1分で分かるかも?「CSPM」

~クラウドの設定ミスやリスクを特定~

  • 1分でふんわり分かるかも?

2022年11月18日

さぁ、やってきました1分でふんわり分かるかも?略して分分(ふんわか)シリーズ!
今回は、「CSPM(Cloud Security Posture Management)」!
 
「クラウドのセキュリティーポスチャーを管理するための。。。ポスチャーって『姿勢』か。。。セキュリティーの姿勢って何?」と、初めてこのキーワードを見た時の私の反応はこんな感じでした。要は、姿勢が悪いと体を壊してしまうように、「セキュリティーの姿勢が悪いとサイバー攻撃の餌食になってしまいますよ」という意味で、セキュリティーの世界ではこの『ポスチャー(姿勢)』という言葉が使われます。例えば、PCなどのデバイスのセキュリティー対策がきちんと施されているか確認するという意味で、「デバイスポスチャーを確認する」といった使い方もします。
 
クラウドというと主にIaaS、PaaS、SaaSがありますが、CSPMの場合、主にIaaS、PaaSに対して使われる場合が多く、AWS(Amazon Web Services)、Microsoft Azure、GCP(Google Cloud Platform)などのためのセキュリティーソリューションを指します。ちなみに、SaaSのためのセキュリティーソリューションとしてはCASB(Cloud Access Security Broker)があります。
 
AWS、Microsoft Azure、GCPといったクラウドサービスは、企業のさまざまな部署がさまざまな目的で利用するため、インスタンスも膨大になり、インスタンスができたり消えたりと管理が煩雑になります。そこで出てきたソリューションがCSPMです。例えば「ストレージの暗号化が施されているか」「通信の暗号化が施されているか」「アクセス制御が施されているか」「パスワードルールが守られているか」などをチェックすることでリスクの可視化を行うことができます。
 
ここまでがざっくりとしたCSPMのご説明ですが、今回はどんなプレイヤーがいるかも紹介しますのでお時間あればお付き合いください。
 
まずAWS、Microsoft Azure、GCPといったクラウドサービスも、自身のクラウド環境のセキュリティーポスチャーをチェックするためのサービスが存在します。それ以外のセキュリティー専業ベンダーが提供する、マルチクラウド環境に対応できるCSPMの第1世代としては、Check Pointが買収したDome9や、Palo Alto Networksが買収したEvident.ioなどが存在します。それと同時期か少し後くらいに、CASBのプレイヤーであるSkyhigh Security(旧Skyhigh Networks)、Netskope、Broadcom CloudSOC(旧Elastica)などもCSPMの機能を提供していきます。
 
そして昨今登場した第2世代ともいえるプレイヤーが、Orca Security、Wiz、Laceworkといった企業です。これらの企業は何が新しいかというと、CSPMだけではなくIaaS、PaaSを守るためにトータルなセキュリティーソリューションを提供しようとしているところです。例えば、コンテナセキュリティー対策、脆弱性管理、CSPMで設定ミスが発見された際の自動修正機能、VM(仮想マシン)やコンテナのウイルススキャン、IaC (Infrastructure as Code)の設定チェックなどさまざまな機能を提供しています。
もちろん既存のセキュリティー企業も黙ってはいられませんので、企業買収を行うなどして第2世代のプレイヤーが目指すトータルでIaaS、PaaSのセキュリティー対策を提供できる環境を整えようとしています。
 
また、日本にもCloudbaseというCSPMが出てきたので、今後注目していきたいです。

松尾

IT ANNEX+

お問い合わせ

お客さまの立場で考えた、
最適なソリューションをご提供いたします。
お気軽にお問い合わせください。