想定以上のクラウド設定ミスを検出? 見落としからのトラブル発生を仕組みで防ぐ「CSPM」とは(2/3 ページ)
クラウドの設定ミスを仕組みで防ぐソリューション「CSPM」。トラブルを防ぐ仕組みや日本における利用の現状、利用に向く組織などを、実際に製品を提供しているNRIセキュアに聞く。
CSPMとは、文字通り訳せばクラウドのセキュリティへの構え(Security Posture)、つまり設定を把握し、管理していくツールとなる。「基本的にはIaaSとPaaSを対象に、API連携によって設定を確認し、あらかじめ設定されたルールに基づいて内容をチェックし、もし問題があればアラートを出す仕組み」(斉藤さん)。いったん準備すれば、以降は定期的に自動的に設定を確認し、ルールと実際の設定に乖離(かいり)がないかを継続的にチェックするという。
サービスによって異なるが、検査ルールのベースとなっているのは「CIS Controls」や「PCI DSS」、米国標準技術研究所(NIST)のサイバーセキュリティフレームワークといったグローバルなガイドラインの他、欧州のGDPRのような法規制だ。クラウド事業者が用意しているベストプラクティスを盛り込んでいるケースもあるという。
例えばチェックしたい設定を「アカウント管理や認証」「アクセス制御」「リソースの公開」といったカテゴリーに分けた上で、アカウント管理ならば「二要素認証を有効化しているか」「複雑なパスワードを設定するようポリシーを設定しているか」といった事柄をチェックしていく。中には「ログ取得の設定を有効化しているかどうか」「サービスの可用性を確保する手立はあるか」といった項目をチェックできるサービスもあるという。
つまり担当者が最新のクラウドサービスに精通していなくても、情報漏えいなどにつながり得る設定項目が適切な状態になっているかどうかを、設定を一つ一つ確認せず確認できるわけだ。クラウドサービスの活用範囲が広がれば広がるほど、メリットがある仕組みといえるだろう。
ただ、注意点もある。「例えばAWSならば、マネージドサービスなど100を越えるサービスが存在する。CSPMはメジャーなサービスはカバーしているものの、全てには対応しておらず、ものによってはチェックできないこともある。要件に合わせて確認する必要があるだろう」(斉藤さん)
シングルクラウドよりマルチクラウド向き?
2人によれば、CSPMの強みはマルチクラウドの運用負荷を下げやすい点にあるという。
実は、こういったクラウドサービスの状況を監視するサービスは、AWSなら「AWS Config」、Azureならば「Security Center」など、クラウドベンダーがそれぞれ自社のサービス向けに提供している。単一のクラウドだけを使っている場合であれば、CSPMを使わずとも、これらを活用することで、設定が各種ガイドラインに沿った状態になっているか把握できる。
しかし、部署や事業部ごとに、あるいは用途に応じて複数のクラウドを使い分けているマルチクラウド環境の場合は、これらのサービスだけでは対応が難しいという。
「クラウドによって管理方法が異なる中、それぞれに設定を投入して継続して管理していくのは非常に大変。マルチクラウドに対応したサードパーティーのCSPMを使えば、同じコンソール、同じUIで設定でき、運用の負荷を下げられる」と斉藤さん。
NRIセキュアが提供している、Palo Alto NetworksのCSPMソリューション「Prisma Cloud」についても、ある程度規模が大きく、マルチクラウドを採用している企業からの相談が多いという。
関連記事
- クラウドの設定ミスを防ぐコツは? 100を超えるSaaSを比較した“SaaSおじさん”に聞く
クラウドサービスを導入する企業が増える一方で、設定ミスなどが原因のセキュリティ事故を心配する声も多い。では、どのような対策があるのか。クラウドの導入支援を手掛けるネクストモードの“SaaSおじさん”に説明してもらった。 - クラウドからの情報漏えい、責任は誰に? SaaSやPaaSの大前提「責任共有モデル」とは 総務省が解説
クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。 - クラウド利用で高まる情報セキュリティリスク、その原因は? IT担当者が身に付けるべき運用の心構え
クラウドサービスの業務利用が当たり前になった今、情報セキュリティに関するネガティブなニュースが目に付くことも非常に増えた。自身が被害者にならないために、そして二次的な被害の加害者にならないために何ができるのか。 - クラウドの設定ミス、気を付けても見落としがちな“あるポイント” セキュリティ診断会社に聞く
クラウドサービス、特にSaaSの設定ミスによって相次ぐ情報流出。こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際に診断サービスを提供するラックに、企業の動向や見落としがちな設定を聞いた。 - 「クラウド設定ミス」がなくならないワケ 実は経営側にも責任? セキュリティ診断企業に聞く
クラウドの設定ミスに起因するセキュリティのトラブルが後を絶たない。こういったミスがなくならない背景には、単純な手違いだけでなく企業の経営側にも原因があるという。セキュリティ診断を手掛けるラックに、設定ミスがなくならない理由を聞く。
Copyright © ITmedia, Inc. All Rights Reserved.