CSPMとCWPPの違いとは？
両者の違いと弱点を補強するサービスを解説！

「CSPMとCWPPはどのような違いがあるのか」

そんな疑問を持つ方に当記事では両者の違いを解説します。CSPMはIaaS/PaaSのセキュリティ設定を確認するためのサービスです。一方でCWPPはクラウド上のワークロードのセキュリティ対策を実施するサービスです。両者の違いを理解し、どちらを導入すべきか判断しましょう。

CSPMとCWPP・CNAPPの概要

CSPM、CWPP、CNAPPはそれぞれクラウドのセキュリティ対策をするためのソリューションです。名前や役割から区別が難しく感じる方もいるでしょう。大まかには以下の区別ができます。

具体的な内容は次項で解説しますが、これらが頭に入っていることでイメージをつかみやすくなります。

CSPMとは

CSPM（Cloud Security Posture Management）はIaaS/PaaSのセキュリティ設定を確認できるソリューションです。

確認できるセキュリティ設定の例として以下があります。

上記をベストプラクティスにもとづいて正しく設定することで、IaaS/PaaSのセキュリティを強化できます。逆にCSPMが適切でないと判断した設定は、修正しなければそのリソースは不正アクセスや改ざん被害のリスクが高い状態です。修正方法も提案してくれるCSPMサービスが多くあります。

CSPMを活用することでIaaS/PaaSのセキュリティ強化が可能です。

CWPPとは

CWPP（Cloud Workload Protection Platform）はクラウドワークロードのセキュリティ強化ができるソリューションです。

クラウドワークロードの例として以下があります。

これらの環境で実行されるアプリケーションをクラウドワークロードとして一括りに呼んでいます。また「クラウド」ワークロードという名前ですが、オンプレミスの上記リソースやマルチクラウド環境でも対応可能です。

CWPPはクラウドワークロードに対して、マルウェアスキャンやファイルスキャン、脆弱性管理などのセキュリティ対策ができます。CWPPを用いることで、クラウドワークロードのセキュリティを強化し、安全な環境でのアプリケーション実行を実現します。

CNAPPとは

CNAPP（Cloud Native Application Protection Platform）はCSPMとCWPPを内容を組み合わせたソリューションです。

従来からオンプレミス環境でサーバやネットワークを用意し、アプリケーションを実行してきました。セキュリティは実行環境（基盤）用と、アプリケーション用に分けられることが一般的です。

現在もオンプレミス環境は顕在ですが、クラウド環境でも同様にIaaS/PaaS上でアプリケーションが実行されています。このとき、セキュリティ対策は実行環境用にCSPM、アプリケーション用にCWPPが利用可能です。別々の導入が可能ですが、統合したソリューションへのニーズの高まりからCNAPPが生まれています。

CNAPPを用いることで、クラウド上の実行環境とアプリケーションセキュリティを、同時に強化できます。

CSPMとCWPPの違い

CSPMとCWPPはクラウドサービスのセキュリティ強化が可能という共通点があります。しかし、両者の大きな違いが、役割と機能の違いです。

役割の違い

CSPMはIaaS/PaaSのセキュリティ設定を確認し、必要に応じて設定変更を提案する役割です。一方でCWPPはクラウドワークロードのセキュリティ強化を実施する役割です。

CSPMはIaaS/PaaSを対象にセキュリティ設定の確認をします。設定確認や提案がメインの役割なので、CSPM自体がセキュリティを強化するわけではありません。あくまでCSPMで内容や提案を確認し、それにもとづいてユーザーが行動をすることで、セキュリティ強化を実現可能です。

CWPPはコンテナワークロード（IaaS/PaaSで実行されるアプリケーション）のセキュリティ強化が可能です。ワークロードは直接攻撃を受けることがないよう、さまざまなセキュリティ対策が必要になります。例えば、怪しいファイルを読み込ませないことや、脆弱性のスキャンなどです。CWPPはこれらのセキュリティリスクを低減し、アプリケーションの安全な実行を実現する役割です。

機能の違い

CSPMの主な機能は以下があります。

またCWPPの主な機能は以下のとおりです。

CSPMとCWPPによく似たサービスとの違い

CSPMとCWPPには以下の紛らわしいサービスがあります。

それぞれとの違いを確認しておきましょう。

SSPMとの違い

SSPM（SaaS Security Posture Management）はSaaSのセキュリティ設定を確認し、セキュリティ強化につなげるサービスです。

CSPMはIaaS/PaaSのセキュリティ設定を確認できる一方で、SSPMはSaaSのセキュリティ設定を確認します。IaaS/PaaSとSaaSでは確認すべき内容が大きく異なるため、ソリューションが分かれています。

またSSPMとCWPPの違いは設定内容の確認をするか、セキュリティ対策を実施するか、の違いです。SSPMはSaaS内の設定の確認がメインですが、CWPPはアプリケーションが安全に実行できるよう脆弱性スキャンやポートスキャンなどを行います。

CASBとの違い

CASB（Cloud Access Security Broker）はクラウド上のアクセス管理をするためのソリューションです。CASBを用いると、ユーザーのアクセス権限の調整や、アクセスログの確認ができます。

CSPMはIaaS/PaaSのセキュリティ設定の中でアクセス設定が可能ですが、CASBは主にSaaSのアクセス監視やデータ保護をします。

またCWPPはクラウドワークロードのアクセス制御を含むセキュリティ対策をするのに対し、CASBはアクセスの監視を行うことがメインの役割です。

CSPMやCWPPが必要となった理由

CSPMやCWPPが必要となった理由として、以下があります。

クラウド環境の複雑化

クラウド環境が複雑化したことが、CSPM、CWPPが必要になった理由の1つです。

クラウドサービスが普及して時間が経ち、現在では多くの企業が利用しています。複数のクラウドサービスを利用している企業も多いでしょう。特にIaaSやPaaSは冗長性の観点や、使い勝手、要件などの観点からマルチクラウドでの運用も多く行われています。またオンプレミスとクラウドを併用するハイブリッドクラウドの利用も珍しくありません。

しかし、このように複数の環境を利用し、環境が複雑化することで、セキュリティ管理のコストも増加します。クラウドサービスにおいて、データセンターやハードウェアなどはクラウド事業者の管轄ですが、それでも自社でのセキュリティ対策は欠かせません。

複雑化するクラウド環境でのセキュリティ管理コストの増加に対応するために、CSPMやCWPPを利用したセキュリティ管理や強化の効率化が必要になりました。

サイバー攻撃の高度化

サイバー攻撃の高度化もCSPMやCWPPが必要になっている要因です。

サイバー攻撃は年々攻撃手法が巧妙になっています。例えば、標的型攻撃やゼロデイ攻撃などです。巧妙化し複雑化したこれらの攻撃を完全に防ぐことは難しくなってきています。だからこそ基本に立ち戻り、標準的なセキュリティ設定のミスをなくすことが重要です。

CSPMを用いることで、アクセス権限や暗号化の有無など、基本的なセキュリティ設定にミスがないかチェックできます。またCWPPはアプリケーションの実行時にファイルや脆弱性のスキャンを行い、攻撃を受けても迅速な対応ができるように対策が可能です。

サイバー攻撃が年々高度になっていく中で、各社のセキュリティ意識が高まったことでCSPMやCWPPが重要な役割を担うようになりました。

ワークロードの多様化

サワークロードが多様化したこともCSPMやCWPPが重要になっている理由です。

アプリケーションの実行環境と聞いて、仮想マシンを含むサーバを思い浮かべる方は多いでしょう。しかし、近年は他にも多くのアプリケーション実行環境があります。

他にもベアメタルサーバやPaaS上で実行されるアプリケーションもあります。上記のようにアプリケーションの実行環境が多様化していますが、それぞれで設定内容は異なります。

実行環境とアプリケーションを組み合わせたワークロードの組み合わせは途方もない数です。このように多様化した環境でもセキュリティを確保するために、CSPMやCWPPを用いるニーズが高まっています。

コンプライアンス準拠やガバナンス統制

厳しいコンプライアンスの準拠やガバナンス統制が強く求められるようになったことも、CSPMやCWPPが重要になった理由です。

サービスを提供するためには、提供する各地域、または業界のコンプライアンス基準を満たす必要があります。例えばGDPRやHIPAAなどの規則です。これらを満たすためにはセキュリティ設定が適切に行われ、設定内容の監査をクリアする必要があります。CSPMやCWPPの利用により、設定確認や監査準備の効率化が可能です。

ガバナンス統制も必要な場面が増えていますが、やはりCSPMやCWPPでセキュリティ設定が適切であることを効率よく証明できます。

コンプライアンスやガバナンス統制が厳しくなる世の中に対応するために、CSPMやCWPPのニーズが高まっています。

CSPMとCWPPのどちらを利用すべきか

CSPMとCWPPの役割や機能の違いを解説してきました。ではどちらを導入すべきなのか、判断基準を解説していきましょう。

CSPMを利用すべきケース

CSPMを利用すべきケースとして以下があります。

CSPMはIaaS/PaaSのセキュリティ評価を行いたい企業が利用すべきです。CSPMにより設定ミスを防ぎ、よりセキュリティ強化を実現するための提案を得られます。提案をもとに設定内容の修正を変更することで、より不備が少ないセキュリティ環境が実現可能です。

また、複数クラウドのIaaS/PaaSに対して一元的にセキュリティ管理ができるため、マルチクラウド環境の企業もCSPMを利用すべきでしょう。

さらに、CSPMはIaaS/PaaSのコンプライアンス遵守やガバナンス強化をしたい企業も利用すべきです。コンプライアンス遵守ができなければ業務の許可をもらえなかったり、罰則を課されたりする可能性があります。またガバナンスを利かせられなければ、内部不正のリスクもありえるでしょう。これらを実現することは一筋縄ではいきませんが、CSPMによって効率化が可能です。

CWPPを利用すべきケース

CWPPを利用すべきケースとして以下があります。

多様なワークロードを利用したい企業もCWPPを利用すべきでしょう。昨今の技術の進化により、コンテナ（オーケストレーションを含む）やサーバレスなど、多くの実行環境が用いられるようになりました。その中で各実行環境の特性を踏まえたセキュリティ対策やコンプライアンスの遵守は多くのコストが伴います。CWPPを用いることでコスト削減が可能です。

また、CWPPはワークロードのセキュリティ対策を実施したい企業も利用すべきでしょう。ワークロードはマルウェア攻撃などを受けるリスクがあります。攻撃からの防御をするためにもCWPPは有効です。

両方利用すべきケース

CSPMとCWPPの両方を利用すべきケースは以下のとおりです。

大規模環境の場合はハイブリッドクラウドやマルチクラウドになることが多いです。またワークロードも多様になっているでしょう。そのような環境ではセキュリティ管理の必要性やコストは大きくなります。CSPM、CWPPのそれぞれの機能を活かすことで、効率的なセキュリティ対策が可能です。

また大規模環境の場合は、サービスを世界中に展開したり、幅広い業界に活用してもらうことを目論んでいるでしょう。その場合は守るべきルールやデータも増えることになります。そこに耐えられるだけのセキュリティ対策にはより多くのコストが必要です。CSPMとCWPPを利用して、十分なセキュリティ対策をし、内外から認められる必要があります。

なお、CSPMやCWPPを両方利用したい企業はCNAPPの利用も検討しましょう。

CSPMとCWPPの他に導入すべきソリューション

CSPMとCWPPの他に導入すべきセキュリティソリューションとして以下があります。

SIEM

SIEMはセキュリティ情報やイベントを管理し、企業の総合的なセキュリティ管理ができるソリューションです。

SIEMの主な機能はIaaSやPaaSとそれぞれのワークロードから、セキュリティログを収集することです。収集したログをもとに、監視や分析を行って、顕在的、潜在的なセキュリティリスクの対策ができます。またクラウドだけでなく、オンプレミスのリソースにも利用可能です。

SIEMをCSPMやCWPPとあわせて利用することで、IaaS/PaaSやワークロードのセキュリティリスクの検出や対策がしやすくなります。

CASB

CASBは主にSaaSのアクセス管理やデータの保護を行うためのソリューションです。

CSPMとCWPPの場合は、SaaSへのセキュリティ対策が薄くなります。しかし、多くの企業はSaaSも利用することになるでしょう。IaaS/PaaSの対策はCSPMとCWPPで行い、SaaSのセキュリティ対策をCASBで行うことで、万全なセキュリティ体制が整います。

CASBを用いると、従業員によるSaaSへのアクセス制限、監視やデータ保護設定の確認が可能です。SaaSのみを用いる場合はCSPMやCWPPよりもCASBを選択しましょう。

EDR

EDRはエンドポイント（パソコンやスマートフォンなどの端末）動作や挙動をセキュリティ監視をするためのソリューションです。

エンドポイントセキュリティがなされていないと、端末自体が不正アクセスを受けた際に社内システムに入り込まれてしまう可能性があります。EDRを用いて物理的なエンドポイントの監視を行うことで、トラブル発生時には迅速な対応が可能です。

CSPMはIaaS/PaaSに用いますが、クラウドサービスにアクセスするには物理的な端末が必要です。CWPPは物理端末の保護にも使えますが、EDRほど細かい確認はできないことが多くあります。物理的な端末（エンドポイント）の保護はEDRで行いましょう。

DLP

DLPは企業や個人が情報漏えいを防ぐためのソリューションです。

DLPには以下の機能があります。

IaaS/PaaSを用いる際に、大抵はデータの保持や利用をすることが大半です。このときデータに対して、適切なアクセス制限やルール制限ができなければ、意図せずに情報漏えいが起きる可能性もあります。

CSPMやCWPPでリソースやアプリケーションを守る対策に加えて、DLPでデータの保護をすることで、より万全な環境になります。

WAF

WAFはWebアプリケーションに対するサイバー攻撃を遮断するため、トラフィックの保護や監視をするためのソリューションです。

WAFはDDoS攻撃やSQLインジェクションなど、アプリケーションを狙った攻撃をブロックします。アプリケーションのうち、特に狙われやすいWebアプリケーションの保護が可能です。

CWPPクラウドワークロードの1つとして、アプリケーションの保護が可能ですが、外部からのWebアプリケーションを狙った攻撃に特化した防御はできません。アプリケーションの内容次第ではCWPPとCSPMだけではなく、WAFの利用も検討しましょう。

CSPMはSCT SECURE CSPMサービスがおすすめ

当記事で扱ってきたCSPMには多くのサービスがありますが、三和コムテックが提供するSCT SECURE CSPMサービスは以下の特徴があります。

SCT SECURE CSPMサービスはマルチクラウドに対応し、多様な実行環境に利用できるCSPMです。自社の環境に対応しているか不安を抱えることが多いCSPMですが、同製品は対応している可能性が高いサービスといえます。

IaaS/PaaSのセキュリティ対策にお悩みや不明点がある場合は、下記リンクからお気軽にお問い合わせください。
https://product.sct.co.jp/product/security/cspm-service

まとめ

CSPMはIaaS/PaaSのセキュリティを評価し、必要に応じて修正内容を提案するソリューションです。一方でCWPPは仮想マシンやコンテナなど、さまざまな環境で実行されるクラウドワークロードのセキュリティ対策ができます。

当記事でCSPMとCWPPのどちらを利用するかご理解いただけたのではないでしょうか。分からない場合やCSPMを利用すべき企業の担当者様は、下記リンクよりお問い合わせください。
https://product.sct.co.jp/product/security/cspm-service