Content
クラウドセキュリティは脅威が出現した後の対応に依存する側面があります。とはいえ、アメリカ建国期の有名な格言に、「百の治療よりも一の予防」というものがあります。CSPM(Cloud Security Posture Management)を活用して、セキュリティリスクの多くが具現化しないようはじめから抑え込むのが理想的です。
このため、CSPM をクラウドセキュリティ戦略に組み込んでおく必要があります。この記事では、CSPM とは何か、なぜ CSPM が重要なのか、クラウド環境に CSPM をどのように導入すべきかについて説明します。
CSPM とは
CSPM(Cloud Security Posture Management)とは自動化ツールを活用して、クラウド環境に影響し得るさまざまな脅威から自社をデフォルトで可能な限り保護することです。クラウドセキュリティにスピードと効率をもたらし、あらゆる種類のクラウドワークロードに対応する柔軟なセキュリティ戦略を実現できる CSPM は、すべてのクラウドセキュリティ戦略の土台となります。 CSPM はほぼすべての種類のクラウドセキュリティ脅威に対応します。たとえば、機密データへのパブリックアクセスを許可する IAM ポリシーといった不適切な構成を見つけるのに役立ちます。また、CSPM ツールを使うと、クラウドワークロード間の分離が不十分なクラウドネットワーク構成を特定できます。“Posture Management” のたとえ話
“Cloud Security Posture Management”(クラウドセキュリティ体制管理)という言葉は、最初はやや難解に聞こえるかもしれません。何といっても “posture management”(姿勢の管理)といえば、サイバーセキュリティチームではなくカイロプラクターに説明してもらうべき事柄ではないでしょうか。 しかし実際のところ、CSPM の中核をなす考えは、デフォルトで安全な構成を確立することでクラウド環境内に強力な “姿勢” を築き、攻撃者が防御体制を “覆し” て環境を侵害することを可能な限り困難にするというものです。 この意味において、CSPM はレスリングや格闘技で防御姿勢をとることと同じです。環境の運用能力全体の基礎となります。テコンドーで相手に倒されやすい位置に立っていてはうまく戦えないのと同じように、環境全体にわたる安全な構成がおろそかになっていてはクラウドセキュリティで優れた成果をあげるのは難しいでしょう。Cloud Security Posture Management が重要である理由
CSPM をより広範にわたるクラウドセキュリティ戦略に組み込むことで、複数の重要なメリットを得られます。 セキュリティの自動化と効率 第一に、CSPM はセキュリティワークフローの自動化に役立ちます。CSPM ツールを使えば、クラウド構成を手動で評価してから個々のリスクの調査と修復を手作業で行う必要がなくなり、チームは環境内のすべてのクラウド構成を自動的かつ継続的に解析できます。その結果、発生したリスクを即座に検出でき、エンジニアが費やす時間や労力を最小限に抑えることができます。 場合によっては、CSPM ツールで修復も自動化できます。たとえば、不備のあるアクセス制御ルールをより安全なルールに更新したり、使われなくなったユーザーアカウントを無効にしたりすることができます。 セキュリティの一元的な可視化 CSPM ツールはほぼあらゆる種類のクラウドワークロードの構成をスキャンでき、複数のクラウドにわたって使うこともできるため、セキュリティの一元的な可視化に効果的です。CSPM プラットフォームを使うと、すべてのクラウドリソースのリスクの特定、評価、管理を 1 カ所から行えます。これによって、クラウドごと、または IT 環境内のリソースごとに評価を行う必要がなくなります。 リスクの優先順位付け 高度な CSPM ツールを導入すれば、セキュリティリスクを特定するだけでなく、その重大度に基づいてセキュリティリスクを分類することもできます。 たとえば、CSPM プラットフォームではインターネット上で公開されている S3 バケットを優先度の高いリスクとして分類するはずです。これは大規模なデータ漏洩を引き起こすおそれがあるからです。一方、複数のユーザーがアクセスできる状態になっているがインターネット上で公開されていない S3 バケットについては、より優先度が低くなるでしょう。この状況には最小権限の原則が適用されていないことが考えられるため引き続きチームによる調査が必要ではありますが、インターネット上で誰でもデータを閲覧できる状態になっているリスクよりは重大度が低いと言えます。 リスクの優先順位付けはチームがセキュリティリスクに関する大量のアラートを管理するうえで重要です。重大度の高いリスクから修復していくことで時間を有効に使うことができるようになります。CSPM プロセスの基本となる 4 段階
CSPM の具体的な内容は使っている CSPM ツールとツールを実行するクラウドプラットフォームによって異なります。とはいえ、一般に CSPM プロセスの基本となる段階は以下の 4 つです。- CSPM 要件の定義 まずは、どのようなセキュリティリスクを特定および管理するかを定義します。ほとんどの CSPM プラットフォームには一般的なセキュリティ上の構成ミスを検出するためのさまざまなルールが事前に設定されています。必要に応じて、組織のワークロードに合わせてカスタマイズした定義や、コンプライアンスを確保するために従うべきセキュリティルールを追加します。
- クラウド環境の継続的なスキャン CSPM ツールは管理者が定義したルールに基づいて、継続的にクラウド環境をスキャンし構成を分析してセキュリティリスクを検出します。新しい構成ファイルを追加したり既存の構成ファイルを変更したりすると、そのファイルはリスクを検出するために解析されます。
- リスクの重大度の評価 CSPM ツールではリスクを検出すると、リスクの重大度を評価しリスクに優先順位を付けることができます。これによってチームはどのリスクから先に対応すべきかを把握できます。
- リスクの修復 CSPM プロセスの最終段階では、リスクを引き起こしている構成を更新することでリスクを修復します。一般にこのタスクは IT エンジニアや管理者が担いますが、一部のリスクは CSPM ツールで自動的に修復できることもあります。