全2399文字
PR

 CSPM(Cloud Security Posture Management)は、クラウドサービスであるIaaS(Infrastructure as a Service)とPaaS(Platform as a Service)の設定をセキュリティーの観点からチェックする仕組みだ。

 クラウドとAPI(Application Programming Interface)で連携し、構成情報やログ、インシデント発生時のアラート情報などを取得する。取得した情報を基に、クラウドの設定に修正すべき箇所がないか確認する。

IaaSやPaaSと連携して設定をチェック
IaaSやPaaSと連携して設定をチェック
[画像のクリックで拡大表示]

公的な基準を基にチェック

 設定のチェックには、CSPMが備えるデータベースを利用する。データベースには、クラウドの適切な設定および不適切な設定の例が多数収容されている。CSPMは、このデータベースと実際の設定状況を照合し、不適切な設定箇所を見つけ出す。

 データベースはNIST CSF(National Institute of Standards and Technology Cyber Security Framework)やGDPR(General Data Protection Regulation)、PCI-DSS(Payment Card Industry Data Security Standard)などの公的なセキュリティー基準を基に、CSPMを提供するベンダーが作り込む。

 IaaS、PaaSのアップデートやセキュリティー環境の変化に対応するため、データベースは随時更新される。利用企業がカスタマイズすることもできる。企業独自のルールやセキュリティーポリシーをデータベースに追加すれば、それに違反する設定も洗い出せる。

 不適切だと判断される設定としては、例えばオンラインストレージの公開設定がある。複数のセキュリティー基準が、データへアクセスできる人や端末を必要最低限にすべきだとしている。

 このためほとんどのCSPMのデータベースでは、PaaSのオンラインストレージをパブリック(全体公開)に設定するのは不適切としている。パブリックの設定を見つけると、CSPMは管理者に通知して設定変更を促す。

 データの暗号化も例として挙げられる。ほとんどのセキュリティー基準は、保存するデータや伝送するデータを保護すべきだとしている。このため多くのCSPMは、保存時のデータを暗号化しないストレージを見つけると、暗号化するよう管理者に促す。

 製品によっては、不適切な設定を見つけると自動で修正する機能を備える。だが完全に自動化しているケースは少ない。重要な顧客との一時的なデータの共有などの際には、一般的には不適切とされる設定にするケースがあるためだ。このため多くの場合、CSPMが不適切な設定を見つけても自動的には対応させず、管理者に通知して判断を仰ぐ運用にしている。

 複数のベンダーが提供するIaaSやPaaSを、1つのコンソールから管理できるのもCSPMの特徴である。今まではそれぞれのサービスのコンソールにログインする必要があった。それぞれの操作手順も覚えなければならない。CSPMなら1つのコンソールから、それぞれのサービスの設定を一元管理できるので、担当者の負荷は大幅に軽減される。