CSPM（Cloud Security Posture Management）とは

クラウドセキュリティは脅威が出現した後の対応に依存する側面があります。とはいえ、アメリカ建国期の有名な格言に、「百の治療よりも一の予防」というものがあります。CSPM（Cloud Security Posture Management）を活用して、セキュリティリスクの多くが具現化しないようはじめから抑え込むのが理想的です。 このため、CSPM をクラウドセキュリティ戦略に組み込んでおく必要があります。この記事では、CSPM とは何か、なぜ CSPM が重要なのか、クラウド環境に CSPM をどのように導入すべきかについて説明します。

CSPM とは

CSPM（Cloud Security Posture Management）とは自動化ツールを活用して、クラウド環境に影響し得るさまざまな脅威から自社をデフォルトで可能な限り保護することです。クラウドセキュリティにスピードと効率をもたらし、あらゆる種類のクラウドワークロードに対応する柔軟なセキュリティ戦略を実現できる CSPM は、すべてのクラウドセキュリティ戦略の土台となります。 CSPM はほぼすべての種類のクラウドセキュリティ脅威に対応します。たとえば、機密データへのパブリックアクセスを許可する IAM ポリシーといった不適切な構成を見つけるのに役立ちます。また、CSPM ツールを使うと、クラウドワークロード間の分離が不十分なクラウドネットワーク構成を特定できます。

“Posture Management” のたとえ話

“Cloud Security Posture Management”（クラウドセキュリティ体制管理）という言葉は、最初はやや難解に聞こえるかもしれません。何といっても “posture management”（姿勢の管理）といえば、サイバーセキュリティチームではなくカイロプラクターに説明してもらうべき事柄ではないでしょうか。 しかし実際のところ、CSPM の中核をなす考えは、デフォルトで安全な構成を確立することでクラウド環境内に強力な “姿勢” を築き、攻撃者が防御体制を “覆し” て環境を侵害することを可能な限り困難にするというものです。 この意味において、CSPM はレスリングや格闘技で防御姿勢をとることと同じです。環境の運用能力全体の基礎となります。テコンドーで相手に倒されやすい位置に立っていてはうまく戦えないのと同じように、環境全体にわたる安全な構成がおろそかになっていてはクラウドセキュリティで優れた成果をあげるのは難しいでしょう。

Cloud Security Posture Management が重要である理由

CSPM をより広範にわたるクラウドセキュリティ戦略に組み込むことで、複数の重要なメリットを得られます。 セキュリティの自動化と効率 第一に、CSPM はセキュリティワークフローの自動化に役立ちます。CSPM ツールを使えば、クラウド構成を手動で評価してから個々のリスクの調査と修復を手作業で行う必要がなくなり、チームは環境内のすべてのクラウド構成を自動的かつ継続的に解析できます。その結果、発生したリスクを即座に検出でき、エンジニアが費やす時間や労力を最小限に抑えることができます。 場合によっては、CSPM ツールで修復も自動化できます。たとえば、不備のあるアクセス制御ルールをより安全なルールに更新したり、使われなくなったユーザーアカウントを無効にしたりすることができます。 セキュリティの一元的な可視化 CSPM ツールはほぼあらゆる種類のクラウドワークロードの構成をスキャンでき、複数のクラウドにわたって使うこともできるため、セキュリティの一元的な可視化に効果的です。CSPM プラットフォームを使うと、すべてのクラウドリソースのリスクの特定、評価、管理を 1 カ所から行えます。これによって、クラウドごと、または IT 環境内のリソースごとに評価を行う必要がなくなります。 リスクの優先順位付け 高度な CSPM ツールを導入すれば、セキュリティリスクを特定するだけでなく、その重大度に基づいてセキュリティリスクを分類することもできます。 たとえば、CSPM プラットフォームではインターネット上で公開されている S3 バケットを優先度の高いリスクとして分類するはずです。これは大規模なデータ漏洩を引き起こすおそれがあるからです。一方、複数のユーザーがアクセスできる状態になっているがインターネット上で公開されていない S3 バケットについては、より優先度が低くなるでしょう。この状況には最小権限の原則が適用されていないことが考えられるため引き続きチームによる調査が必要ではありますが、インターネット上で誰でもデータを閲覧できる状態になっているリスクよりは重大度が低いと言えます。 リスクの優先順位付けはチームがセキュリティリスクに関する大量のアラートを管理するうえで重要です。重大度の高いリスクから修復していくことで時間を有効に使うことができるようになります。

CSPM プロセスの基本となる 4 段階

CSPM の具体的な内容は使っている CSPM ツールとツールを実行するクラウドプラットフォームによって異なります。とはいえ、一般に CSPM プロセスの基本となる段階は以下の 4 つです。

1. CSPM 要件の定義 まずは、どのようなセキュリティリスクを特定および管理するかを定義します。ほとんどの CSPM プラットフォームには一般的なセキュリティ上の構成ミスを検出するためのさまざまなルールが事前に設定されています。必要に応じて、組織のワークロードに合わせてカスタマイズした定義や、コンプライアンスを確保するために従うべきセキュリティルールを追加します。
2. クラウド環境の継続的なスキャン CSPM ツールは管理者が定義したルールに基づいて、継続的にクラウド環境をスキャンし構成を分析してセキュリティリスクを検出します。新しい構成ファイルを追加したり既存の構成ファイルを変更したりすると、そのファイルはリスクを検出するために解析されます。
3. リスクの重大度の評価 CSPM ツールではリスクを検出すると、リスクの重大度を評価しリスクに優先順位を付けることができます。これによってチームはどのリスクから先に対応すべきかを把握できます。
4. リスクの修復 CSPM プロセスの最終段階では、リスクを引き起こしている構成を更新することでリスクを修復します。一般にこのタスクは IT エンジニアや管理者が担いますが、一部のリスクは CSPM ツールで自動的に修復できることもあります。

CSPM の対応範囲

CSPM はクラウドセキュリティに不可欠な要素ですが、CSPM では対応できないクラウドセキュリティ脅威の種類があることを認識しておくことは重要です。 CSPM の主要な目的は、クラウドワークロードを定義する構成に潜むセキュリティリスクを特定することです。言い換えれば、CSPM を導入することで、意図せずに攻撃者による環境の侵害や機密データへのアクセスを容易にしている構成を特定できるようになります。 ただし、CSPM はすでに進行中の攻撃を検出するようには設計されていません。CSPM は発生中の侵害を特定するためにクラウドログや監査証跡などのデータソースを分析するソリューションではありません。こうした目的にはセキュリティ情報およびイベント管理（SIEM: Securing Information and Event Management）またはセキュリティの自動化と統合による対応（SOAR: Security Automation, Orchestration and Response）プラットフォームのようなツールを利用します。 また、CSPM はアプリケーションレベルのセキュリティリスクにも対応しません。たとえば、ソースコードやコンテナイメージをスキャンして脆弱性を検出するといったことはできません。これにはソースコード分析やイメージスキャナなどのツールを使います。

CSPM と責任共有

効果的な CSPM 戦略を策定するためには、クラウド内での責任共有という概念について理解する必要があります。 責任共有とは、パブリッククラウドプロバイダがクラウド環境の保護に対する責任を顧客と共有することです。クラウドプロバイダはクラウドインフラへの物理アクセスの保護や、クラウドワークロードをホストするベアメタルサーバーの保護に責任を負います。 その一方で、クラウド内にデプロイするワークロードの保護は顧客自身に任せます。パブリッククラウドには、IAM フレームワークや仮想ネットワーク構成など、このプロセスに役立つツールが用意されています。ただし、こうしたツールを適切に使って自身のクラウド環境を保護することは顧客側の責任となります。 CSPM はここで顧客を助ける中心的な役割を果たします。セキュリティリスクについて構成を自動スキャンすることで、クラウドのエンドユーザーがデプロイする設定がベストプラクティスとコンプライアンスルールに合致するよう促します。

CSPM は安全なクラウドの前提条件

端的に言えば、規模に関係なく、CSPM を活用しなければ安全なクラウド環境の構築は望めないということです。ごく小規模なクラウド環境であれば手作業で構成を入念に調べることも可能かもしれません。ただし、大規模で複雑なクラウド環境では、今後発生するあらゆる脅威からデフォルトで可能な限り保護するには CSPM による自動化が欠かせないでしょう。