想定以上のクラウド設定ミスを検出？ 見落としからのトラブル発生を仕組みで防ぐ「CSPM」とは（2/3 ページ）

[高橋睦美，ITmedia]

　CSPMとは、文字通り訳せばクラウドのセキュリティへの構え（Security Posture）、つまり設定を把握し、管理していくツールとなる。「基本的にはIaaSとPaaSを対象に、API連携によって設定を確認し、あらかじめ設定されたルールに基づいて内容をチェックし、もし問題があればアラートを出す仕組み」（斉藤さん）。いったん準備すれば、以降は定期的に自動的に設定を確認し、ルールと実際の設定に乖離（かいり）がないかを継続的にチェックするという。

　サービスによって異なるが、検査ルールのベースとなっているのは「CIS Controls」や「PCI DSS」、米国標準技術研究所（NIST）のサイバーセキュリティフレームワークといったグローバルなガイドラインの他、欧州のGDPRのような法規制だ。クラウド事業者が用意しているベストプラクティスを盛り込んでいるケースもあるという。

　例えばチェックしたい設定を「アカウント管理や認証」「アクセス制御」「リソースの公開」といったカテゴリーに分けた上で、アカウント管理ならば「二要素認証を有効化しているか」「複雑なパスワードを設定するようポリシーを設定しているか」といった事柄をチェックしていく。中には「ログ取得の設定を有効化しているかどうか」「サービスの可用性を確保する手立はあるか」といった項目をチェックできるサービスもあるという。

　つまり担当者が最新のクラウドサービスに精通していなくても、情報漏えいなどにつながり得る設定項目が適切な状態になっているかどうかを、設定を一つ一つ確認せず確認できるわけだ。クラウドサービスの活用範囲が広がれば広がるほど、メリットがある仕組みといえるだろう。

　ただ、注意点もある。「例えばAWSならば、マネージドサービスなど100を越えるサービスが存在する。CSPMはメジャーなサービスはカバーしているものの、全てには対応しておらず、ものによってはチェックできないこともある。要件に合わせて確認する必要があるだろう」（斉藤さん）

シングルクラウドよりマルチクラウド向き？

　2人によれば、CSPMの強みはマルチクラウドの運用負荷を下げやすい点にあるという。

　実は、こういったクラウドサービスの状況を監視するサービスは、AWSなら「AWS Config」、Azureならば「Security Center」など、クラウドベンダーがそれぞれ自社のサービス向けに提供している。単一のクラウドだけを使っている場合であれば、CSPMを使わずとも、これらを活用することで、設定が各種ガイドラインに沿った状態になっているか把握できる。

　しかし、部署や事業部ごとに、あるいは用途に応じて複数のクラウドを使い分けているマルチクラウド環境の場合は、これらのサービスだけでは対応が難しいという。

　「クラウドによって管理方法が異なる中、それぞれに設定を投入して継続して管理していくのは非常に大変。マルチクラウドに対応したサードパーティーのCSPMを使えば、同じコンソール、同じUIで設定でき、運用の負荷を下げられる」と斉藤さん。

　NRIセキュアが提供している、Palo Alto NetworksのCSPMソリューション「Prisma Cloud」についても、ある程度規模が大きく、マルチクラウドを採用している企業からの相談が多いという。