DX(デジタルトランスフォーメーション)の進展により、AWS(Amazon Web Services)やGCP(Google Cloud Platform)、Microsoft Azureといったパブリッククラウドは、多くの組織で当たり前に利用されるようになりました。おそらく、皆様の組織でもクラウドサービスの導入が年々進んでいるのではないでしょうか?
しかし、その一方で浮上しているのが、ヒューマンエラーによる情報漏洩の問題です。従来のオンプレミス環境とは異なるクラウド環境には、特別な運用スキルが必要であり、さらに複雑な設定を適切に行うことが求められます。このため、設定ミスや標準設定からの変更漏れといった人為的なミスが原因で、情報漏洩のリスクがますます高まっています。こうしたリスクの高まりを示す情報の1つとして、IPA発表の「情報セキュリティ10大脅威」では、「不注意による情報漏えい等の被害」が前年度9位から6位に位置づけられ、設定ミスなどの不注意を原因とする情報漏洩の脅威が年々高まりつつあることが伺えます。
出典:「情報処理推進機構(IPA) 情報セキュリティ10大脅威 2024」を基に作成 (2024/9/19参照)
こうした背景から、近年注目を集めているのが CSPM(Cloud Security Posture Management) です。皆様もCSPMという言葉を耳にすることが増えてきているのではないでしょうか?
確かにCSPMは、パブリッククラウド内の設定を監視し、適切な設定へと修正するための非常に有用なツールです。しかし、実際のところ、CSPMだけではクラウドセキュリティの万全を期すことはできません。
本ブログでは、CSPMの基本を解説するとともに、なぜCSPMだけでは十分なクラウドセキュリティとなり得ないのか掘り下げていきます。
CSPMとは
CSPM(Cloud Security Posture Management)とは、「クラウドセキュリティ態勢管理」とも呼ばれる、クラウド環境のセキュリティ状況を管理するためのソリューションです。この概念は2017年ごろに登場しましたが、現時点では特定の機関や調査会社による明確な基準や必要機能の定義はまだ確立されていません。
一般的に、CSPMはIaaSやPaaSなどのパブリッククラウドに対して、以下のような機能を提供することが期待されています。
- マルチクラウドに対する設定管理機能
複数のパブリッククラウド環境を対象に、各種設定を一元管理する機能です。これにより、クラウドごとの管理の煩雑さを軽減します。 - 一律のセキュリティポリシー適用およびリスク検出
全てのクラウド環境で統一されたセキュリティルールを適用し、設定の監査を実施。不適切や非推奨の設定を検出し、是正を促します。 - コンプライアンス報告
検出された不適切な設定やリスクに関してレポートを作成し、コンプライアンス対応をサポートします。
CSPMの主な目的は、組織が利用するマルチクラウド環境全体を一貫して監視し、設定ミスやリスクを評価することで、セキュリティ態勢の強化を図ることにあります。
CSPMで発見できないクラウドリスクとは
ところで、CSPMを活用すれば、クラウドセキュリティは万全と言えるのでしょうか?
実は、CSPMだけでは十分にカバーできないセキュリティリスクが存在します。以下は、その一例です。
- インターネットに公開されたまま90日以上放置されている資産
- 重要な機密データを保持したままインターネット公開設定になっているクラウドストレージやデータベース
- Write(書き込み)権限が許可され、インターネット公開されているバケット
- パブリックにアクセス可能なKubernetes APIサーバー
- 特定の脆弱性が未対応のままインターネットに公開されているサーバー
- 漏洩したパスワードや脆弱なパスワードが使いまわされているインターネット公開サーバー
- 誰も利用していないIAMロール
- MFA(多要素認証)が適用されていない管理者権限アカウント
- クラウド内に潜むマルウェア
基本的に、CSPMソリューションがチェック対象とするのは、パブリッククラウド環境の設定に限られます。つまり、個々のサーバーやコンテナ、サーバーレスな資産、IDやロール、ネットワーク設定、そしてそれらに保持されているデータは、CSPMの範囲外となることが多いのです。
実際のところ、クラウドの資産を守るためには、CSPMだけではなく、さまざまな専用のクラウドセキュリティ対策が必要です。例えば、クラウドワークロードを保護する CWPP(Cloud Workload Protection Platform) や、コンテナ(Kubernetes)保護に特化した KSPM(Kubernetes Security Posture Management)、さらにはIDやロールを保護する CIEM(Cloud Infrastructure Entitlement Management) など、複数のソリューションを組み合わせる必要があります。
こうした背景から、これらの機能を一括で提供する新たな市場として CNAPP(Cloud Native Application Protection Platform) が注目を集めだしているのです。
Orca SecurityでCNAPPを実現
弊社では、CSPMを含むさまざまなクラウドセキュリティ機能を一括で提供するソリューションとして、Orca Security社のOrcaプラットフォームを取り扱っています。
Orcaプラットフォームは、AWS、Microsoft Azure、GCP、OCI(Oracle Cloud Infrastructure)、Alibaba Cloudの5つの主要なパブリッククラウド環境を対象に、皆様の日々のクラウド運用やセキュリティ管理を、単一のダッシュボードで、しかもエージェントレスで簡単に実現することができます。シャチ(Orca)が獲物を探す際に使うエコーロケーションのように、OrcaはAPI連携によるスキャンを通じて、常に変化するクラウド環境内に潜む脆弱性や不適切といったセキュリティリスクを発見します。
特に注目すべきは、CSPM、CWPP、CIEM、KSPM、CDRなど、クラウドセキュリティに必要な機能を一つのプラットフォームで提供する点です。これにより、Orcaは**CNAPP(Cloud Native Application Protection Platform)**として、包括的なクラウドセキュリティ対策を実現し、複数のツールを使い分ける必要がなくなります。これにより、クラウド上のあらゆるセキュリティリスクを効果的に発見し、対応することが可能です。
弊社ではOrcaプラットフォームの販売や導入サポートに加え、無償のアセスメントサービスを期間限定で提供しています。Orcaの力を体験してみたい方は、ぜひお気軽にお問い合わせください。
現在受付中のセミナー・イベント
Orca SecurityによるクラウドセキュリティWebinarシリーズ クラウドに潜むリスクの実態とは編
今回の企画では、製品紹介からクラウドのリスクに対する対策、またPOCやアセスメントでご提示するレポートの解説など、その回ごとに異なるテーマで解説をします。
サイバー攻撃対策の新常識!攻撃を受けるリスクを減らすための予防対策を解説!
本ウェビナーでは、新しいCTEMの考え方を紹介するとともに、最近注目を集めている3つの領域、公開IT資産の適切な監視や管理を行うためのASM、クラウド資産の適切な監視や管理を行うためのCNAPP/CSPM、そして組織が保持するデータの適切な監視や分類を支援するDSPMについて概要を解説します。
