セキュリティポスチャは、組織のサイバーセキュリティ強度のことで、セキュリティ脅威を検知し対応する能力の評価も含まれます。つまり、論理的には、セキュリティポスチャ管理は、セキュリティポスチャ管理ソフトウェアによって、組織の脅威の検知と対応を監視して制御することを意味します。
セキュリティポスチャには、ネットワーク、デバイス、ユーザー、データをあらゆる脅威から保護するための次のようなツールや戦略が含まれます。
組織のリスクプロファイルを最小限に抑え、潜在的な脅威に対応し、セキュリティコンプライアンス標準を遵守することができれば、セキュリティポスチャはより強固なものになります。
セキュリティポスチャは前述の通りですが、Cloud Security Posture Management (CSPM) は、組織とクラウド間の設定ミスを特定し修正することを目的とした一連のセキュリティツールとプラクティスを意味しています。具体的には、Amazon Web Services (AWS)、Microsoft Azure、Google Cloud、などのクラウドサービスプロバイダー (CSP) のInfrastructure-as-a-Service (IaaS) クラウド環境などのサービスを対象とします。
これは、SaaS アプリケーションの構成を扱う SaaS Security Posture Management (SSPM) とは違います。CSPMとSSPMはカバーするインフラストラクチャやプラットフォームサービスが異なるのです。
CSPMが必要な理由とは?
多くの企業がオンプレミスのデータストレージやウェブホスティングからクラウドベースのインフラストラクチャに移行する中、クラウドサービスの利用は増加傾向にあります。設定ミスに伴うセキュリティリスクは数多くあります。実際、クラウド設定ミスの48%が機密データの漏洩に繋がっています。データ、ユーザー、デバイス、システムのすべてが、意図的または意図しない侵害のリスクにさらされているのです。
クラウドインフラストラクチャを正しく設定したとしても、時間の経過とともに(意図的または意図せずに)元の設定から外れていく可能性があります。これは「設定ミスドリフト」と呼ばれるもので、データをある場所から別の場所に移動させるなど、特定の業務上の必要性から、ユーザーが例外的に権限などの設定をし直すことで発生します。問題は、このような変更によって、意図せずとも他の資産が露出してしまうことです。最終的に、これらの変更が積み重なって、クラウドの安全性が損なわれ、本来ならアクセスできないはずの人たちが資産やシステムにアクセスできるようになってしまいます。
Cloud Security Posture Managementでは、セキュリティポリシー、監視機能、および自動化されたガイド付き修復ツールを使用して、確立された設定を適用し、その設定に関する問題をログに記録します。これには、ユーザーアクセス、データ保存ルール、アプリケーションの使用、設定の変更などが含まれます。
上の図にあるように、ユーザーはIaaSプラットフォームにアクセスし、CSPMによって適用される設定やルールで管理されます。IaaSとSaaSアプリケーションの間で移動するデータは、データの取り扱い基準を準拠するために、Cloud Access Security Broker (CASB) を介して実行されます。データがSaaSアプリケーションに到達すると、SaaS Security Posture Management (SSPM) によって設定されたルールと標準が引き継がれます。
1. 継続的な評価
Cloud Security Posture Managementは、一度だけ行えばよいというものではありません。CSPMの重要なコンポーネントは、インフラストラクチャ内の設定ミスを排除するために、クラウドの状態を継続的に検出して評価することです。
2. 自動修復
CSPMは、軽微な問題や一般的な設定ミスを自動化されたガイド付き修復を行うことで、時間、コスト、リソースを節約します。これにより、アナリストは複雑なセキュリティ問題の処理により多くの時間を費やすことができます。
3. 資産分類
CSPM は、クラウドインフラストラクチャ内に存在する資産を特定し、それらが現在どのように構成されているかを分類します。これにより、セキュリティチームは、業務上のニーズ、資産、データ、ユーザー、デバイスに応じた納得のいく構成を設定することができます。
4. コンプライアンス基準の維持
HIPAA、PCI DSS、GDPRなど、企業が守らなければならないコンプライアンス基準は数多くあります。CSPMは、セキュリティ管理者がクラウド運用時にユーザーデータを取り扱う際のコンプライアンスを維持するために、主要な規制を容易に遵守するための事前定義されたコンプライアンステンプレートを提供します。
SaaS Security Posture Management (SSPM) は、クラウドセキュリティポスチャの評価も扱っています。CSPMとSSPMの違いは、評価の対象範囲だけです。CSPMは、Infrastructure-as-a-Service (IaaS) プラットフォームのセキュリティ体制を評価しますが、SSPMは小規模のSoftware-as-a-Service (SaaS) アプリケーションレベルとしてポスチャを評価します。
評価範囲を除けば、プラットフォームの機能とメリットはほぼ同じです。
この2つは比較対象としては正しくないかもしれません。クラウドセキュリティインフラストラクチャの中で、CASBとCSPMは互換性がありません。代わりに、Cloud Access Security Broker (CASB) がCSPMと連携して、クラウド内でセキュリティポリシーを適用します。具体的には、CASBは異なるクラウドサービスとそれにアクセスするユーザー間のポリシー適用ポイントとして機能します。
CSPMは、ユーザーとIaaSプラットフォーム間の設定問題を継続的に監視、評価、修正することで、CASBのこれらの実施機能を補完します。両方のサービスを使用することで、管理者はクラウドインフラストラクチャの全レベルでセキュリティポリシーを維持し、設定の流出を防止することができます。
ブログ: クラウドを正しく設定: 設定だけではありません
ウェビナー: マルチクラウドIaaS環境向けに最適化されたセキュリティ
戻る 
