- 会員限定
- 2022/09/28 掲載
CSPMとは何かをわかりやすく解説、製品比較・選定で押さえるべき3つのポイント
クラウド時代、「驚異的」な成長が見込める市場の実態
記事をお気に入りリストに登録することができます。
クラウドシフトが加速している昨今、気を付けたいのがクラウドの設定ミスです。1つの設定ミスが重大なセキュリティホールにつながる恐れもあります。そこで注目を集めているのが、クラウドの設定ミスを防ぐCSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)です。今回はアイ・ティ・アール コンサルティング・フェローの藤俊満氏に、CSPMの機能や選定ポイントを聞くとともに、トレリックスやパロアルトネットワークス、マイクロソフトなど代表的なベンダーの特徴と動向を紹介します。
外資系ITリサーチファームにおいて、 ITコストベンチマーキング手法を用いたITコスト最適化、ITリスクマネジメント、ベンダー評価などのITマネジメントコンサルティング業務に従事。また、国内大手証券系シンクタンクでは、金融業界向けシステムコンサルティング、大手商社系システムインテグレーターのクラウド事業部門ではアウトソーシング、クラウド移行、システム事業継続計画(IT-BCP)策定などのコンサルティング責任者を務める。
ITコンサルティングのみならず、金融機関・流通業・製造業向けのビジネスコンサルティングやESG(環境・社会・企業統治)投資評価コンサルティングの実績も有する。
2016年よりITRのアソシエート・フェローとして活動、2019年1月に入社し、現職。
CSPMとは何か? なぜ必要とされるのか
CSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)とは、クラウドサービスのセキュリティの設定状況を可視化、定期的にチェックし、不適切な設定やコンプライアンス違反、脆弱性がないかをチェック、アドバイスしてくれるソリューションです。クラウドサービスは設定を誤ると、情報漏えいにつながったり、アクセス権のない第三者から情報を盗まれたりする危険性があります。クラウドの設定ミスが起きてしまう原因を藤氏は次のように指摘します。
「クラウドサービスの設定ミスの原因は、主に知識不足によるものです。ですが、設定担当者が勉強不足といった意味合いではありません。クラウドサービスは複雑なものが多く、新しいサービスが次々とリリースされるため、利用者が最新仕様を把握することが難しくなっています。また、クラウドサービス事業者の責任範囲は、利用者側のデータやPCのセキュリティまでカバーしていないため、注意が必要です」(藤氏)
CSPMが求められる背景には、場所に捉われない働き方の増加も挙げられます。コロナ禍でのテレワークの広がりにより、社外でスマートフォン・タブレットやノートPCからクラウドを利用する人が増えています。
「クラウドサービスの利用が広がり、ゼロトラストなセキュリティが重要になってきているため、CSPMのニーズも高まっているのです」(藤氏)
ゼロトラストとは、個別にデバイスやアプリの認証・制御を前提とするセキュリティの概念です。この概念自体は、コロナ禍のテレワーク普及以前からありましたが、昨今のクラウドシフトの加速により注目を集めています。
CSPMの主な機能
CSPMは、API(Application Programming Interface)経由であらかじめ決めたチェックルールを用いて、利用者側のクラウドの設定状況を確認し、問題がないかを判断します。「CSPMのメイン機能は、API経由でクラウド側の設定を自動的に確認し、グローバル標準に基づいて設定ミスや漏れがないか判断します。問題があった場合は、その場所を画面上に可視化し、不備・ミス発見と修正にかかる作業を効率化します」(藤氏)
CSPMの主な機能は次のようなものがあります。
1)チェックルールの設定
設定ミスを見つける基となるルールはCSPMにあらかじめ用意されています。これは定期的に見直しや追加が行われます。また、自社の要件に合わせてルールをカスタマイズすることも可能です。
2)セキュリティのグローバル標準への紐づけ
たとえば、PCI DSSやCIS Benchmarksなどの国際的な業界標準セキュリティフレームワークとチェックルールの紐づけができます。
3)問題があった場合のアラート通知
ルール違反を検出した場合、システム担当者にアラートを通知します。さらに自動的に設定を修正してくれる機能を持ったソリューションもあります。
4)設定ミスを可視化するコンソール
設定ミスをした箇所や、「誰が、どこを」変更したのかという履歴を確認できます。リスク発見にかかる時間や、ベストプラクティスへの設定変更など、作業にかかる負担を効率化します。
5)マルチクラウド利用の場合でも一元管理できる
複数のクラウドサービスを利用している場合でも、同じコンソールから統一ルールにもとづいて、一元的にクラウドの設定状況を管理できます。
設定ミスを見つける基となるルールはCSPMにあらかじめ用意されています。これは定期的に見直しや追加が行われます。また、自社の要件に合わせてルールをカスタマイズすることも可能です。
2)セキュリティのグローバル標準への紐づけ
たとえば、PCI DSSやCIS Benchmarksなどの国際的な業界標準セキュリティフレームワークとチェックルールの紐づけができます。
3)問題があった場合のアラート通知
ルール違反を検出した場合、システム担当者にアラートを通知します。さらに自動的に設定を修正してくれる機能を持ったソリューションもあります。
4)設定ミスを可視化するコンソール
設定ミスをした箇所や、「誰が、どこを」変更したのかという履歴を確認できます。リスク発見にかかる時間や、ベストプラクティスへの設定変更など、作業にかかる負担を効率化します。
5)マルチクラウド利用の場合でも一元管理できる
複数のクラウドサービスを利用している場合でも、同じコンソールから統一ルールにもとづいて、一元的にクラウドの設定状況を管理できます。
CSPMとCASB、CWPP、CNAPPとの違い
クラウドのセキュリティを守るソリューションは、CSPMの他にもCASB(Cloud Access Security Broker、通称キャスビー)やCWPP(Cloud Workload Protection Platform:クラウドワークロード保護プラットフォーム)などが挙げられます。これらは、CSPMとどのような違いがあるのでしょうか。「CASBはクラウドの入り口でアクセス管理と情報漏洩管理をするものです。CSPMはクラウドのインフラ設定をチェックします。アプリケーションの設定は対象外です。そこで、アプリケーションの開発保守工程を保護するのがCWPPです。また、CSPMとCWPPを融合したソリューションはCNAPP(Cloud Native Application Protection Platform、通称シーナップ)と呼ばれます」(藤氏)
CNAPPとは、CSPMとCWPP、データ損失防止(DLP)、アプリケーション保護のソリューションを1つに組み合わせた、マカフィーが始めた新しいセキュリティサービスです。ですが、藤氏は日本でCWPPやCNAPPはまだ普及していないと述べます。
「アプリケーション開発をクラウド化する企業が増えてくると、CWPPやCNAPPの需要が高まってくるかもしれませんが、現在の日本企業はオンプレをクラウドへ移し替えた企業が多いのが実情です。そのため、クラウド移行時に正しくインフラ設定ができたかをチェックするCSPMのニーズが高くなっています。日本企業のアプリケーション開発がクラウドネイティブへ向かえば、今後、システム再構築のタイミングでCWPP、CNAPPのニーズも高まってくると思われます」(藤氏)
CSPMの市場規模と推移
ITRの調査によるとCSPMの市場規模は、2020年度、前年度比約3倍の3億6,000万円に達しました。
(出典:ITR)
「大部分の企業でクラウドシフトが進んでいるものの、まだ完了しているところは多くありません。このため、2021年度も同じく、3倍強のペースで成長するでしょう。その後も5~10年間は伸び続けると見ています。2025年度にかけてのCAGR(年平均成長率)予想は48.5%です。セキュリティ製品の成長率は、売上金額ベースで5%前後が一般的なので、この数字は驚異的です」(藤氏)
【次ページ】CSPM参入企業の特徴とは? 主要プレイヤー6社とそれぞれの特徴、製品選定の「3つのポイント」を解説
関連タグ
あなたの投稿
PR
PR
PR
