クラウドテクノロジーが過去十年で企業のITを完全に一変させたことは紛れもない事実です。数回のクリックと一枚のクレジットカードだけで新しい開発プラットフォームを作成できたり、新しいSaaSアプリケーションを立ち上げられたりと、すべてが非常に簡単になりました。
しかし、この簡素化された導入モデルのメリットは、企業のITアーキテクチャに新たな課題をもたらしました。現在、多くの企業は、スタンドアロンのSaaSアプリケーションか、ハイブリッドクラウドやマルチクラウド環境におけるプラットフォーム要素かの違いはあれ、クラウドインスタンスを積極的に活用しています。このアプローチには、新たなセキュリティ態勢が必要になります。
実際、クラウドインスタンスにより企業の攻撃対象となる領域は拡大しており、CIO.comは、2023年初頭までの18カ月間で79%の企業がクラウドのデータ侵害を経験したと報告しています。 ハーバード ビジネス レビューは、2022年から2023年にかけてデータ侵害が20%増加したと報告しており、その一因としてクラウドの設定ミスが挙げられています。
設定ミスは脆弱性につながり、脆弱性はデータ侵害につながります。しかし、クラウドセキュリティ態勢管理(CSPM)ソリューションは、大規模なパブリッククラウドの展開(ハイブリッドおよびマルチクラウド環境を含む)を監視して、複雑なクラウドベースのアーキテクチャにおける設定ミスを検知し、企業のクラウド展開のセキュリティ露出を制限できます。
クラウドセキュリティ態勢管理(CSPM)について
CSPMソリューションの適用範囲は、クラウド環境全体をカバーできるほど広範である必要があります。これは、CSPMの継続的な監視と自動修復プロセスを、Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)といったあらゆるクラウドプラットフォーム、さらにプライベートクラウドにも適用する必要があるということです。またCSPMは、PaaS(Platform as a Service)やIaaS(Infrastructure as a Service)、SaaS(Software as a Service)もカバーしなければなりません。
CSPMの導入は、(オンプレミスITによって定義されてきた)従来のサイバーセキュリティからクラウドを中心としたセキュリティモデルへの移行の一環であることは間違いありません。
従来のセキュリティモデルの問題点の一つは、クラウドの所有権の分割や責任の共有モデルに対応していないことです。セキュリティの責任範囲は、クラウドプロバイダーによってだけでなく、サービスの種類によっても異なります。例えば、Microsoft Azure PaaSでは、オペレーティングシステムのセキュリティ保護はMicrosoftが責任を負います。一方、Azure上のIaaSでは、オペレーティングシステムのセキュリティは顧客の責任となります。このように責任の所在にばらつきがあるため、設定ミスが検知されず、リスクにさらされる可能性が高くなります。
もう一つの大きな問題は、単純に管理の問題です。クラウドがリスクにさらされるのは、人々がクラウドセキュリティに関するベストプラクティスに準拠しない可能性があるためです。そして、実際にベストプラクティスに準拠しているかどうかを見極めるのは非常に困難です。
CSPMでは、さまざまな技術と運用を通じてこうしたリスクの軽減を目指しています。
広範な可視性:すべてのクラウド資産に対する認識と可視性は、CSPM導入の成功に不可欠です
常に稼働中:効果的なCSPMソリューションは、クラウドの監視を決して止めません
リアルタイム:脆弱性や設定ミス、脅威が発見され次第すぐに報告を上げ対処する必要があります
自動化:CSPMのワークフローは可能な限り自動化すべきです
リスク軽減:CSPMには、発見したリスクを軽減できる自動化された手法が備わっているべきです
統合:CSPMは、さまざまな機能やソリューションを統合環境に結集し、クラウドのリスクを最大限に削減します。
ここで重要なのは、効果的なCSPMが偶発的な脅威だけでなく、意図的な脅威も軽減するということです。実際、クラウドにおけるリスクの多くは、まったく意図しない形で発生しています。例えば、人間はデータの保管場所を忘れたり、サーバーの堅牢化(ハードニング)をせずにクラウド上でソフトウェアを本番稼働させてしまったりします。したがってCSPMには、悪意のあるセキュリティ脅威と偶発的なセキュリティ脅威を区別し、適切に対応する能力が求められます。
CSPMの主要要素
CSPMとは何なのでしょうか。CSPMソリューションの主な特徴は次の通りです。
すべてのクラウドリスクに対して単一のソースを確立:CSPMソリューションは、すべてのクラウド資産を可視化し、クラウドエステートの完全な概要を作成することで、クラウドセキュリティの態勢強化に向け参照ポイントと管理ポイントの一元化を図ります。
クラウドにおける機密データの保護:企業は現在、最も機密性の高いデータの一部をクラウドに保存しています。 CSPMソリューションは、データセキュリティ態勢管理ソリューションと組み合わせることで、機密データをさまざまな攻撃から保護します。
コンプライアンスの確保:クラウドは、データ主権に関する規則違反など、規制コンプライアンスにおいて予期せぬ(あるいは未知の)問題を引き起こす可能性があります。CSPMソリューションは、全クラウド資産にわたってデータを継続的かつ包括的に監視することで、コンプライアンスに違反しているクラウド設定を特定できます。
セキュリティ運用センター(SOC)のサポート:サイバー脅威の検知と対応の大部分は、SOCで行われています。そのため、CSPMは脅威や脆弱性、設定ミスに関する情報を提供し、SOCをサポートする必要があります。またSOCは、CSPMソリューションの自動修復プロセスについても理解しておく必要があります。実際にSOCは、CSPMによる修復対応の指針となる「対応手順書(プレイブック)」を提供する場合があります。
DevOpsのセキュリティ確保:ソフトウェア開発にDevOpsモデルを採用している企業は、通常、新しいコードをクラウドに頻繁にリリースしており、場合によっては一日に数回リリースすることもあります。 この運用は、リスクにさらされる可能性を高めるおそれがあります。CSPMは、新しくデプロイされたコードの脆弱性や関連するセキュリティ問題を検知することで、クラウドにおけるアプリケーションセキュリティ(AppSec)のリスクを軽減します。
CSPMと従来のクラウドセキュリティの比較
従来のクラウドセキュリティアーキテクチャは、システムへのアクセスのセキュリティ確保に主眼を置いており、内部ネットワーク内のすべてのデバイスが信頼できるという前提で運用されています。この考え方は、境界防御メカニズム(ファイアウォールや侵入防止システムなど)を用いて外部からの脅威からネットワークを保護するという、旧来のオンプレミスセキュリティパラダイムに起因しています。
これに対して、CSPMはクラウド環境のセキュリティ態勢を継続的かつ自動的に管理、強化するアプローチを採用し、クラウドの動的でスケーラブルな特性に直接対応します。CSPMは、クラウドセキュリティ態勢を継続的に監視、管理し、クラウドインフラストラクチャ全体の設定ミスやコンプライアンス違反を特定します。
CSPMツールは、セキュリティリスクの分析とコンプライアンスの監視を自動化し、従来のセキュリティ対策のような事後対応ではなく、クラウドセキュリティに関して先手を打つ態勢を実現します。これはクラウド環境、つまり動的かつスケーラブルなリソースが従来のセキュリティモデルを脅かす複雑な構成になりやすい環境において非常に重要です。
さらにCSPMツールはクラウド環境の可視性を高め、クラウドセキュリティにおける重要な課題の一つである可視性の欠如にも対応します。設定とコンプライアンスに重点を置くこのツールは、リソース設定やデータフローが頻繁に変更され、新たな脆弱性が生じる可能性の高いクラウドサービスの特性に特に適しています。
クラウドリソース管理におけるCSPMの重要性
CSPMの導入で、組織はセキュリティに対する懸念にとらわれることなく革新的なクラウド戦略を追求できるようになります。セキュリティポリシーはしばしば、クラウドのイノベーションや貴重なクラウドリソース管理開発の障害となります。
例えば、企業がクラウドベースのIoT(モノのインターネット)デバイスと、そこから得られるすべてのデバイスデータを保存するためのクラウドデータストレージを導入するデジタルトランスフォーメーションプロジェクトを実行しようとした場合、セキュリティリスクへの懸念から、その計画が頓挫する可能性があります。CSPMを採用すれば、CSPMソリューションの統合された一元管理機能に簡単に接続できるセキュリティ対策を講じた上で、プロジェクトを展開できるようになります。
マルチクラウドインフラストラクチャにCSPMを活用しても、同様のメリットが得られます。クラウドプラットフォームの構成に対する可視性の欠如は、セキュリティ上の問題になり得ます。CSPMは、すべてのクラウドサービス、クラウドベースのアプリケーション、データ、メタデータ、構成を自動的に検出することで、この問題に対処します。そのおかげでセキュリティチームは、関連する全クラウドインスタンスを容易に監視できるのです。
CSPMの実装:戦略とベストプラクティス
CSPMの実装は、ワンクリックで完了するものではありません。既存のクラウドセキュリティツールや対策によっては、ある程度の作業が必要です。しかし、その価値はあります。
CSPM導入の効果的なアプローチの一要素は、すべてのクラウドリソースを管理し、できるだけ完全なマップを作成することです。まずは、クラウド上で保護する必要があるものを把握することから始めましょう。
次に、そのマップを既存のクラウドセキュリティフレームワークに合わせて調整します。例えば、クラウドアクセスセキュリティブローカー(CASB)の導入が考えられます。CSPMソリューションはCASBと統合される可能性が高く、CSPMの可視性と自動修復機能を備えることでセキュリティ能力を強化しています。
あるいは、特定のワークロードをエクスプロイトから守るクラウドワークロード保護プラットフォーム(CWPP)を利用している場合もあるでしょう。CSPMをCWPPと統合することで、全体的なクラウドセキュリティの効果が向上します。
こうした統合を行う理由は、クラウドセキュリティ機能の重複を避けるためです。目標は、クラウドセキュリティと運用効率のバランスを取ることであるべきです。既存のクラウドセキュリティソリューションを活用し、CSPMを最適に機能させるのがベストです。
CSPMを機能させるには、人材や組織も重要な要素であることを覚えておくことが大切です。クラウドセキュリティツールにはそれぞれ、それを使用する担当者またはチームが存在します。こうした人たちは、組織の役割分担の中に組み込まれています。その役割分担の中にCSPMを組み込み、全員がCSPMの成功に向けてそれぞれの役割と責任を理解する必要があります。
マルチクラウド環境におけるCSPMの役割
マルチクラウド環境へのCSPMの導入は、譲れない取り組みであると同時に潜在的な課題でもあります。複雑なクラウド環境のセキュリティ確保こそがCSPMの本質です。CSPMがなければ、構成の多様性(そして非常に広範で多様なマルチクラウドの範囲)により、強固なセキュリティ態勢を実現することが困難になります。
CSPMを多様なクラウドセキュリティアーキテクチャの柱として構築するのは大きな課題ですが、それほど難しいものではありません。場合によっては、CSPMプラットフォームがマルチクラウド向けのネイティブ機能を提供することもあります。例えば、Microsoft Windows Defender CSPMには、AWSとGCP向けの事前統合済みの資産インベントリー、ワークフロー自動化、修復ツールが組み込まれています。
マルチクラウド向けのCSPMは、テクノロジーだけでなく人材も重要な要素です。AWS、Azure、GCPの管理とセキュリティを担当するのは、それぞれ別のチームまたは人物になるでしょう。そうした担当者は協力して、それぞれのプラットフォームにCSPMを展開する必要があります。このワークフローを妨げる可能性のあるポリシーやインセンティブには注意すべきです。
CSPMで成功をつかむ
効果的なCSPMソリューションを導入する最良の方法は、それを補完するDSPMソリューションと組み合わせることです。これら二つの技術は連携して、クラウド環境における包括的なセキュリティカバレッジを実現します。
CSPMとDSPMを組み合わせることで、組織はインフラストラクチャ構成とデータセキュリティの両方をカバーするセキュリティ態勢を統合的に把握できます。この包括的なアプローチを採用することで、ある領域の安全を確認したことで別の領域の欠陥を見過ごすという状況がなくなります。CSPMとDSPMを連携させることで、インフラストラクチャセキュリティチームとデータセキュリティチームの連携を促進し、クラウドセキュリティにおける責任共有の文化を醸成できます。
RubrikのDSPMソリューションは、企業におけるCSPM投資の価値を高めるのに役立ちます。その手法については、こちらの無料のDSPMラボをご覧ください。