想定以上のクラウド設定ミスを検出? 見落としからのトラブル発生を仕組みで防ぐ「CSPM」とは(1/3 ページ)
クラウドの設定ミスを仕組みで防ぐソリューション「CSPM」。トラブルを防ぐ仕組みや日本における利用の現状、利用に向く組織などを、実際に製品を提供しているNRIセキュアに聞く。
クラウド基盤上で発生するセキュリティインシデントが企業を悩ませるようになっている。サービス事業者と利用者がそれぞれ責任範囲を分担する考え方「責任共有モデル」を理解し、必要な対応を取っている企業でも、設定ミスや見落としに起因する情報漏えいやリソースの不正利用といった事故が発生している。
そんな中、クラウドの設定ミスを防ぐ手段として注目を集めているのがCSPM(Cloud Security Posture Management)というソリューションだ。米Palo Alto Networksや米McAfeeなどが製品を開発している他、ガートナーが2020年に発表した「日本におけるセキュリティ(デジタル・ワークプレース)のハイプ・サイクル」でも、2〜5年以内に浸透する技術の一つに挙がっている。
この記事ではCSPMの効果や役割、そして日本における利用の現状について、20年からCSPM製品を提供するNRIセキュアテクノロジーズ(NRIセキュア)の斉藤弘之さん(DXセキュリティ事業本部クラウドセキュリティ事業部セキュリティエンジニア)と中山潤一さん(マネージドセキュリティサービス事業本部MSS事業開発部上級ITセキュリティコンサルタント)に話を聞きながら掘り下げてみる。
特集:ニューノーマル時代のクラウドセキュリティ
企業のあらゆるデータがさまざまな形態のクラウドに分散化する中、オンプレミスで構築していた時代の情報セキュリティ対策は通用しない。抜本的に考え方を変える必要がある。本特集では、クラウドファースト時代における企業の情報セキュリティ対策の最前線を追う。
クラウドの変化に追い付けない実情が事故の背景に
まず、クラウドの設定ミスを巡る現状を整理する。
過去にたびたび報道があったこともあり、設定ミスによる情報漏えいというと「クラウドストレージ上に、誰でも閲覧可能な状態のまま重要なデータを保存してしまった」といった単純なミスを思い浮かべる人も多いだろう。しかし斉藤さんによると、クラウドの利用が拡大し、理解が広がるにつれ、こうした単純な設定ミスは減っているという。
一方で、アカウント設定などの不備を突かれて不正なプログラムを設置され、大量の情報漏えいにつながるといった事件は依然としてなくなっていない。
単純なミスが減る一方で、こうした事態が減らない背景について、斉藤さんは「クラウドの利用が拡大する中、セキュリティ担当者も自分なりに設定を調べてはいるものの、それ以上に速いスピードで新しいサービスや新機能が出てくる。そのため、キャッチアップが追い付いていないケースもみられる」と指摘する。
漏えいがなくならない理由は他にもある。中山さんは、IT部門だけでなく事業部門によるクラウドの利用が活発化していることも、トラブルが発生する理由の一つかもしれないと話す。
「今までのオンプレミスの情報システムは、システム管理部門が一括して管理してきた。しかし昨今のクラウド利用は、情報システム部よりも事業部門の方が主体となって契約を行い、設定変更を行うケースが増えている。現場側の担当者に設定やセキュリティに関する知識が不足していると、適切な設定が行えずに事故につながるケースも多いと考えている」(中山さん)
こうした事態への対策として、社内でクラウド利用時のセキュリティガイドラインやルールを作成し、現場と共有するケースも増えている。ただ、中山さんによれば「なかなかその運用がうまく回らず、チェックできていない印象がある」という。
ガイドラインを基にミスを発見 トラブルを防ぐCSPMのメカニズム
とはいえ、そもそも人間はミスをするものだ。いくらルールを定めても徹底しきれない可能性はある。ならば、機械的に、自動的に、そして継続的にチェックできる仕組みを作るほうが合理的──というわけで生まれてきたのがCPSMだ。
関連記事
- クラウドの設定ミスを防ぐコツは? 100を超えるSaaSを比較した“SaaSおじさん”に聞く
クラウドサービスを導入する企業が増える一方で、設定ミスなどが原因のセキュリティ事故を心配する声も多い。では、どのような対策があるのか。クラウドの導入支援を手掛けるネクストモードの“SaaSおじさん”に説明してもらった。 - クラウドからの情報漏えい、責任は誰に? SaaSやPaaSの大前提「責任共有モデル」とは 総務省が解説
クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。 - クラウド利用で高まる情報セキュリティリスク、その原因は? IT担当者が身に付けるべき運用の心構え
クラウドサービスの業務利用が当たり前になった今、情報セキュリティに関するネガティブなニュースが目に付くことも非常に増えた。自身が被害者にならないために、そして二次的な被害の加害者にならないために何ができるのか。 - クラウドの設定ミス、気を付けても見落としがちな“あるポイント” セキュリティ診断会社に聞く
クラウドサービス、特にSaaSの設定ミスによって相次ぐ情報流出。こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際に診断サービスを提供するラックに、企業の動向や見落としがちな設定を聞いた。 - 「クラウド設定ミス」がなくならないワケ 実は経営側にも責任? セキュリティ診断企業に聞く
クラウドの設定ミスに起因するセキュリティのトラブルが後を絶たない。こういったミスがなくならない背景には、単純な手違いだけでなく企業の経営側にも原因があるという。セキュリティ診断を手掛けるラックに、設定ミスがなくならない理由を聞く。
Copyright © ITmedia, Inc. All Rights Reserved.