような「構成がセキュアな状態になっているかどうか」を常にチェックする仕組みを提供する。

 礒田氏によると、ガートナーにおいてもクラウドに関する問い合わせや相談は増加傾向にあり、「日本ではSaaSに対するセキュリティの案件は引き続き多いが、IaaSに関してもAWSやAzureでのシステム構築の案件が増加傾向だ。1つはオンプレミスシステムをクラウドでマイグレーションするもの。もう1つは“新築”として、IaaS上でクラウドネイティブのものを作るもの。それぞれをガートナーでは『モード1』『モード2』と呼んでいるが、特に新築となるモード2ではアジャイルな開発も多く、その環境でどうセキュリティを向上させるかが課題になっている」と述べる。

設定ミスを減らす。常にチェックする――CSPMのカバー範囲は

 CSPMとは、ポスチャー、つまり“姿勢”(状態)を管理するものだ。具体的には、IaaSそれぞれに存在するベストプラクティスによる具体的な設定方法を、開発もしくは利用しているシステム上でしっかり設定されているかどうかを確認する。これだけだと、「わざわざCSPMといった仕組みを導入する必要があるのか?」と思う読者もいることだろう。CSPMのメリットは、どこにあるのだろうか。

 まず1つ目は、「全ての環境を手作業でチェックできない」という課題に応える点にある。ネットワークやストレージの設定ミスは時として致命的だ。ネットワークならば本来接続される必要のない機器が過剰に公開されてしまっていたり、ストレージならばパーミッションの設定ミスでデータへのアクセスを許してしまったりと、設定ミスがインシデントに直結してしまう。それ以外にも、特権ユーザーの設定ミスやアクセス管理など、チェックすべき項目は非常に多い。IaaSを活用する場合、インスタンスを即座に増やすことこそがメリットだが、その数と広さを考えると、それらを全て手作業でチェックすることは難しいのが現状だろう。

 2つ目は継続的なチェックが可能な点だ。ガートナーでは「CARTA(Continuous Adaptive Risk and Trust Assessment:継続的で適応性のあるリスクおよび信頼の評価)」を提唱しており、「常に評価する」ことをセキュリティにおける重要な手法としている。礒田氏は「クラウドのインフラは常に変化し、昔のセキュリティならば年に一度のペースなどだったが、今では継続的に、リアルタイムにアセスメントすべきだ。CSPMはそれを具体的に可能にしているツールの一つ」と述べる。

CSPMとは「ガードレール」だ。ルールを押し付けない

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。