想定以上のクラウド設定ミスを検出？ 見落としからのトラブル発生を仕組みで防ぐ「CSPM」とは（1/3 ページ）

[高橋睦美，ITmedia]

　クラウド基盤上で発生するセキュリティインシデントが企業を悩ませるようになっている。サービス事業者と利用者がそれぞれ責任範囲を分担する考え方「責任共有モデル」を理解し、必要な対応を取っている企業でも、設定ミスや見落としに起因する情報漏えいやリソースの不正利用といった事故が発生している。

　そんな中、クラウドの設定ミスを防ぐ手段として注目を集めているのがCSPM（Cloud Security Posture Management）というソリューションだ。米Palo Alto Networksや米McAfeeなどが製品を開発している他、ガートナーが2020年に発表した「日本におけるセキュリティ（デジタル・ワークプレース）のハイプ・サイクル」でも、2〜5年以内に浸透する技術の一つに挙がっている。

NRIセキュアの斉藤弘之さん

　この記事ではCSPMの効果や役割、そして日本における利用の現状について、20年からCSPM製品を提供するNRIセキュアテクノロジーズ（NRIセキュア）の斉藤弘之さん（DXセキュリティ事業本部クラウドセキュリティ事業部セキュリティエンジニア）と中山潤一さん（マネージドセキュリティサービス事業本部MSS事業開発部上級ITセキュリティコンサルタント）に話を聞きながら掘り下げてみる。

特集：ニューノーマル時代のクラウドセキュリティ

企業のあらゆるデータがさまざまな形態のクラウドに分散化する中、オンプレミスで構築していた時代の情報セキュリティ対策は通用しない。抜本的に考え方を変える必要がある。本特集では、クラウドファースト時代における企業の情報セキュリティ対策の最前線を追う。

クラウドの変化に追い付けない実情が事故の背景に

　まず、クラウドの設定ミスを巡る現状を整理する。

　過去にたびたび報道があったこともあり、設定ミスによる情報漏えいというと「クラウドストレージ上に、誰でも閲覧可能な状態のまま重要なデータを保存してしまった」といった単純なミスを思い浮かべる人も多いだろう。しかし斉藤さんによると、クラウドの利用が拡大し、理解が広がるにつれ、こうした単純な設定ミスは減っているという。

　一方で、アカウント設定などの不備を突かれて不正なプログラムを設置され、大量の情報漏えいにつながるといった事件は依然としてなくなっていない。

　単純なミスが減る一方で、こうした事態が減らない背景について、斉藤さんは「クラウドの利用が拡大する中、セキュリティ担当者も自分なりに設定を調べてはいるものの、それ以上に速いスピードで新しいサービスや新機能が出てくる。そのため、キャッチアップが追い付いていないケースもみられる」と指摘する。

　漏えいがなくならない理由は他にもある。中山さんは、IT部門だけでなく事業部門によるクラウドの利用が活発化していることも、トラブルが発生する理由の一つかもしれないと話す。

　「今までのオンプレミスの情報システムは、システム管理部門が一括して管理してきた。しかし昨今のクラウド利用は、情報システム部よりも事業部門の方が主体となって契約を行い、設定変更を行うケースが増えている。現場側の担当者に設定やセキュリティに関する知識が不足していると、適切な設定が行えずに事故につながるケースも多いと考えている」（中山さん）

　こうした事態への対策として、社内でクラウド利用時のセキュリティガイドラインやルールを作成し、現場と共有するケースも増えている。ただ、中山さんによれば「なかなかその運用がうまく回らず、チェックできていない印象がある」という。

ガイドラインを基にミスを発見　トラブルを防ぐCSPMのメカニズム

　とはいえ、そもそも人間はミスをするものだ。いくらルールを定めても徹底しきれない可能性はある。ならば、機械的に、自動的に、そして継続的にチェックできる仕組みを作るほうが合理的──というわけで生まれてきたのがCPSMだ。