ようこそゲストさん

ビジネス+ITを始める
ログイン
FinTech Journal

  • 会員限定
  • 2022/09/28 掲載

CSPMとは何かをわかりやすく解説、製品比較・選定で押さえるべき3つのポイント

クラウド時代、「驚異的」な成長が見込める市場の実態

記事をお気に入りリストに登録することができます。
クラウドシフトが加速している昨今、気を付けたいのがクラウドの設定ミスです。1つの設定ミスが重大なセキュリティホールにつながる恐れもあります。そこで注目を集めているのが、クラウドの設定ミスを防ぐCSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)です。今回はアイ・ティ・アール コンサルティング・フェローの藤俊満氏に、CSPMの機能や選定ポイントを聞くとともに、トレリックスやパロアルトネットワークス、マイクロソフトなど代表的なベンダーの特徴と動向を紹介します。

監修:アイ・ティ・アール コンサルティング・フェロー 藤俊満

監修:アイ・ティ・アール コンサルティング・フェロー 藤俊満

外資系ITリサーチファームにおいて、 ITコストベンチマーキング手法を用いたITコスト最適化、ITリスクマネジメント、ベンダー評価などのITマネジメントコンサルティング業務に従事。また、国内大手証券系シンクタンクでは、金融業界向けシステムコンサルティング、大手商社系システムインテグレーターのクラウド事業部門ではアウトソーシング、クラウド移行、システム事業継続計画(IT-BCP)策定などのコンサルティング責任者を務める。
ITコンサルティングのみならず、金融機関・流通業・製造業向けのビジネスコンサルティングやESG(環境・社会・企業統治)投資評価コンサルティングの実績も有する。
2016年よりITRのアソシエート・フェローとして活動、2019年1月に入社し、現職。

画像
概要から製品選定のポイントまで、「CSPM」を徹底解説
<目次>
  1. CSPMとは何か? なぜ必要とされるのか
  2. CSPMの主な機能
  3. CSPMとCASB、CWPP、CNAPPとの違い
  4. CSPMの市場規模と推移
  5. CSPMの主要プレイヤー
  6. CSPMの製品選定でチェックしたい3つのポイント
  7. CSPMの今後

CSPMとは何か? なぜ必要とされるのか

 CSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)とは、クラウドサービスのセキュリティの設定状況を可視化、定期的にチェックし、不適切な設定やコンプライアンス違反、脆弱性がないかをチェック、アドバイスしてくれるソリューションです。

 クラウドサービスは設定を誤ると、情報漏えいにつながったり、アクセス権のない第三者から情報を盗まれたりする危険性があります。クラウドの設定ミスが起きてしまう原因を藤氏は次のように指摘します。

「クラウドサービスの設定ミスの原因は、主に知識不足によるものです。ですが、設定担当者が勉強不足といった意味合いではありません。クラウドサービスは複雑なものが多く、新しいサービスが次々とリリースされるため、利用者が最新仕様を把握することが難しくなっています。また、クラウドサービス事業者の責任範囲は、利用者側のデータやPCのセキュリティまでカバーしていないため、注意が必要です」(藤氏)

 CSPMが求められる背景には、場所に捉われない働き方の増加も挙げられます。コロナ禍でのテレワークの広がりにより、社外でスマートフォン・タブレットやノートPCからクラウドを利用する人が増えています。

「クラウドサービスの利用が広がり、ゼロトラストなセキュリティが重要になってきているため、CSPMのニーズも高まっているのです」(藤氏)

 ゼロトラストとは、個別にデバイスやアプリの認証・制御を前提とするセキュリティの概念です。この概念自体は、コロナ禍のテレワーク普及以前からありましたが、昨今のクラウドシフトの加速により注目を集めています。

CSPMの主な機能

 CSPMは、API(Application Programming Interface)経由であらかじめ決めたチェックルールを用いて、利用者側のクラウドの設定状況を確認し、問題がないかを判断します。

「CSPMのメイン機能は、API経由でクラウド側の設定を自動的に確認し、グローバル標準に基づいて設定ミスや漏れがないか判断します。問題があった場合は、その場所を画面上に可視化し、不備・ミス発見と修正にかかる作業を効率化します」(藤氏)

 CSPMの主な機能は次のようなものがあります。

1)チェックルールの設定
 設定ミスを見つける基となるルールはCSPMにあらかじめ用意されています。これは定期的に見直しや追加が行われます。また、自社の要件に合わせてルールをカスタマイズすることも可能です。

2)セキュリティのグローバル標準への紐づけ
 たとえば、PCI DSSやCIS Benchmarksなどの国際的な業界標準セキュリティフレームワークとチェックルールの紐づけができます。

3)問題があった場合のアラート通知
 ルール違反を検出した場合、システム担当者にアラートを通知します。さらに自動的に設定を修正してくれる機能を持ったソリューションもあります。

4)設定ミスを可視化するコンソール
 設定ミスをした箇所や、「誰が、どこを」変更したのかという履歴を確認できます。リスク発見にかかる時間や、ベストプラクティスへの設定変更など、作業にかかる負担を効率化します。

5)マルチクラウド利用の場合でも一元管理できる
 複数のクラウドサービスを利用している場合でも、同じコンソールから統一ルールにもとづいて、一元的にクラウドの設定状況を管理できます。

CSPMとCASB、CWPP、CNAPPとの違い

 クラウドのセキュリティを守るソリューションは、CSPMの他にもCASB(Cloud Access Security Broker、通称キャスビー)やCWPP(Cloud Workload Protection Platform:クラウドワークロード保護プラットフォーム)などが挙げられます。これらは、CSPMとどのような違いがあるのでしょうか。

「CASBはクラウドの入り口でアクセス管理と情報漏洩管理をするものです。CSPMはクラウドのインフラ設定をチェックします。アプリケーションの設定は対象外です。そこで、アプリケーションの開発保守工程を保護するのがCWPPです。また、CSPMとCWPPを融合したソリューションはCNAPP(Cloud Native Application Protection Platform、通称シーナップ)と呼ばれます」(藤氏)

 CNAPPとは、CSPMとCWPP、データ損失防止(DLP)、アプリケーション保護のソリューションを1つに組み合わせた、マカフィーが始めた新しいセキュリティサービスです。ですが、藤氏は日本でCWPPやCNAPPはまだ普及していないと述べます。

「アプリケーション開発をクラウド化する企業が増えてくると、CWPPやCNAPPの需要が高まってくるかもしれませんが、現在の日本企業はオンプレをクラウドへ移し替えた企業が多いのが実情です。そのため、クラウド移行時に正しくインフラ設定ができたかをチェックするCSPMのニーズが高くなっています。日本企業のアプリケーション開発がクラウドネイティブへ向かえば、今後、システム再構築のタイミングでCWPP、CNAPPのニーズも高まってくると思われます」(藤氏)

CSPMの市場規模と推移

 ITRの調査によるとCSPMの市場規模は、2020年度、前年度比約3倍の3億6,000万円に達しました。

画像
CSPMの市場規模の推移と予測
(出典:ITR)

「大部分の企業でクラウドシフトが進んでいるものの、まだ完了しているところは多くありません。このため、2021年度も同じく、3倍強のペースで成長するでしょう。その後も5~10年間は伸び続けると見ています。2025年度にかけてのCAGR(年平均成長率)予想は48.5%です。セキュリティ製品の成長率は、売上金額ベースで5%前後が一般的なので、この数字は驚異的です」(藤氏)

【次ページ】CSPM参入企業の特徴とは? 主要プレイヤー6社とそれぞれの特徴、製品選定の「3つのポイント」を解説

関連タグ

あなたの投稿

関連コンテンツ

記事
セキュリティ総論

クラウドのセキュリティ対策の4ステップをガートナーが解説、ツールはどう使い分け?

クラウド利用が拡大する中、セキュリティ対策は企業経営にとっての最優先課題の1つと位置付けられまでになった。背景には、従来からのアプローチでは対応しきれないセキュリティ・リスクが生じていることがある。企業はクラウド・セキュリティへの対応をどう推し進めるべきなのか。クラウドセキュリティへの具体的な取り組み方、CASBやCSPM、CWPPなど無数にあるツール/ソリューションの使い分け方など、ガートナー シニア ディレクター,アナリストのチャーリー・ウィンクレス氏が解説する。

記事
セキュリティ戦略

CASBとは何か? ガートナーが基礎から解説するクラウドセキュリティ向上のポイント

クラウドサービスの普及やモバイルデバイスの多様化が進展している。しかし、管理下にないクラウドやデバイスを野放図に利用すれば、セキュリティリスクは高まる。こうした問題を一気に解決すると期待されているのが「CASB(Cloud Access Security Broker 通称:キャスビー)」だ。ガートナージャパン リサーチ&アドバイザリ部門 礒田 優一氏にCASBの仕組みを基礎から紹介してもらうとともに、主要製品ベンダーや製品比較・選定のポイントを解説してもらった。(2021年5月26日に一部製品・ベンダー一覧情報を更新、2018年5月10日初出)

記事
セキュリティ総論

EDRとは何かをわかりやすく解説、製品比較・選定で押さえるべき5つのポイント

テレワークの普及によって、従業員が利用するPCやスマートフォンをはじめとするエンドポイントが狙われる危険性も高まっています。そこで注目を集めているのが、エンドポイントのセキュリティを守るEDR(Endpoint Detection and Response)です。そこで、ここではEDRの基本知識・市場規模、主要機能などについて解説するとともに、IDC Japan ソフトウェア&セキュリティ リサーチマネージャー赤間健一氏にEDR市場の動向や製品選定のポイントなどを聞くとともに、サイバーリーズンやマイクロソフト、クラウドストライクなどの代表的なツールベンダーの動向を合わせて紹介します。

記事
セキュリティ総論

メルカリを支えるセキュリティカルチャーとは?「利用者2000万人」の個人情報の守り方

フリマアプリの「メルカリ」は、2013年のサービス提供開始から継続的に利用者を増やし、月間利用者数は2000万人以上を突破。同アプリを運営するメルカリは、膨大な利用者情報を守り、利用者が安心・安全にサービスを利用できるよう、どのようなセキュリティ強化の取り組みを行っているのだろうか。同社のCISO(Chief Information Security Officer:最高情報セキュリティ責任者)、執行役員を務める市原 尚久 氏に、同社が推進する先進的な施策の数々について話を聞いた。

記事
セキュリティ総論

ChatGPTでマルウェアを書きまくる?「ダークウェブではすでに人気」の衝撃

ユーザーと自然なやり取りができるChatGPTが話題だ。適切に質問すれば、コードやSQL文も作ってくれる。一方で、この技術を悪用すればセキュリティが脅かされるのではないだろうか? AIをセキュリティに応用する議論は今に始まったことではない。古くはセキュリティベンダーのESETが発見的アルゴリズムをアンチウイルスソフトに導入していた。Gmail他のスパムメールフィルタにも、統計的な検知アルゴリズムが使われていた。だが現在は、攻撃者も積極的にAIを活用しているのだ。

記事
セキュリティ総論

トランプ政権の「生みの親」?インフルエンスオペレーションの知られざる危険性を解説

トランプ政権の「生みの親」?インフルエンスオペレーションの知られざる危険性を解説 ナラティブ(筋書きのある創作物語)を用いて発信者側にとって都合の良いように、受け手側の認識を変えていく「インフルエンスオペレーション」。インターネットの普及により、情報発信の手段が多様化した現在、サイバー脅威としてのインフルエンスオペレーションの危険性は増している。こうした脅威にどう対処していけばよいのか、国内外で実際に起きた事例を元に、明治大学サイバーセキュリティ研究所で所長を務める齋藤孝道氏が解説する。

記事
セキュリティ総論

マイクロセグメンテーションとは何かを解説 ゼロトラスト・SASEに必須の技術、その役割とは

近年、クラウドシフトの加速やテレワークの普及により、企業のセキュリティはオフィスと外部を境界で防御する従来の「境界型」から、すべての通信を信頼しないことを前提に対策する「ゼロトラスト」への転換が進んでいます。このゼロトラストを実現するために欠かせない技術が「マイクロセグメンテーション」です。今回はマイクロセグメンテーションとは何か、ガートナージャパン バイス プレジデント、アナリストの池田武史氏への取材をもとに解説します。

記事
セキュリティ総論

真似したくなる?MIXIの「セキュリティ戦略」、社員に対策を“強制しない理由”が深い

近年、リモートワークとオフィスワークを併用する企業が増えているが、柔軟な働き方は従業員の生産性を上げる一方、オフィスワークに限った働き方に比べてセキュリティリスクは高くなる。国内有数のSNS「mixi」やスマホアプリ「モンスターストライク」などで知られるMIXI(ミクシィ)でも、リモートワークとオフィスワークを併用しており、安全かつ柔軟な働き方を可能にすべく、セキュリティ対策の在り方の見直しを進めてきた。MIXI開発本部セキュリティ室室長の亀山直生氏に、MIXIならではの「情報セキュリティ戦略」について聞いた。

記事
セキュリティ総論

SOCでの「DevSecOps」実現に何が必要? ガートナーが求める「一致団結」の重要性

セキュリティ・リスク対応に向け、企業による設置が相次ぐSOC(セキュリティ・オペレーション・センター)。クラウド活用によりシステムの複雑性が増し、リスク検出の難度が増す中、開発チームまで取り込んだSOCにおける「DevSecOps」の推進が強く求められるようになっている。DevSecOpsとは、開発(Development)と運用(Operations)が密に連携することでリリース頻度を高め、開発スピードを向上させる「DevOps」に、セキュリティ(Security)を担保して融合させる開発スタイルのこと。では、DevSecOps実現のためにSOCには何が求められるのか。ガートナー ディレクター,アナリストのアンドリュー・デイヴィス氏が、DevSecOpsの基礎と“今日的”なSOCの実現の道筋を指し示す。

    PR

    PR

    PR

処理に失敗しました

人気のタグ

おすすめユーザー

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

Media Open Sample

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

Media Open Sample