クラウドセキュリティ
CSPMとは?機能やCASB、CWPPとの違いを解説
Written by 田村 彩乃
ITコンサルタントとして7年間システム提案に携わった後、フリーライターとして独立。IT、マーケティングに関するコラムを中心として、人材、ECなどにまつわる記事をWebをはじめとした多くのメディアで執筆。
目 次
CSPMとは?
なぜCSPMが今注目されているのか?
CSPMの「機能」と「解決できる課題」
CSPMとCASB、CWPPの違い
同じくクラウド環境の設定状況をチェックする「クラウド診断」というサービスも
CSPMと併用したい、LANSCOPE プロフェッショナルサービスの「クラウド診断」
まとめ
CSPMとは「クラウドセキュリティ態勢管理」と呼ばれる、クラウドサービスの設定監視に特化したセキュリティソリューションです。CSPMを活用すれば、IaaS/PaaSの設定を自動で監視・評価したり、複数のクラウドサービスのセキュリティ状況を一元管理することが可能となります。。
▼CSPMの主な機能
・設定を自動で監視・評価
・利用状況やリスクを可視化
・クラウドサービスの一元管理
・国際基準に基づいた、セキュリティチェック
このCSPMが注目される背景には、クラウドサービスに起因するセキュリティ事故の増加があります。中でもクラウドサービスの「設定ミス」に起因するサイバー犯罪は年々増えており、不正アクセスや情報漏洩といった被害が多くの企業で発生しているのです。
CSPMは IaaS/PaaSに対し、設定に異常や問題がないかを持続的に評価し、課題があれば検知・対応することが可能なので、強固なクラウドセキュリティ体制を維持することにつながります。
-
▼この記事を要約すると
- CSPMとは、IaaSやPaaSといったパブリッククラウドの設定を監視し、持続的に異常や問題がないかどうかを評価するセキュリティソリューション
- CSPMとSSPMの違いは評価対象で、CSPMはIaaS/PaaSを、SSPMはSaaSを評価する
- サイバー攻撃の増加・深刻化からCSPMの市場規模は右肩上がりで、2020年度の約3.6億円から2025年度には約26億円まで拡大すると予測されている
- CSPMの主な機能は「監視による設定ミスやインシデントの早期検知」「パブリッククラウドの利用状況やリスクを可視化」「複数のクラウドサービスを一元管理」などがある
- クラウドのセキュリティを守るソリューションには、CSPMのほかにクラウドサービスへのアクセスを監視するCASBやクラウド内のワークロードの保護を目的にしているCWPPなどがある
- 同じくクラウド環境の設定状況をチェックするサービスとして「クラウド診断」がある
また弊社では、中小企業の情報システム担当者1,000名を対象に、『クラウドサービスのセキュリティ対策』に関する、実態調査を行いました。
・クラウドサービスに対して、セキュリティ対策は行えているか?
・監査ログによる定期チェックや監視は行えているか?
・過去、クラウド経由でどういったインシデントが発生したか?
などのレポートが記載されています、ぜひ自社のクラウドセキュリティ対策の参考にご活用ください。
【情シス1,000名に調査】クラウドサービスにおけるセキュリティ対策の実態調査
従業員300名以下の中小企業を対象に「クラウドサービスのセキュリティ対策」における、導入事情や課題についてお聞きしました。
CSPMとは?
CSPM(Cloud Security Posture Management)とは「クラウドセキュリティ態勢管理」と呼ばれる、クラウドサービスの構成や設定の問題点を検知・対策するためのセキュリティソリューションです。
IaaSやPaaSといったパブリッククラウドの設定を監視し、持続的に異常や問題がないかどうかを評価します。
パブリッククラウドとは、事業者が用意したサーバーを複数のユーザーが共同利用する運用方法のことで、Amazon社の「AWS」やMicrosoft社の「Microsoft Azure」、Google社の「Google Cloud Platform」などが特に有名です。
CSPMを使えば、API経由で自動的にクラウドサービスの設定不備を監視し、仮に設定ミスが見つかった場合、管理者へ速やかに通知を行います。発見された設定の問題点はコンソール上で可視化できるため、効率的に設定の問題に対して修正を行うことができます。
多くの企業・組織でクラウドサービスの導入が進む昨今、クラウド環境を狙った悪質なサイバー攻撃も増加しています。そのため、CSPMを活用してクラウドのセキュリティリスクを事前に検出し、適切な対策を取ることは、組織の情報資産を守る上でとても有効な手段と言えます。
CSPMで管理できる「クラウドサービス」の例
CSPMで管理できるクラウドサービスの例として、下記のようなものが挙げられます。
・Amazon Web Services(AWS)
・Microsoft Azure
・Google Cloud Platform(GCP)
・IBM Cloud
・Oracle Cloud
上記のような、クラウド事業者がサーバーやネットワーク機器を提供する「クラウドサービス(IaaS)」では、CSPMを活用しセキュリティ課題の監視を行うことができます。
ちなみに、Microsoft 365 やSalesforce といったソフトウェアサービスは、クラウドサービスの中でも「SaaS型」に該当します。SaaS のセキュリティ製品については、次項「CSPMとSSPMの違い」で説明します。
CSPMとSSPMの違い
CSPMとしばしば比較されるセキュリティソリューションに「SSPM」があります。
前述のようにCSPMはIaaS/PaaSの設定を評価しますが、SSPMはSaaSの設定を評価するという点で、違いがあります。
CSPMとSSPMの違いを、下記の表にまとめました。
| CSPM | SSPM | |
|---|---|---|
| 評価の対象 | IaaS/PaaS | SaaS |
| 目的 | セキュリティインシデントの防止 | セキュリティインシデントの防止 |
| 機能 | ・設定の評価・アラート通知等 ・脆弱性の検出・インシデントへの自動対応が可能な製品もある |
・設定の評価・アラート通知等 ・脆弱性の検出・インシデントへの自動対応が可能な製品もある |
上記のように、CSPMとSSPMの基本的な目的や機能は類似しています。
「評価対象がIaaS/PaaSか、SaaSかによって使い分ける」とイメージすれば理解しやすいでしょう。
なぜCSPMが今注目されているのか?
2020年代以降、CSPMの導入が大きく注目されるようになった背景として、昨今クラウドサービスの急速な普及と、それに伴いセキュリティ被害が増加していることが理由に挙げられます。
総務省が令和5年に公開したIDCの調査によれば、新型コロナウイルス感染症の影響などでオンプレミス環境からクラウドへの移行が進んでいることを背景に、日本のパブリッククラウドサービス市場規模は右肩上がりで成長。
2026年には6兆円規模まで、市場規模が拡大する見込みと予測しています。
▼国内パブリッククラウドサービスの市場規模予測
出典:総務省|第2部 情報通信分野の現状と課題
クラウドサービスの普及は「業務効率化」「場所を問わない働き方の提供」「コスト低減」など、組織にとって大きなメリットをもたらします。しかし一方で、クラウドサービスの設定ミスを狙った犯罪も増加し、不正アクセスや情報漏洩といった被害が、多くの企業で発生していることも事実です。
こういったクラウドサービスに起因するセキュリティ事故の発生を受け、CSPMへの注目が高まっています。
実際、ITコンサルティング企業の「ITR」が2022年に公開したデータによると、CSPMの市場規模は2025年まで右肩上がりで成長すると予測されています。
▼CSPM市場の市場規模推移予測
出典:ITR|クラウドの設定ミスによる情報漏洩を防ぐCSPM市場の2021年度の売上金額は3倍強に拡大の見込み(2022年7月21日)
2020年度に約3億6,000万円だった市場規模は、2025年度に約26億円にまで拡大すると予測されており、およそ7倍の規模に該当します。
クラウドを活用する現場が増えている昨今、攻撃者はクラウド環境を狙ってサイバー攻撃を仕掛けるケースも多く、企業には自社の情報資産を守るための対策が求められます。クラウドサービスの設定不備を見直し対策することは、いまや多くの企業にとって必須の課題とも言えるでしょう。
CSPMの「機能」と「解決できる課題」
知っておきたい「CSPMの主な機能」として、下記のようなものがあります。
・監視により、設定ミスやインシデントを早期検知できる
・パブリッククラウドの利用状況やリスクを可視化できる
・複数のクラウドサービスを一元管理できる
・国際基準に基づいた、セキュリティチェックができる
それぞれご説明します。
監視により、設定ミスやインシデントを早期検知できる
CSPMのコアとなるのは、IaaS/PaaSの設定を自動で監視・評価する機能です。
クラウドサービスの設定に問題点がないかをAPI経由で自動的に評価します。アラート通知によって、セキュリティ管理者へ伝える機能をもつ製品もあります。
設定変更のアドバイスも提示されるため、インシデントが発生する前に、効率よく課題を改善することが可能です。
また、基本的な評価ルールはCSPMを導入した時点であらかじめ用意されていますが、自社の独自ルールがある場合は、内容をカスタマイズして運用することもできます。
パブリッククラウドの利用状況やリスクを可視化できる
CSPMでは管理画面から、設定不備やインシデントに繋がるアクションを、確認することができます。
不審なトラフィックやアクセスを可視化できるため、クラウドサービス経由でインシデントが発生する原因を洗い出し、事前に対策や注意喚起に応用することが可能です。
また、設定の問題点を視覚的に把握できるため、よりスムーズに対応を行えるといった効率化のメリットもあります。
複数のクラウドサービスを一元管理できる
CSPMを活用することで、複数のクラウドサービスのセキュリティ状況を、一元管理することも可能です。
複数のクラウドサービスを運用する場合、サービスごとに仕様が異なることもあり、セキュリティ管理は煩雑となります。ルールの改訂やアップデートのタイミングもクラウドサービスごとに異なるため、管理者にとって大きな負担となりかねません。
このときCSPMに用意されている基本的なルールを活用すれば、各クラウドサービスに基本的なセキュリティルールを反映した監視・評価を行えるため、少ない労力で安全性の高いセキュリティを維持できます。
国際基準に基づいた、セキュリティチェックができる
CSPMを導入することで、「国際基準にならったセキュリティ管理」が行えるようになります。セキュリティには国際的な規格があり「CIS ベンチマーク」「PCI DSS」などが該当します。
CISベンチマーク…セキュリティ設定をはじめ、情報システムを安全に構築・運用するための製品や手法を提供する、ベストプラクティス集
PCI DSS…クレジットカードにおける会員情報の保護を目的に取り決められた、国際的なセキュリティ基準
社内で人的に「国際基準を反映したセキュリティチェック」を行う場合、担当者の労力と前提となる高いセキュリティ知識がなければ、実行は困難です。
CSPMを導入すれば、あらかじめ国際基準に基づいたルール設定が可能なため、安全性の高いセキュリティチェックを効率的に行うことができます。セキュリティ知識の弱い担当者であっても、安全性の高い設定確認が行えるでしょう。
CSPMとCASB、CWPPの違い
クラウドのセキュリティを守るソリューションには、CSPMのほかにCASBやCWPPなどがあります。
CASB(Cloud Access Security Broker)とは、従業員によるクラウドサービスの利用を可視化・制御し、一括管理するソリューションです。
CSPMがクラウドサービスの設定を監視するのに対し、CASBはクラウドサービスへのアクセスを監視し、場合によってはブロックを行います。
また、もう一つのCWPP(Cloud Workload Protection Platform)は、クラウドワークロード(クラウド上の仮想マシン、サーバ、アプリケーション等)を保護するためのプラットフォームです。
CSPMがクラウド環境全体の設定の保護を目的としているのに対し、CWPPはクラウド内のワークロードの保護を目的にしています。
同じくクラウド環境の設定状況をチェックする「クラウド診断」というサービスも
CSPMとしばしば比較されるのが、クラウドサービスの設定評価を、セキュリティの専門家の手でおこなう「クラウド診断」というサービスです。
クラウド診断とは、クラウドサービスの利用状況やセキュリティ状態を専門家が手動でチェック・分析し、改善策や最適化策を提案するサービスです。ここでは、CSPMとクラウド診断の違いを詳しく解説します。
CSPMとクラウド診断の違い
CSPMとクラウド診断の最も大きな違いは「専門家が手動で診断を行うか」「製品が自動で診断を行うか」となります。
単発でベンダーへ依頼する「クラウド診断」に対し、一度導入すれば半永久的に設定の検知を行える点で、「持続性」の面ではCSPMが秀でていると言えます。
| クラウド診断 | CSPM | |
|---|---|---|
| 評価の主体 | 人間が評価 | ソフトウェアが評価 |
| 柔軟性 | ○(高い) | ×(低い) |
| 診断項目数 | ○ | △ |
| 最新の内容で診断可能か | ○ | ×(ベンダーに依存) |
| 持続性 | ×(定期的な実施が必要) | ○(半永久的) |
| クラウドサービス仕様変更への対応 | ○ | △ |
| 専門知識 | 不要 | 必要 |
ただし、最新の診断項目でチェックできる点や、各種クラウドサービスの仕様変更に対応できるといった「柔軟性」の面では、人的に行われるクラウド診断が適していると言えます。
CSPMの大きな問題点として、内包されているルールの更新がベンダー任せとなるため、日々更新されるクラウドサービスの仕様変更への追随が遅れてしまうという点があります。
例えば、CISベンチマークは年に1~2回リリースされますが、それまでの更新情報を元に、検討された結果がリリースされます。ベンダーはCISベンチマークがリリースされてから、内包されるルールの変更を行うため、クラウドサービスの仕様変更に対するCSPMチェック項目の対応が、1年半程度遅れるケースもあります。
また、CSPMの運用にはある程度の運用知識と経験が必要となりますが、専門家へ全面的に調査を任せられるクラウド診断では、それらの知識や経験を問わず利用できる、といったメリットもあります。
自社の環境や目的に応じて、より適したクラウドセキュリティサービスの利用を検討すると良いでしょう。
CSPMと併用したい、LANSCOPE プロフェッショナルサービスの「クラウド診断」
クラウドセキュリティ対策を万全にするためには、クラウド診断やCSPMを活用することが効果的です。ただし、自社でリソースが十分になくCSPMの運用が困難なケースもあるかもしれません。
LANSCOPE プロフェッショナルサービスでは、主要なIaaS・SaaSサービスで実施可能な「クラウドセキュリティ診断」を提供しています。
クラウドセキュリティ診断では、クラウドサービスとセキュリティ双方の知識が豊富な当社の「クラウドセキュリティのエキスパート」が、ご利用中のクラウドサービスにて「アクセス権限」「ログインの認証方法」など、インシデントの根源となりうる設定項目の調査と洗い出しを実施。
選定したクラウド環境の不備や脆弱性について、最適な対処方法をお伝えします。
また、常に各クラウドサービスの専門家が、CISベンチマークやJPCERT・IPAなどの発信する情報を常時収集し、診断ルールへ反映するため、いつでも最新のセキュリティルールに則った診断サービスを提供します。
対応可能なクラウドサービスは多岐にわたるため、幅広いお客様に「クラウドに関する情報漏洩防止」に、お力添えすることが可能です。
▼主要なサービス一覧
Microsoft 365 セキュリティ診断
Google Workspace セキュリティ診断
Salesforce セキュリティ診断
Amazon Web Services(AWS)セキュリティ診断
Microsoft Azure セキュリティ診断
Google Cloud Platfor (GCP)セキュリティ診断
Zoom セキュリティ診断
Box セキュリティ診断
Slack セキュリティ診断
サービスの詳細は、以下のページよりご確認ください。
まとめ
本記事では、CSPMの機能や注目を集めている理由、市場規模などを解説しました。
-
▼本記事のまとめ
- CSPMは「クラウドセキュリティ態勢管理」と呼ばれるセキュリティソリューションで、パブリッククラウド(IaaS・PaaS)の「設定」を監視し、持続的に異常や問題がないかを評価する
- AWSやMicorosoft Azure・Google Cloudなど、世界的に活用される多くのクラウドサービスに対応可能
- クラウドサービスの普及に伴うセキュリティ被害の増加により、CSPMが注目を集め、市場規模は右肩上がりに上昇。2025年には26億円規模へ成長見込み
- CSPMの主な機能として、ソフトウェアによるIaaS/PaaS設定の自動監視・評価がある。その他、マルチクラウドの一元管理や国際標準を反映したセキュリティチェック等もメリット
- クラウドのセキュリティを守るソリューションには、CSPMのほかにクラウドサービスへのアクセスを監視するCASBやクラウド内のワークロードの保護を目的にしているCWPPなどがある
- CSPMのデメリットとして、最新の情報を常に反映させた診断ができない点と、知識が無い場合運用が難しい点が挙げられるため、その場合には専門家に依頼するとクラウド診断などのサービスを利用することが推奨される
クラウドサービスのセキュリティ対策は、今や企業・組織において避けられない課題と言えます。ぜひ、本記事で紹介したCSPMやクラウド診断も参考に、安心して業務に臨めるクラウド環境の構築に取り組んでいただければと思います。
また弊社では、中小企業の情報システム担当者1,000名を対象に、『クラウドサービスのセキュリティ対策』に関する、実態調査を行いました。
・クラウドサービスに対して、セキュリティ対策は行えているか?
・監査ログによる定期チェックや監視は行えているか?
・過去、クラウド経由でどういったインシデントが発生したか?
などのレポートが記載されています、ぜひ自社のクラウドセキュリティ対策の参考にご活用ください。
【情シス1,000名に調査】クラウドサービスにおけるセキュリティ対策の実態調査
従業員300名以下の中小企業を対象に「クラウドサービスのセキュリティ対策」における、導入事情や課題についてお聞きしました。
関連する記事
