1分で分かるかも？「CSPM」

さぁ、やってきました1分でふんわり分かるかも？略して分分（ふんわか）シリーズ！

今回は、「CSPM（Cloud Security Posture Management）」！

 

「クラウドのセキュリティーポスチャーを管理するための。。。ポスチャーって『姿勢』か。。。セキュリティーの姿勢って何？」と、初めてこのキーワードを見た時の私の反応はこんな感じでした。要は、姿勢が悪いと体を壊してしまうように、「セキュリティーの姿勢が悪いとサイバー攻撃の餌食になってしまいますよ」という意味で、セキュリティーの世界ではこの『ポスチャー（姿勢）』という言葉が使われます。例えば、PCなどのデバイスのセキュリティー対策がきちんと施されているか確認するという意味で、「デバイスポスチャーを確認する」といった使い方もします。

 

クラウドというと主にIaaS、PaaS、SaaSがありますが、CSPMの場合、主にIaaS、PaaSに対して使われる場合が多く、AWS（Amazon Web Services）、Microsoft Azure、GCP（Google Cloud Platform）などのためのセキュリティーソリューションを指します。ちなみに、SaaSのためのセキュリティーソリューションとしてはCASB（Cloud Access Security Broker）があります。

 

AWS、Microsoft Azure、GCPといったクラウドサービスは、企業のさまざまな部署がさまざまな目的で利用するため、インスタンスも膨大になり、インスタンスができたり消えたりと管理が煩雑になります。そこで出てきたソリューションがCSPMです。例えば「ストレージの暗号化が施されているか」「通信の暗号化が施されているか」「アクセス制御が施されているか」「パスワードルールが守られているか」などをチェックすることでリスクの可視化を行うことができます。

 

ここまでがざっくりとしたCSPMのご説明ですが、今回はどんなプレイヤーがいるかも紹介しますのでお時間あればお付き合いください。

 

まずAWS、Microsoft Azure、GCPといったクラウドサービスも、自身のクラウド環境のセキュリティーポスチャーをチェックするためのサービスが存在します。それ以外のセキュリティー専業ベンダーが提供する、マルチクラウド環境に対応できるCSPMの第1世代としては、Check Pointが買収したDome9や、Palo Alto Networksが買収したEvident.ioなどが存在します。それと同時期か少し後くらいに、CASBのプレイヤーであるSkyhigh Security（旧Skyhigh Networks）、Netskope、Broadcom CloudSOC（旧Elastica）などもCSPMの機能を提供していきます。

 

そして昨今登場した第2世代ともいえるプレイヤーが、Orca Security、Wiz、Laceworkといった企業です。これらの企業は何が新しいかというと、CSPMだけではなくIaaS、PaaSを守るためにトータルなセキュリティーソリューションを提供しようとしているところです。例えば、コンテナセキュリティー対策、脆弱性管理、CSPMで設定ミスが発見された際の自動修正機能、VM（仮想マシン）やコンテナのウイルススキャン、IaC （Infrastructure as Code）の設定チェックなどさまざまな機能を提供しています。

もちろん既存のセキュリティー企業も黙ってはいられませんので、企業買収を行うなどして第2世代のプレイヤーが目指すトータルでIaaS、PaaSのセキュリティー対策を提供できる環境を整えようとしています。

 

また、日本にもCloudbaseというCSPMが出てきたので、今後注目していきたいです。