CSPMとは？CWPPやSSPM、CASBとの違いや機能、ツールの選び方を解説

クラウドサービスでは、提供事業者と利用者の責任範囲が定められています。安全な運用をするためには、利用者も責任を負う範囲を正しく知る必要があります。

しかし現実問題として、複雑で変化を伴うその範囲の全てを把握することは困難です。そこで注目されているのが、クラウドインフラの設定不備によるセキュリティリスクを自動検知するCSPM機能です。

本記事ではCSPMの概要や機能など、基本事項をわかりやすくまとめました。記事の後半ではソリューションの選び方も解説しているので、ぜひ最後までお読みください。

CSPMとは？

CSPM（Cloud Security Posture Management）は、直訳すると「クラウドセキュリティ態勢管理」となります。適切なセキュリティポリシーに基づき、クラウドサービスの利用時にセキュリティ状態を管理するためのプロセスやツールのことです。

CSPMにより、クラウドサービス全体の設定ミスやコンプライアンス違反、脆弱性の検出などを行うことが可能です。また、クラウドセキュリティリスクを事前に特定し、さらに修正も自動化することが可能です。

CSPMが注目される背景

以下では、CSPMが注目される背景を解説します。

• パブリッククラウドサービスの市場規模の拡大
• テレワークの普及

それぞれ見ていきましょう。

パブリッククラウドサービスの市場規模の拡大

出典：世界のパブリッククラウドサービス市場規模（売上高）の推移及び予測｜総務省

CSPMが注目される背景の一つは、パブリッククラウドサービスの市場規模の拡大です。2018年以降、市場売上高は右肩上がりとなっています。

「クラウド・バイ・デフォルト原則」のもと、国がクラウドサービスの利用を推進していることも影響しているでしょう。クラウドサービスの利用が広まる中、クラウド環境におけるセキュリティリスクの可視化が重要な課題となっています。

クラウドサービスには「責任共有モデル」と呼ばれる仕組みがあり、提供事業者と利用者の責任範囲が定められています。クラウドサービス利用時には、その範囲を確認し適切に運用する必要があります。しかし複雑かつ変化の多い領域であるため、利用者が全てを把握することは困難です。

そこで、クラウドインフラの設定不備による、セキュリティリスクの自動検知を行うCSPM機能に注目が集まっているのです。

セキュリティリスクに対して適切に対策するには、設定に不備のあるリソースの検知や、脆弱性の特定が欠かせません。このような課題に対応できるツールとして、CSPMの需要が高まっているのです。

関連記事：責任共有モデルとは？事業者とユーザーの責任範囲や種類を解説

テレワークの普及

2020年以降、新型コロナウイルス感染症の影響によりテレワークが広く普及しました。これも、CSPMが注目される背景の一つです。

働く場所を問わないテレワークの広まりにより、社外でPCやスマートフォンなどからクラウドを利用する人が増加しています。そのような中、セキュリティリスクの高まりが危惧されているのです。

設定ミスやセキュリティの管理不足に対して、CSPMなら迅速に対応できます。このように、CSPMは各社にとって欠かせないソリューションとなりつつあります。

クラウドの設定ミスによるセキュリティ被害事例

クラウドの設定ミスによるセキュリティ被害事例を紹介します。ユーザアクセスやファイルの公開、ストレージの設定ミスに該当する事例をまとめました。

事例1. 大手総合IT企業

2023年12月、大手総合IT企業A社グループによる、アクセス権限の設定ミスが発覚しました。Googleドライブにおけるアクセス権限の設定ミスにより、93万人以上の個人情報が閲覧可能な状態となっていました。

A社ではこの事態を重く受け止め、セキュリティ監視やファイル共有設定の見直しなどの再発防止策を表明しています。

事例2. 大手自動車メーカーの関連企業

2023年5月、大手自動車メーカーの関連企業でIT事業を展開するB社による、クラウド環境の設定ミスが公表されました。2013年11月から2023年4月まで、顧客の車両位置情報や車載端末の識別番号など、顧客の個人データおよそ215万人以上が漏えいしていた可能性があると判明しました。

約10年間にわたり外部から閲覧可能な状態になっており、誤設定が発覚後、B社は外部からのアクセスを遮断する措置を講じています。

CSPMの5つの機能

CSPMの5つの機能を紹介します。

1. パブリッククラウドの利用状況とリスクの可視化
2. 複数のクラウドサービスの一元管理
3. 設定ミスの検知
4. インシデントの検知
5. 国際基準に基づいたチェック

それぞれ解説していきます。

1. パブリッククラウドの利用状況とリスクの可視化

CSPMにより、パブリッククラウドの利用状況とリスクの可視化ができます。

カスタマイズ性の高いプライベートクラウドと比べ、パブリッククラウドはそのサービス固有の設定に左右されます。セキュリティを担保するには、システムの設定状況を的確に把握することが肝要です。

CSPMソリューションは、クラウドサービスやその上に構築されたシステムの設定状況をまとめて見える化します。

ダッシュボードなどでアクセス設定や脆弱性の有無、データの管理状況などを確認できるようになります。つまり、設定不備に端を発するクラウド環境が抱えるリスクを視覚的に把握できるということです。

リスクの可視化はスムーズな対応につながり、効率的なセキュリティ担保を期待できるでしょう。

2. 複数のクラウドサービスの一元管理

AWS、Azure、GCPなど、複数のクラウドサービスを利用している場合は設定不備や管理ミスが起こりやすくなります。

なぜなら、クラウドサービスごとに利用する管理ツールが異なるため個別に管理しなければならないからです。各クラウドサービスで初期設定をする内容や箇所、アクセス権を設定するやり方が異なることがあります。その結果、認識や管理不足によって、アクセス制御不備やストレージの設定不備などが意図しないところで起こりえるかもしれません。

このようなリスクにも対応できるように、CSPMは複数のクラウドサービス（マルチクラウド）を一元管理できる機能を有しているため、各サービスをより効率良く管理できるようになるでしょう。

3. 設定ミスの検知

設定ミスの検知では、設定不備・漏れの早期発見が実現します。違反となる操作が生じたり、設定ミスが検知されたりした場合は担当者にアラートが通知されます。

即座に修正対応ができるため、被害を最小限に抑えることが可能です。また、誰がいつどのように設定を変更したか履歴を残す機能は、修正対応だけでなく再発防止にも役立つでしょう。

CSPMソリューションの種類によっては、自動で設定を修正してくれるものもあります。

4. インシデントの検知

CSPMにより、設定ミスだけでなくインシデントの検知もAPI経由で可能です。トラブルが発生する前に、効率よく問題を検知・解消することで、事業への影響を未然に防ぎます。

不審な操作、脆弱性、マルウェアの侵入など、どの範囲やレベルのインシデントの検知が必要かは利用者ごとに異なります。CSPMソリューションは多種多様であるため、要件を満たす機能を備えているものを選定することが大切です。

5. 国際規格に基づいたチェック

CSPMにより、国際規格に基づいたチェックもおこなえます。セキュリティには「CISベンチマーク」や「PCI DSS」など、国際的な規格があります。

セキュリティポリシーやクラウドの利用に関して、「違反がないか」「安全性が保たれているか」などを効率よくチェックできます。セキュリティに関する知識を有していなくても、国際規格と照らし合わせたセキュリティチェックが可能となります。

CSPMとその他のツールとの違い

CSPMと比較されるソリューションとして、CWPPやSSPM、CASBなどが挙げられます。以下では、CSPMと各ソリューションの違いについてまとめました。

• CWPPとの違い
• SSPMとの違い
• CASBとの違い

それぞれ解説していきます。

CWPPとの違い

CWPP（Cloud Workload Protection Platform）は、CSPMとともにCNAPP（Cloud Native Application Protection Platform）の構成要素に含まれています。

CNAPPとは、クラウド環境における脆弱性の検出や対処を目的とした、オールインワンのプラットフォームのことです。米国の市場調査会社であるGartnerが2021年に提唱したことで、広く知られるようになりました。

CSPMは、クラウドのAPIを用いて設定情報ログの取得、脆弱性を検知します。一方で、CWPPはワークロードに対するセキュリティの監視をおこなう違いがあります。

SSPMとの違い

SSPM（SaaS Security Posture Management）は、CSPMと同様に設定の不備や問題点を特定し、リスクの可視化をおこないますが、対象とする環境が異なります。CSPMがIaaS・PaaS環境におけるセキュリティ管理に用いられるのに対して、SSPMはSaaSアプリケーションの管理に特化しています。

CASBとの違い

CASB（Cloud Access Security Broker）は、従業員によるクラウドサービスの利用を監視・制御するためのソリューションです。クラウドの入り口を監視し、クラウドへのアクセスを管理したり、アクセスをブロックしたりします。

CSPMはリソースの設定やポリシーの評価に特化しているため、CASBとは利用用途が異なります。

CSPMツールの選び方のコツ

以下では、CSPMツールの選び方のコツを紹介します。

• 使用中のクラウドサービスプロバイダと連携できるか
• マルチクラウド環境でも使えるか
• 拡張性があるか

CSPMの重要性を理解していても、どのようにCSPMツールを選べばよいかわからない方もいることでしょう。それぞれのポイントを理解し、自社に適切なCSPMツールを選ぶためにお役立てください。

使用中のクラウドサービスプロバイダと連携できるか

CSPMでセキュリティ対策を効率化するには、API等を通じてリソースの可視化やセキュリティ評価をおこなえることが必須条件です。そのため、使用中のクラウドサービスプロバイダと連携できるかが重要です。

AWS、Azure、GCPなどメジャーなプロバイダであれば対応している可能性が高いでしょう。しかし、対応内容はソリューションごとに異なるため注意しなければなりません。

特に中小規模のプロバイダを利用している場合、CSPMソリューションによっては対応していない可能性もあります。

マルチクラウド環境でも使えるか

マルチクラウド環境で使えるCSPMソリューションなら、複数のプロバイダを利用していてもセキュリティ対策を一元管理できます。

また、現状は1つのプロバイダしか利用していない場合でも、事業の拡大などでマルチクラウド環境へ移行する可能性もあるでしょう。そのため、基本的にはマルチクラウドの環境で使えるソリューションを選ぶことをおすすめします。

拡張性があるか

拡張性（スケーラビリティ）があるかどうかも重要です。

クラウドインフラが成長し、新しいリソースやサービスが追加されると、それらのセキュリティ管理が追いつかない可能性があります。CSPMが適切に拡張されなければ、新しいリソースのセキュリティポリシーが不明確になり、管理が困難になる可能性があります。

大切なデータや情報資産を適切に管理するためにも、拡張性に注意してCSPMソリューションを選びましょう。

CSPMの今後について

日本のクラウドシフトが進むにつれて、クラウドセキュリティソリューションの必要性と需要は今後ますます高まるでしょう。

CSPMをはじめ、CWPPやCNAPP、CASBなど、さまざまなソリューションの導入が必須となることが予想されます。セキュリティ対策を効率化するためには、自社に合ったソリューション選びが欠かせません。

また、ソリューションの管理も複雑化していくため、担当者が使いこなせるものを導入することも重要です。

CSPMの管理・運用なら「yamory」がおすすめ

CSPMの管理・運用なら、「yamory」までご相談ください。

株式会社アシュアードが提供するyamoryは、ITシステムの脆弱性を自動で検知し、管理・対策できるクラウドサービスです。

yamoryでは2023年2月より、CSPMの正式販売を開始しています。「yamory」のCSPMには、以下のような特徴があります。

• 3大クラウド（AWS、Azure、GCP）の設定不備を検知・管理
• クロスプラットフォーム環境で同一基準の検査をおこない設定不備を自動検知、対応フローを構築
• 国産サービスならではの日本語対応
• 脆弱性管理と合わせてITシステムのリスク管理をオールインワンで実現

使いやすいセキュリティツールをお探しの方は、ぜひご検討ください。