• 会員限定
  • 2022/09/28 掲載

CSPMとは何かをわかりやすく解説、製品比較・選定で押さえるべき3つのポイント

クラウド時代、「驚異的」な成長が見込める市場の実態

記事をお気に入りリストに登録することができます。
クラウドシフトが加速している昨今、気を付けたいのがクラウドの設定ミスです。1つの設定ミスが重大なセキュリティホールにつながる恐れもあります。そこで注目を集めているのが、クラウドの設定ミスを防ぐCSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)です。今回はアイ・ティ・アール コンサルティング・フェローの藤俊満氏に、CSPMの機能や選定ポイントを聞くとともに、トレリックスやパロアルトネットワークス、マイクロソフトなど代表的なベンダーの特徴と動向を紹介します。

監修:アイ・ティ・アール コンサルティング・フェロー 藤俊満

監修:アイ・ティ・アール コンサルティング・フェロー 藤俊満

外資系ITリサーチファームにおいて、 ITコストベンチマーキング手法を用いたITコスト最適化、ITリスクマネジメント、ベンダー評価などのITマネジメントコンサルティング業務に従事。また、国内大手証券系シンクタンクでは、金融業界向けシステムコンサルティング、大手商社系システムインテグレーターのクラウド事業部門ではアウトソーシング、クラウド移行、システム事業継続計画(IT-BCP)策定などのコンサルティング責任者を務める。
ITコンサルティングのみならず、金融機関・流通業・製造業向けのビジネスコンサルティングやESG(環境・社会・企業統治)投資評価コンサルティングの実績も有する。
2016年よりITRのアソシエート・フェローとして活動、2019年1月に入社し、現職。

画像
概要から製品選定のポイントまで、「CSPM」を徹底解説

CSPMとは何か? なぜ必要とされるのか

 CSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)とは、クラウドサービスのセキュリティの設定状況を可視化、定期的にチェックし、不適切な設定やコンプライアンス違反、脆弱性がないかをチェック、アドバイスしてくれるソリューションです。

 クラウドサービスは設定を誤ると、情報漏えいにつながったり、アクセス権のない第三者から情報を盗まれたりする危険性があります。クラウドの設定ミスが起きてしまう原因を藤氏は次のように指摘します。

「クラウドサービスの設定ミスの原因は、主に知識不足によるものです。ですが、設定担当者が勉強不足といった意味合いではありません。クラウドサービスは複雑なものが多く、新しいサービスが次々とリリースされるため、利用者が最新仕様を把握することが難しくなっています。また、クラウドサービス事業者の責任範囲は、利用者側のデータやPCのセキュリティまでカバーしていないため、注意が必要です」(藤氏)

 CSPMが求められる背景には、場所に捉われない働き方の増加も挙げられます。コロナ禍でのテレワークの広がりにより、社外でスマートフォン・タブレットやノートPCからクラウドを利用する人が増えています。

「クラウドサービスの利用が広がり、ゼロトラストなセキュリティが重要になってきているため、CSPMのニーズも高まっているのです」(藤氏)

 ゼロトラストとは、個別にデバイスやアプリの認証・制御を前提とするセキュリティの概念です。この概念自体は、コロナ禍のテレワーク普及以前からありましたが、昨今のクラウドシフトの加速により注目を集めています。

CSPMの主な機能

 CSPMは、API(Application Programming Interface)経由であらかじめ決めたチェックルールを用いて、利用者側のクラウドの設定状況を確認し、問題がないかを判断します。

「CSPMのメイン機能は、API経由でクラウド側の設定を自動的に確認し、グローバル標準に基づいて設定ミスや漏れがないか判断します。問題があった場合は、その場所を画面上に可視化し、不備・ミス発見と修正にかかる作業を効率化します」(藤氏)

 CSPMの主な機能は次のようなものがあります。

1)チェックルールの設定
 設定ミスを見つける基となるルールはCSPMにあらかじめ用意されています。これは定期的に見直しや追加が行われます。また、自社の要件に合わせてルールをカスタマイズすることも可能です。

2)セキュリティのグローバル標準への紐づけ
 たとえば、PCI DSSやCIS Benchmarksなどの国際的な業界標準セキュリティフレームワークとチェックルールの紐づけができます。

3)問題があった場合のアラート通知
 ルール違反を検出した場合、システム担当者にアラートを通知します。さらに自動的に設定を修正してくれる機能を持ったソリューションもあります。

4)設定ミスを可視化するコンソール
 設定ミスをした箇所や、「誰が、どこを」変更したのかという履歴を確認できます。リスク発見にかかる時間や、ベストプラクティスへの設定変更など、作業にかかる負担を効率化します。

5)マルチクラウド利用の場合でも一元管理できる
 複数のクラウドサービスを利用している場合でも、同じコンソールから統一ルールにもとづいて、一元的にクラウドの設定状況を管理できます。

CSPMとCASB、CWPP、CNAPPとの違い

 クラウドのセキュリティを守るソリューションは、CSPMの他にもCASB(Cloud Access Security Broker、通称キャスビー)やCWPP(Cloud Workload Protection Platform:クラウドワークロード保護プラットフォーム)などが挙げられます。これらは、CSPMとどのような違いがあるのでしょうか。

「CASBはクラウドの入り口でアクセス管理と情報漏洩管理をするものです。CSPMはクラウドのインフラ設定をチェックします。アプリケーションの設定は対象外です。そこで、アプリケーションの開発保守工程を保護するのがCWPPです。また、CSPMとCWPPを融合したソリューションはCNAPP(Cloud Native Application Protection Platform、通称シーナップ)と呼ばれます」(藤氏)

 CNAPPとは、CSPMとCWPP、データ損失防止(DLP)、アプリケーション保護のソリューションを1つに組み合わせた、マカフィーが始めた新しいセキュリティサービスです。ですが、藤氏は日本でCWPPやCNAPPはまだ普及していないと述べます。

「アプリケーション開発をクラウド化する企業が増えてくると、CWPPやCNAPPの需要が高まってくるかもしれませんが、現在の日本企業はオンプレをクラウドへ移し替えた企業が多いのが実情です。そのため、クラウド移行時に正しくインフラ設定ができたかをチェックするCSPMのニーズが高くなっています。日本企業のアプリケーション開発がクラウドネイティブへ向かえば、今後、システム再構築のタイミングでCWPP、CNAPPのニーズも高まってくると思われます」(藤氏)

CSPMの市場規模と推移

 ITRの調査によるとCSPMの市場規模は、2020年度、前年度比約3倍の3億6,000万円に達しました。

画像
CSPMの市場規模の推移と予測
(出典:ITR)

「大部分の企業でクラウドシフトが進んでいるものの、まだ完了しているところは多くありません。このため、2021年度も同じく、3倍強のペースで成長するでしょう。その後も5~10年間は伸び続けると見ています。2025年度にかけてのCAGR(年平均成長率)予想は48.5%です。セキュリティ製品の成長率は、売上金額ベースで5%前後が一般的なので、この数字は驚異的です」(藤氏)

【次ページ】CSPM参入企業の特徴とは? 主要プレイヤー6社とそれぞれの特徴、製品選定の「3つのポイント」を解説

関連タグ

あなたの投稿

関連コンテンツ

オンライン

Ignite 23 Japanオンデマンド

AI-Empowered Cybersecurity Transformation まさにAI時代と言える現代、企業がビジネス変革を進める一方で、新たな脅威が出現するペースも非常に速く、企業のサイバーセキュリティを取り巻く環境は大きく変化しています。特に企業がクラウドやハイブリッドワークスタイルにシフトを加速させる中、攻撃者はAIを駆使して、巧妙かつ高度なサイバー攻撃を仕掛けてきます。進化と拡大を続けるサイバー脅威に対抗するために、組織は今、あらためて自らのビジネスを見直し、サイバーセキュリティ戦略を立て直すことが求められています。AI時代を勝ち抜くためには、サイバーセキュリティ体制もまた、AIを念頭に設計、構築することが至上命題です。 AIの台頭も背景に、私たちが置かれているビジネス環境や私たちが活用している企業システムにおいて、攻撃対象領域は拡大の一途をたどっています。内包されるサイバーリスクも多様化の勢いを増しており、リスク毎にポイント製品で対応していくことは現実的ではありません。今こそ、サイバーセキュリティ対策においても、真のコンソリデーションによる包括的なアプローチが必要な時代です。 最新のサイバーセキュリティソリューションの今を知ることができる「Ignite 23 Japan」をぜひお見逃しなく!

    PR

    PR

    PR

処理に失敗しました

人気のタグ

おすすめユーザー

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます