CSPM（クラウドセキュリティポスチャ管理）

CSPM（クラウドセキュリティポスチャ管理）とは？

CSPM（クラウドセキュリティポスチャ管理）は、IaaS（サービスとしてのインフラストラクチャ）、SaaS（サービスとしてのソフトウェア）、PaaS（サービスとしてのプラットフォーム）を含むクラウドインフラ全体でのリスクの特定と修復を自動化することで、クラウドセキュリティの可視性を提供し、コンプライアンスポスチャを強化します。CSPMは、クラウドリソースの信頼できる唯一の情報源を提供し、マルチクラウド環境における可視性を実現するとともに、クラウドの設定ミスやアプリケーションの脆弱性を自動的に防止します。これにより、リスクの可視化と評価の改善、インシデント対応の迅速化、コンプライアンスのモニタリングと修復の改善、DevOps統合の最適化が実現します。CSPMにより、クラウドセキュリティのベストプラクティスがハイブリッド、マルチクラウド、コンテナ環境に一律に適用されます。

CSPMの重要性

クラウドの導入により、企業が最新のアプリケーションを市場に投入し、開発する方法が根本的に変わりました。今日のアプリケーション開発ライフサイクルでは、市場投入までのスピードが重要視されており、開発チームには、企業がクラウドインフラストラクチャを迅速に変更し、再構成できるプログラム可能なインフラストラクチャを基盤にしたクラウドネイティブアプリケーションを構築することが求められています。

クラウドは、1日のうちに何百、何千ものネットワークと接続したり切断したりすることがあります。この動的な性質がクラウドを強力にしていますが、これは同時にセキュリティの確保も難しくします。このように、クラウドへの移行は新たな課題を生み、セキュリティチームがそれに対応し続けるのは難しくなっています。これらの課題には、クラウドリソースの可視性と制御の不足、設定ミスの検出と防止に対するアプローチの断片化、増加するセキュリティインシデント、そしてコンプライアンスの維持ができないことが含まれます。クラウドファーストの方針が一般的になる中で、従来のセキュリティ手法がクラウド環境には適さなくなり、クラウドセキュリティの課題がさらに深刻化しています。攻撃者は従来のクラウドセキュリティの隙間を悪用するスキルを急速に進化させています。クラウドストライクは、2023年にクラウド全体での侵入が75%増加し、クラウドを意識した攻撃が110%急増したことを確認しました。攻撃者は正規の認証情報を使用してクラウド環境にアクセスし、正当なツールを用いて自らの活動を隠蔽しています。

次の理由により、従来のセキュリティはクラウドでは機能しません。

• 保護すべき境界がない
• 手作業によるプロセスは、必要な規模やスピードでは実行できない
• 一元化されていないため、可視性を実現することが非常に困難

クラウドベースのコンピューティングはコスト削減に貢献しますが、セキュリティを確保するためにはコストがかかり、適切に管理しないと投資収益率 (ROI) に悪影響を与える可能性があります。マイクロサービス、コンテナ、Kubernetes、サーバーレス関数など、など、非常に多くの要素が複雑に絡み合っています。企業が新しいテクノロジーの展開スピードに追いつけないため、クラウド環境での悪名高いサイバーセキュリティのスキルギャップが一層深刻化しています。

これらの新しいテクノロジーとともに、IaC（コードとしてのインフラストラクチャ）という考え方が登場し、ここではインフラストラクチャが機械可読形式の定義ファイルによって管理およびプロビジョニングされます。このAPI駆動型のアプローチは、インフラストラクチャをオンザフライで簡単に変更できるため、クラウドファースト環境には不可欠となっていますが、環境に脆弱性をもたらすようなプログラムの設定ミスも起こりやすくなります。IBMの「Cost of a Data Breach Report 2023（2023年データ侵害のコストに関する調査）」によれば、侵害による被害額は平均445万ドル以上と推定されています。企業は、設定ミス、脆弱性、その他のセキュリティ脅威をリアルタイムで排除するために、アプリケーションやAPIを含むクラウド全体を可視化することが求められています。

これらすべての問題の根底にあるのは、可視性の欠如という最大の脆弱性です。典型的なエンタープライズクラウドのような複雑で流動的な環境には、何十万ものインスタンスとアカウントがあります。どこで、何が、誰が、何を実行しているかを知ることは、高度な自動化検知によってのみ可能となります。その助けがなければ、設定ミスから生じる脆弱性は、侵害が発生するまで検知されないままになる可能性があります。

CSPMでは、検知、防御、インシデント対応、および次に発生するリスクの予測を自動化することにより、クラウド内のリスクを継続的に監視することで、これらの問題に対処します。

CSPMの利点

セキュリティリスクには、意図的なものと非意図的なものの2種類があります。ほとんどのクラウドセキュリティプログラムは、外部からの攻撃や悪意のあるインサイダーなど、意図的なリスクに的を絞っています。しかし、機密データをS3バケットで公開したままにしておくことや、セキュリティの設定ミスなど、意図しないエラーが甚大な影響を与えることがあります。Gartnerによると、2025年までにクラウド環境の障害の99%は人為的エラーが原因になると予測されています。

CSPMは、セキュリティチームが複数のコンソールを確認したり、多くのベンダーからのデータを調整したりする必要なく、マルチクラウド環境全体で統一された可視性を提供することで、こうした偶発的な脆弱性を防ぎます。CSPMは設定ミスの自動防止を実現し、価値の実現までの時間を短縮します

またCSPMソリューションでは、よく見られるような6つ以上のシステムではなく単一のシステムを介してアラートが送信されるため、アラート疲れを軽減します。また、人工知能によってフォールスポジティブが低減されます。その結果として、セキュリティオペレーションセンター (SOC) の生産性が向上します。クラウドストライクのCSPMソリューションにより、Mercury Financialはクラウドワークロードの現在の脅威状況を把握し、設定ミスと脆弱性を検出し、修復することができました。全体として、クラウドストライクは、Mercury Financialがエンドポイントエージェント管理の問題を8倍減少させ、フォールスポジティブを排除するよう支援できました。これにより、Mercury Financialではエンドポイントワークロードの毎月の修復件数が約100件から約12件に減少し、脅威の検知と修復が迅速化しました。さらに、ステークホルダーへのセキュリティおよびコンプライアンス報告が改善され、組織全体でのセキュリティの一貫性も確保されています。

CSPMソリューションは、コンプライアンスポリシーに準拠している環境を継続的に監視および評価します。ドリフトが検知されると、修正措置が自動的に行われます。

そしてもちろん、CSPMソリューションはインフラストラクチャ全体を継続的にスキャンすることで、隠れた脅威を発見します。検知が早ければ、修復までの時間も短縮されます。

CSPMの仕組み？

検出と可視性

CSPMは、クラウドインフラストラクチャアセットとセキュリティ設定の検出と可視化を提供します。ユーザーは、マルチクラウド環境とアカウント全体で、信頼できる唯一の情報源にアクセスできます。展開時に、設定ミス、メタデータ、ネットワーキング、セキュリティおよび変更アクティビティなどのクラウドのリソースと詳細が自動的に検出されます。アカウント、リージョン、プロジェクト、および仮想ネットワーク全体のセキュリティグループポリシーは、単一のダッシュボードで管理されます。

設定ミスの管理と修復

違反をリアルタイムで特定し修復できるよう、CSPMは、クラウドアプリケーションの設定を業界や組織のベンチマークと比較することで、セキュリティリスクを排除し、配信プロセスを加速させます。クラウドリソースの露出につながる、設定ミス、開放されたままのIPポート、不正な変更などの問題は、ガイド付きの修復で修正でき、開発者がミスを回避できるようにガードレールが提供されます。ストレージは監視され、アクセス権限が適切に設定されていることが確認され、データが誤って一般に公開されないようにします。また、データベースインスタンスも暗号化が適用されていることが確認され、自動バックアップが利用可能であることが保障され、高可用性が確保されます。

継続的な脅威検知

CSPMは、標的を絞った脅威の特定および管理アプローチによって、マルチクラウド環境のセキュリティアラートのノイズを排除し、アプリケーション開発ライフサイクル全体にわたって脅威をプロアクティブに検知します。CSPMソリューションは、攻撃者が最も悪用しやすい領域に焦点を当てるため、セキュリティチームが対応すべきアラートの数を減少させます。脆弱性は環境に基づいて優先順位が付けられ、脆弱なコードが本番環境に展開されるのを防止します。

クラウドストライクの顧客であるCoreWeaveでは、クラウドストライクのCSPMソリューションを利用することで、アラートの減少とリソースの負担軽減を実現しました。「クラウドストライクのおかげで、不要なトリアージにかかる時間を年間数百時間節約できます」と、CoreWeaveのCISOであるMatt Bellingeriは述べています。「多くのアラートに関して、クラウドストライクは私たちがキーボードに手を伸ばす前にプロセスを停止してくれます。」

また、CSPMソリューションは、リアルタイムの脅威検知を使用して、悪意のあるアクティビティ、不正なアクティビティ、クラウドリソースへの不正アクセスについてクラウド環境を継続的に監視します。

DevSecOps統合

CSPMはオーバーヘッドを低減し、マルチクラウドプロバイダーやアカウント間の障壁と複雑さを排除します。クラウドネイティブなエージェントレスポスチャ管理により、すべてのクラウドリソースに対する一元的な可視性と制御が可能になります。セキュリティ運用チームとDevOpsチームは信頼できる唯一の情報源を入手し、セキュリティチームは侵害されたアセットがアプリケーションライフサイクルを通じて進行するのを阻止できます。

CSPMソリューションはSIEM（セキュリティ情報およびイベント管理）ツールと統合され、可視性を効率化するとともに、設定ミスやポリシー違反に関するインサイトやコンテキストを取得します。また、使用中のDevOpsツールセットと統合することで、DevOpsツールセット内の修復と対応を高速化します。レポートとダッシュボードにより、セキュリティ運用、DevOps、インフラストラクチャの各チームに共通の理解が得られ、プロセスの合理化とリソースコストの削減につながります。

CSPMと他のクラウドセキュリティソリューションとの比較

クラウドインフラストラクチャセキュリティポスチャ評価 (CISPA)

CISPAは、CSPMソリューションの第1世代です。CISPAは主にレポート作成に重点を置いていますが、CSPMソリューションには、簡単なタスク実行から人工知能の高度な使用まで、さまざまなレベルの自動化が含まれています。

クラウドワークロード保護プラットフォーム (CWPP)

CWPPは、あらゆる場所に存在するすべてのタイプのワークロードを保護し、複数のプロバイダーにわたって統合されたクラウドワークロード保護を提供します。CWPPは、最新のインフラストラクチャのニーズに合わせて適用した脆弱性管理、マルウェア対策、アプリケーションセキュリティなどのテクノロジーに基づいています。CSPMソリューションはクラウド環境専用に構築されており、ワークロードだけでなく環境全体を評価します。CSPMソリューションには、高度な自動化、人工知能、ガイド付きの修復も組み込まれているため、ユーザーは問題があることを把握できるだけでなく、それを修正する方法のアイデアも得られます。

CASB（クラウドアクセスセキュリティブローカー）

クラウドアクセスセキュリティブローカーは、クラウドサービスプロバイダーとクラウドサービスの顧客の間に配置されるセキュリティ強化ポイントです。CASBは、トラフィックがポリシーに準拠していることを確認してから、ネットワークへのアクセスを許可します。CASBは通常、ファイアウォール、認証、マルウェア検知、DLP（データ損失防止）を提供し、CSPMソリューションは継続的なコンプライアンス監視、設定ドリフト防止、SOC調査を実行します。CSPMソリューションは、インフラストラクチャの現在の状態を監視するだけでなく、インフラストラクチャの望ましい状態を定義するポリシーを作成し、すべてのネットワークアクティビティがそのポリシーに従うようにします。

クラウドストライクが提供する包括的なCSPM

環境の設定ミスを継続的に監視するエージェントレスのクラウドネイティブ保護によって、セキュリティの盲点を解消します。CrowdStrike Falcon® Cloud SecurityにはCSPMが組み込まれており、クラウドリソースの信頼できる唯一の情報源を通じて、マルチクラウド環境を完全に可視化します。

Falcon Cloud Securityは、全体的なセキュリティポスチャとリスクポスチャに関する価値あるコンテキストとインサイトを提供し、将来のセキュリティインシデントを防ぐために取るべき適切な手順に関するガイダンスも提供します。これは、CSPMだけでなく、ASPM（アプリケーションセキュリティポスチャ管理）、DSPM（データセキュリティポスチャ管理）、CIEM（クラウドインフラストラクチャエンタイトルメント管理）、クラウドワークロード保護 (CWP) を含む、包括的なクラウドセキュリティソリューションです。Falcon Cloud Securityには、次のような多くの利点があります。

• 設定ミスや脅威をプロアクティブに検出するための、クラウドリソースの継続的なインテリジェント監視
• クラウドにおける、高速かつ効率的なアプリケーション展開
• マルチクラウド環境全体での可視性と制御の統合
• セキュリティリスクを解決するためのガイド付き修復
• 開発者がコストのかかるミスを回避することに役立つガードレール
• アラート疲れを軽減するための標的型脅威検出
• SIEMソリューションとのシームレスな統合
• NIST、CIS、FedRAMP、PCI DSS、HIPAA、GDPRなどの業界規制やセキュリティベンチマークへの準拠
• アプリケーション、クラウドサービスプロバイダー、IT部門全体にわたる統合された可視性と自動化されたコンプライアンス
• コンプライアンスおよびリスクポスチャに関するスケジュールされたレポートとオンデマンドレポートを表示し、エクスポートする機能