　「人手が足りない中、手が回らず、CSPMから多数上がってくるアラートがそのまま放置されてしまうケースも多い。クラウドはIT部門だけでなく事業部門にもアカウントのオーナーが多数いるため、CSPM運用では関係者が非常に多くなる。そうした関係者にきちんと適切に説明ができるか、パスをつなげてコミュニケーションできるかが一つの課題」（中山さん）

NRIセキュアが21年から提供しているサービスのイメージ（公式サイトから引用）

　こうした事態に対し、NRIセキュアはアラートを確認して導入企業の担当者に連絡し、設定をチェックするよう呼び掛けたり、検査ルールのチューニングをしたりといったサポートを行うサービスも21年から提供。ソリューションの導入だけでなく、運用管理まで受け持つマネージドサービスのような形にして対応しているという。

今後は類似ソリューションとの統合が進む？

　2人はCSPMについて、今後は類似の技術とセットになった製品が主流になっていくのではないかと予測する。

　クラウド環境のセキュリティ対策を支援するソリューションは、アプリケーション単位で可視化と制御を行う「CASB」にはじまり、クラウド上のワークロードを保護する「CWPP」、IaaS／PaaSに対するCSPMと同様に、SaaSに対して設定チェックを行う「SSPM」といったカテゴリーが登場している。

　「今後、こうした機能もCSPMのような既存のサービスに統合され、クラウドという広い範囲をカバーできるような製品になっていくのではないかと予想している」と斉藤さん。現にPalo Alto Networksでは、CSPMとCWPPを単一のコンソールで設定できるようにするなど、統合の動きを進めているという。

NRIセキュアの中山潤一さん

　さらにCSPMの結果をSIEM（Security Information and Event Management：セキュリティ情報イベント管理）やSOAR（Security Orchestration Automation and Response：セキュリティのオーケストレーションと自動化による対応）などのセキュリティ管理システム、もしくは各種チケット管理システムなどと連携させ、アラートがあったときの対応を効率化する仕組みも整えられていく可能性があるとしている。

　こうした仕組みが広まっていけば、設定ミスを防ぐセキュリティの運用負荷やコストは、今より削減できるようになるかもしれない。

クラウドの設定ミスを防ぐコツは？　100を超えるSaaSを比較した“SaaSおじさん”に聞く
クラウドサービスを導入する企業が増える一方で、設定ミスなどが原因のセキュリティ事故を心配する声も多い。では、どのような対策があるのか。クラウドの導入支援を手掛けるネクストモードの“SaaSおじさん”に説明してもらった。
クラウドからの情報漏えい、責任は誰に？　SaaSやPaaSの大前提「責任共有モデル」とは　総務省が解説
クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。
クラウド利用で高まる情報セキュリティリスク、その原因は？　IT担当者が身に付けるべき運用の心構え
クラウドサービスの業務利用が当たり前になった今、情報セキュリティに関するネガティブなニュースが目に付くことも非常に増えた。自身が被害者にならないために、そして二次的な被害の加害者にならないために何ができるのか。
クラウドの設定ミス、気を付けても見落としがちな“あるポイント”　セキュリティ診断会社に聞く
クラウドサービス、特にSaaSの設定ミスによって相次ぐ情報流出。こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際に診断サービスを提供するラックに、企業の動向や見落としがちな設定を聞いた。
「クラウド設定ミス」がなくならないワケ　実は経営側にも責任？　セキュリティ診断企業に聞く
クラウドの設定ミスに起因するセキュリティのトラブルが後を絶たない。こういったミスがなくならない背景には、単純な手違いだけでなく企業の経営側にも原因があるという。セキュリティ診断を手掛けるラックに、設定ミスがなくならない理由を聞く。