CSPMとは？自社のセキュリティ強化に向けて
導入メリットや製品比較ポイントを解説！

「CSPMとはどんなサービスか」

そんな疑問を持つ方に当記事ではCSPMの基本事項とともに、似ている名前のサービスとの違いを解説します。CSPMはIaaSまたはPaaSのセキュリティ対策に利用できるサービスです。CSPMの機能やメリットを知り、製品の比較基準を押さえることで自社のセキュリティ強化につなげましょう。

CSPMとは

CSPMはクラウドサービスのうち、IaaSとPaaSの設定を可視化して、セキュリティやコンプライアンスの問題がないことを確認できるサービスです。

CSPMの基本事項に加え、下記サービスとの違いを解説します。

CSPMの概要

CSPM（Cloud Security Posture Management）は日本語でクラウドセキュリティ態勢管理を意味するクラウド環境向けのセキュリティサービスです。

CSPMを用いるとIaaSやPaaSの設定が、セキュリティ基準やコンプライアンスにもとづいた内容になっていることを確認できます。確認後に不備があれば、どのように修正すべきかのアドバイスも可能です。

CSPMはSaaSは対象としません。なぜIaaS/PaaSとSaaSで分かれているかは、セキュリティ管理をすべき責任範囲が大きく異なるためです。具体的に述べると、IaaS/PaaSはハードウェアやネットワークの設定確認が中心ですが、SaaSはデータやアクセス権の管理に対応する必要があります。よってSaaSにはSaaS用のセキュリティ対策を実施することが望ましいため、CSPMと後述するSSPMに分かれて管理されることが一般的です。

CSPMはIaaS/PaaSのセキュリティ状況を確認し、サイバー攻撃に備えるためのソリューションです。

SSPMとの違い

SSPM（SaaS Security Posture Management）はクラウドサービスのうち、SaaSのセキュリティ対策ができるサービスです。CSPMはIaaS/PaaSを担当することから、担当範囲に違いがあります。

SSPMについて別記事で解説しているので、あわせてご覧ください。

CASBとの違い

CASB（Cloud Access Security Broker）は従業員のクラウドサービスへのアクセス権限を管理するソリューションです。CSPMはクラウドサービスのセキュリティ設定を確認する一方で、CASBは従業員のアクセス権を管理するという違いがあります。

またCASBも主にSaaSへのアクセス権を設定、可視化をするため、担当範囲もCSPMとの違いの1つです。

CWPPとの違い

CSPMはIaaS/PaaSのセキュリティ設定を確認しますが、CWPPはIaaS/PaaSが実行するアプリケーションの保護をします。

CWPP（Cloud Workload Protection Platform）はクラウド上のワークロードを保護するためのソリューションです。ワークロードは仮想マシンやデータベース、コンテナなどの実行単位を差しており、保護はセキュリティリスクを抑えてワークロードが実行するアプリケーションを正しく実行させることを指します。

CSPMとCWPPの違いを別記事で詳しく解説しているので、あわせてご覧ください。

CSPMが注目を集める理由

CSPMが注目を集める理由として以下があります。

クラウド利用率の増加

CSPMが注目を集める理由として、クラウド利用率の増加があります。

下記の理由により、クラウドサービスの利用が増えている現状です。

上記により、クラウド利用率が増加しています。しかし、IaaSやPaaSのうち、クラウド事業者が担当しないレイヤーのセキュリティ対策を自社が対応しなければなりません。この対応に、CSPMを導入して負担を軽減しようとする企業が増えている状況です。

クラウド利用率の増加で、クラウド用のセキュリティ対策が必要になり、CSPMの導入を検討する企業が増えたため、注目が集まっています。

クラウド環境の設定ミスのリスク低減

クラウド環境の設定ミスのリスクを低減するために、CSPMへの注目が集まっています。

クラウドサービスはクラウド事業者による高度なセキュリティがなされています。しかし、クラウド事業者の管轄でないレイヤーの責任は各企業の担当です。例としてIaaSの場合はOSの設定、PaaSの場合はアプリケーションやデータの管理などが各企業の担当です。

IaaS/PaaSのセキュリティはさまざまな設定が可能なため、セキュリティ対策として望ましくない設定もできてしまいます。設定ミスによる不十分なセキュリティでは、IaaSやPaaSも攻撃対象となった際に不正アクセスや情報漏えいが起きる可能性が高いです。設定ミスを防ぐために、CSPMを導入して、不適切な設定の検出や修正をしたいと考える企業が増えています。

コンプライアンス準拠やガバナンス統制

コンプライアンス準拠やガバナンス統制を目的として、CSPMの導入に注目が集まっています。

多くの業界、地域でデータを扱う際のコンプライアンス規則が制定されています。例として、ISO 27001やヨーロッパのGDPRなどです。これらの規則に準拠するための要件として、クラウド環境でもセキュリティ要件を満たす必要があります。

自社のみでセキュリティ要件を満たし、それを証明することは大変な手間です。よってCSPMを用いて対応する企業が増えています。また自社がIPOを目指す上でガバナンス統制は必須です。

コンプライアンス準拠やガバナンス統制のニーズが高まったことで、クラウド環境への対策のためにCSPMの導入が注目されています。

CSPMの主な機能

CSPMの主な機能として以下があります。

IaaS/PaaSの利用状況の可視化

CSPMはIaaSやPaaSの利用状況をリアルタイムで可視化できる機能があります。

それぞれで可視化できる項目の例として以下のとおりです。

CSPMはこれらの項目を可視化し、推奨するセキュリティ基準を満たしているかを確認でき、満たしていない場合にどうすればよいのかをアドバイスが可能です。

マルチクラウドの一元管理

CSPMはマルチクラウドのシステムでも一元管理の利用ができます。

IaaSやPaaSのレベルでもマルチクラウドの導入は珍しくありません。例として仮想マシンはAWSを使い、データベースはAzureを使う、といったケースがあります。また冗長化のために、複数クラウドのストレージサービスを利用するケースもあるでしょう。マルチクラウド環境の場合、各環境のポータルや監視サーバーで管理をすることが一般的です。

しかし、マルチクラウド環境が膨大、複雑になるほど、管理のコストが大きくなります。例として各クラウドでのベストプラクティスの違いや、設定者の違いによる項目があり、管理が煩雑になりやすいです。

CSPMによるマルチクラウドの一元管理で、管理の煩雑さから解放されます。各クラウドのベストプラクティスや、自社の基準に沿った管理が可能なため、管理業務の負担を軽減可能です。

設定ミスの検出

CSPMの利用により、設定ミスの検出が可能です。

クラウドサービスは強力なセキュリティ対策が実施されていますが、それでも自社の設定次第ではセキュリティ的に弱い環境になりえます。例としてストレージサービスの共有設定範囲を「誰でもアクセス可能」にしてしまうケースです。セキュリティ対策を徹底しようと思えば、アクセス可能なユーザーは最小限にとどめる必要があります。

設定ミスは、問題が発覚し、調査をしてから気が付くケースも多いです。 設定ミスは意図的であっても、そうでなくても命取りになります。CSPMは設定ミスに気が付けるよう、設定内容の検査をして、望ましくない設定の検出が可能です。

インシデント発生時の通知

CSPMはインシデント発生時に通知をします。

インシデント発生時は迅速な対応が必要です。しかし、そもそもインシデント発生に気が付かなければ対応できません。CSPMはインシデントを検出すると、設定したメールアドレスやSNSに対して通知してくれます。例として、不正アクセスやトラフィックの急激な増加を検出したら、通知が可能です。多くのCSPMサービスで通知する基準の設定もできます。またCSPM上で原因の確認もできるので、迅速な対応が実現しやすいです。

インシデントは発生させないことが1番です。しかし、インシデントが発生した際に被害を最小限に留めることも大切になります。インシデント対応はスピードが命なので、CSPMによるインシデント通知は重要なセキュリティ機能の1つです。

CSPM導入によるメリット

CSPMを導入することのメリットは以下のとおりです。

セキュリティの向上

CSPMを導入することでIaaS/PaaSのセキュリティ強化が可能です。

クラウドサービス利用の増加に加え、サイバー攻撃の高度化が進んでおり、セキュリティ対策はますます重要になっています。また外部からの攻撃だけでなく、従業員による不正も防がなければなりません。CSPMの導入で内外に存在するさまざまなセキュリティリスクの低減が可能です。

先述したように、CSPMはセキュリティ状況の可視化や設定ミスの検出、インシデント発生時の通知の機能が利用できます。CSPMの機能を有効活用することで、サイバー攻撃や内部不正に強いシステムを実現可能です。

CSPMを利用したセキュリティ強化により、自社や顧客の大切なデータや業務サイクルを守りましょう。

業務効率化

CSPMの導入は業務効率化も実現します。

CSPMを利用しない場合に負担が大きい業務の例は以下のとおりです。

CSPMを利用することで、これらの業務を効率化し、負担の軽減ができます。

例として、インシデントが発生してもセキュリティ担当者だけでは手が回りません。従業員の人数が多いほど、インシデントの発生可能性も増え、セキュリティ担当者の負担が増えます。CSPMによって状況の可視化や、対応の自動化ができることで、セキュリティ担当者の負担軽減が可能です。

セキュリティ対策は大切な一方で、利益を生み出すものではありません。CSPMの導入でセキュリティ対応の業務を効率化することで、開発や営業など利益を生み出す業務へリソースを集中できます。

法的リスクの回避

CSPMの導入は法的リスクの回避にもつながります。

クラウドサービスを利用する企業はさまざまな法規制に対応する必要があります。例としてGDPRやHIPAAなどです。これらへの準拠をせずに、業務を行うと、罰則が課される法的リスクが生じます。準拠をするためには適切な設定や、定期的な監査が必要です。

CSPMを導入することで、適切な設定の担保や、監査に必要な資料の準備に役立ちます。よって法的リスクを回避したIaaS/PaaSの運用が可能です。

法的な問題が生じると、社会的信頼を失うことになります。信頼の回復は茨の道であり、容易なものではありません。

CSPMの導入で法的リスクを低減し、社会的信頼を失う事態を回避しなければなりません。

CSPM製品の比較ポイント

CSPM製品にはさまざまな種類があり、自社が利用すべきなのはどの製品か分かりにくいです。以下でCSPM製品の比較ポイントを解説します。

既存環境に利用できるかどうか

CSPM製品の比較時に最も大切なポイントは既存環境に利用できるかどうかです。言い換えると、利用中のシステムとCSPMが連携できるかを確認する必要があります。

CSPMの導入で達成したいことはセキュリティ強化や業務効率化です。しかし、CSPMとの連携ができないシステムに対してはそれらを達成できません。目的を達成できないと導入コストが無駄になります。

システムには複数のコンポーネントがあるため、全ては対応していない場合もあるでしょう。しかし、大半の、できれば全てのコンポーネントが対応しているCSPMを選ぶべきです。

拡張性があるかどうか

CSPM製品は拡張性があるかどうか、も比較ポイントです。

拡張性とは監視対象となるクラウドサービスの設定変更に対応できるかどうか、ということです。クラウドサービスは柔軟性が高いサービスであり、自社の要件や顧客からの要望に変更があれば設定変更やサービス増減に対応するでしょう。利用中のCSPMが設定変更やサービスの増減に対応できなければ、長く使えない製品です。

CSPMは基本的に、クラウドサービスの利用期間（＝数年単位）で利用すべきサービスなので、長く使える拡張性が高い製品を選ぶべきでしょう。

機能の充実度合い

CSPM製品は機能が充実しているかどうかも比較ポイントです。

CSPMの基本機能は設定のアドバイス、利用状況の可視化、レポート化などがあります。機能が充実している製品の場合、設定の自動投入やリスク評価の優先順位付け、AIを用いた脅威の検出などが可能です。

使いたい機能がある場合や新しい機能をどんどん取り入れたい場合は、機能が充実しているCSPMを選ぶことをおすすめします。

サポート体制の充実度合い

CSPM製品のサポート体制も比較ポイントです。

クラウドサービスは基本的に24時間365日間利用可能なため、CSPMも同様に稼働させることになります。その際に問題があればCSPMのサポートに問い合わせて、解消が必要です。問題発生時に迅速な対応を依頼できる製品であれば、安心して導入できます。

また導入時の設定サポートや利用方法のトレーニングのサポートなど、さまざまなサポートが用意されているケースがあります。サポート体制にも目を向けてCSPM製品を比較しましょう。

おすすめのCSPMソリューション

おすすめのCSPMソリューションとして以下があります。

SCT SECURE CSPMサービス

SCT SECURE CSPMサービスは三和コムテックが提供するCSPMソリューションです。

AWS、Azure、GCPのサービスに対応しており、マルチクラウド環境にも適用できます。またIaaSは仮想マシンだけでなく、DockerコンテナやHadoopなどの分散処理システムに対しても利用可能です。エージェントを使わずに利用状況の情報収集を行い、詳細なレポートの出力もできます。

SCT SECURE CSPMサービスはマルチクラウドかつ、多様な機能を備えているCSPMソリューションです。

Prisma Cloud

Prisma Cloudはパロアルトネットワークスが提供するCSPMソリューションです。

こちらはAWS、Azure、GCPに加えて、Alibaba Cloud、Oracle Cloud Infrastructure（OCI）にも対応できます。また毎月のように新しい機能が登場しており、監視対象に設定できる項目が多彩です。権限管理も自在で、部署ごとやプロジェクトごとなど、様々な単位での管理ができます。
Prisma Cloudは幅広いニーズに対応できるCSPMソリューションです。

まとめ

CSPMはクラウドサービスのうち、IaaS/PaaSに適用できるセキュリティサービスです。CSPMは利用状況の可視化や、レポートの出力などさまざまな機能があります。導入することで、セキュリティ強化だけでなく、セキュリティ関連の業務効率化や監査の準備ができるレポートの出力が可能です。

三和コムテックが提供するSCT SECURE CSPMサービスはエージェントレスで、3大クラウドのIaaS/PaaSに利用できるソリューションです。気になる方は下記リンクからお問い合わせください。