- 2022/09/28 掲載
CSPMとは何かをわかりやすく解説、製品比較・選定で押さえるべき3つのポイント
クラウド時代、「驚異的」な成長が見込める市場の実態
記事をお気に入りリストに登録することができます。
クラウドシフトが加速している昨今、気を付けたいのがクラウドの設定ミスです。1つの設定ミスが重大なセキュリティホールにつながる恐れもあります。そこで注目を集めているのが、クラウドの設定ミスを防ぐCSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)です。今回はアイ・ティ・アール コンサルティング・フェローの藤俊満氏に、CSPMの機能や選定ポイントを聞くとともに、トレリックスやパロアルトネットワークス、マイクロソフトなど代表的なベンダーの特徴と動向を紹介します。
外資系ITリサーチファームにおいて、 ITコストベンチマーキング手法を用いたITコスト最適化、ITリスクマネジメント、ベンダー評価などのITマネジメントコンサルティング業務に従事。また、国内大手証券系シンクタンクでは、金融業界向けシステムコンサルティング、大手商社系システムインテグレーターのクラウド事業部門ではアウトソーシング、クラウド移行、システム事業継続計画(IT-BCP)策定などのコンサルティング責任者を務める。
ITコンサルティングのみならず、金融機関・流通業・製造業向けのビジネスコンサルティングやESG(環境・社会・企業統治)投資評価コンサルティングの実績も有する。
2016年よりITRのアソシエート・フェローとして活動、2019年1月に入社し、現職。
CSPMとは何か? なぜ必要とされるのか
CSPM(Cloud Security Posture Management:クラウドセキュリティ態勢管理)とは、クラウドサービスのセキュリティの設定状況を可視化、定期的にチェックし、不適切な設定やコンプライアンス違反、脆弱性がないかをチェック、アドバイスしてくれるソリューションです。クラウドサービスは設定を誤ると、情報漏えいにつながったり、アクセス権のない第三者から情報を盗まれたりする危険性があります。クラウドの設定ミスが起きてしまう原因を藤氏は次のように指摘します。
「クラウドサービスの設定ミスの原因は、主に知識不足によるものです。ですが、設定担当者が勉強不足といった意味合いではありません。クラウドサービスは複雑なものが多く、新しいサービスが次々とリリースされるため、利用者が最新仕様を把握することが難しくなっています。また、クラウドサービス事業者の責任範囲は、利用者側のデータやPCのセキュリティまでカバーしていないため、注意が必要です」(藤氏)
CSPMが求められる背景には、場所に捉われない働き方の増加も挙げられます。コロナ禍でのテレワークの広がりにより、社外でスマートフォン・タブレットやノートPCからクラウドを利用する人が増えています。
「クラウドサービスの利用が広がり、ゼロトラストなセキュリティが重要になってきているため、CSPMのニーズも高まっているのです」(藤氏)
ゼロトラストとは、個別にデバイスやアプリの認証・制御を前提とするセキュリティの概念です。この概念自体は、コロナ禍のテレワーク普及以前からありましたが、昨今のクラウドシフトの加速により注目を集めています。
CSPMの主な機能
CSPMは、API(Application Programming Interface)経由であらかじめ決めたチェックルールを用いて、利用者側のクラウドの設定状況を確認し、問題がないかを判断します。「CSPMのメイン機能は、API経由でクラウド側の設定を自動的に確認し、グローバル標準に基づいて設定ミスや漏れがないか判断します。問題があった場合は、その場所を画面上に可視化し、不備・ミス発見と修正にかかる作業を効率化します」(藤氏)
CSPMの主な機能は次のようなものがあります。
1)チェックルールの設定
設定ミスを見つける基となるルールはCSPMにあらかじめ用意されています。これは定期的に見直しや追加が行われます。また、自社の要件に合わせてルールをカスタマイズすることも可能です。
2)セキュリティのグローバル標準への紐づけ
たとえば、PCI DSSやCIS Benchmarksなどの国際的な業界標準セキュリティフレームワークとチェックルールの紐づけができます。
3)問題があった場合のアラート通知
ルール違反を検出した場合、システム担当者にアラートを通知します。さらに自動的に設定を修正してくれる機能を持ったソリューションもあります。
4)設定ミスを可視化するコンソール
設定ミスをした箇所や、「誰が、どこを」変更したのかという履歴を確認できます。リスク発見にかかる時間や、ベストプラクティスへの設定変更など、作業にかかる負担を効率化します。
5)マルチクラウド利用の場合でも一元管理できる
複数のクラウドサービスを利用している場合でも、同じコンソールから統一ルールにもとづいて、一元的にクラウドの設定状況を管理できます。
設定ミスを見つける基となるルールはCSPMにあらかじめ用意されています。これは定期的に見直しや追加が行われます。また、自社の要件に合わせてルールをカスタマイズすることも可能です。
2)セキュリティのグローバル標準への紐づけ
たとえば、PCI DSSやCIS Benchmarksなどの国際的な業界標準セキュリティフレームワークとチェックルールの紐づけができます。
3)問題があった場合のアラート通知
ルール違反を検出した場合、システム担当者にアラートを通知します。さらに自動的に設定を修正してくれる機能を持ったソリューションもあります。
4)設定ミスを可視化するコンソール
設定ミスをした箇所や、「誰が、どこを」変更したのかという履歴を確認できます。リスク発見にかかる時間や、ベストプラクティスへの設定変更など、作業にかかる負担を効率化します。
5)マルチクラウド利用の場合でも一元管理できる
複数のクラウドサービスを利用している場合でも、同じコンソールから統一ルールにもとづいて、一元的にクラウドの設定状況を管理できます。
CSPMとCASB、CWPP、CNAPPとの違い
クラウドのセキュリティを守るソリューションは、CSPMの他にもCASB(Cloud Access Security Broker、通称キャスビー)やCWPP(Cloud Workload Protection Platform:クラウドワークロード保護プラットフォーム)などが挙げられます。これらは、CSPMとどのような違いがあるのでしょうか。「CASBはクラウドの入り口でアクセス管理と情報漏洩管理をするものです。CSPMはクラウドのインフラ設定をチェックします。アプリケーションの設定は対象外です。そこで、アプリケーションの開発保守工程を保護するのがCWPPです。また、CSPMとCWPPを融合したソリューションはCNAPP(Cloud Native Application Protection Platform、通称シーナップ)と呼ばれます」(藤氏)
CNAPPとは、CSPMとCWPP、データ損失防止(DLP)、アプリケーション保護のソリューションを1つに組み合わせた、マカフィーが始めた新しいセキュリティサービスです。ですが、藤氏は日本でCWPPやCNAPPはまだ普及していないと述べます。
「アプリケーション開発をクラウド化する企業が増えてくると、CWPPやCNAPPの需要が高まってくるかもしれませんが、現在の日本企業はオンプレをクラウドへ移し替えた企業が多いのが実情です。そのため、クラウド移行時に正しくインフラ設定ができたかをチェックするCSPMのニーズが高くなっています。日本企業のアプリケーション開発がクラウドネイティブへ向かえば、今後、システム再構築のタイミングでCWPP、CNAPPのニーズも高まってくると思われます」(藤氏)
CSPMの市場規模と推移
ITRの調査によるとCSPMの市場規模は、2020年度、前年度比約3倍の3億6,000万円に達しました。
(出典:ITR)
「大部分の企業でクラウドシフトが進んでいるものの、まだ完了しているところは多くありません。このため、2021年度も同じく、3倍強のペースで成長するでしょう。その後も5~10年間は伸び続けると見ています。2025年度にかけてのCAGR(年平均成長率)予想は48.5%です。セキュリティ製品の成長率は、売上金額ベースで5%前後が一般的なので、この数字は驚異的です」(藤氏)
CSPMの主要プレイヤー
下の表は、CSPMの主要プレイヤーを一覧にまとめたものです。顔ぶれを見ると、CSPM以外のセキュリティ領域で強みを持つ企業が多いことが分かります。その理由として、藤氏は次のように説明します。「ゼロトラスト型セキュリティへの需要が増えてきたことによって、これまでファイアウォールやルーターなど境界型セキュリティを提供していたプレイヤーがCSPM市場などに流れ始めているからです」(藤氏)
| CSPMの主要プレイヤーと製品・サービス | |
| 企業名 | 製品・サービス名 |
| トレリックス | Trellix MVISION CNAPP(CSPM分) |
| クラウドストライク | CrowdStrike Falcon Horizon CSPM |
| ゼットスケーラー | Zscaler Cloud Protection |
| ソフォス | Sophos Central Cloud Optix |
| パロアルトネットワークス | Prisma Cloud(CSPM分) |
| マイクロソフト | Microsoft Defender for Cloud(CSPM分) |
(ITRへの取材を基に編集部作成)
表に挙げた6社の特徴をそれぞれ紹介します。
・トレリックス:『Trellix MVISION CNAPP』
トレリックスは、セキュリティ大手のマカフィーの法人部門とファイア・アイの製品部門が統合し、2021年10月に設立された会社です。MVISIONシリーズはもともとマカフィーの製品でした。CSPM市場を開拓してきた老舗的存在のプレイヤーです。
「トレリックスは、CSPMとCWPPの両方を提供しています。また、両者を融合したCNAPPを生み出した企業でもあります」(藤氏)
・クラウドストライク:『CrowdStrike Falcon Horizon CSPM』
需要が飽和状態に近づくエンドポイントセキュリティのEDR市場から横展開する形で、CSPMに参入したプレイヤーです。「CrowdStrike Falcon」シリーズは、EDRやCSPMだけでなく、クラウドネイティブなセキュリティソリューションを幅広く提供している点が特徴です。
・ゼットスケーラー:『Zscaler Cloud Protection』
同社はゼロトラストを推進するソリューションを展開しています。もともとSWGに強みを持ち、クラウドセキュリティの豊富なラインアップをそろえる、いま注目されているプレイヤーです。
・ソフォス:『Sophos Central Cloud Optix』
主に中小企業に多く利用されています。同社の製品は個々がコンパクトで扱いやすく、組み合わせて使いやすい点が評価されています。
・パロアルトネットワークス:『Prisma Cloud』
もともとファイアウォール製品に強みをもつ企業です。境界型セキュリティ分野を主力としていましたが、社会的なゼロトラストの流れからクラウドセキュリティ分野にも力を入れるようになりました。
「Prism Cloudシリーズは、IDやコンテナ、ワークロードの保護などクラウドセキュリティの包括的なラインアップをそろえている点が特徴です。色々な製品とCSPMを組み合わせて、クラウド環境を保護することができます」(藤氏)
・マイクロソフト:『Microsoft Defender for Cloud』
Microsoft Defender for Cloudは、Microsoft 365 の連携機能として提供されているCSPMです。戦略的にセキュリティソフトを強化している同社のMicrosoft 365は、特に日本市場で多く普及しています。
「国内市場においてMicrosoft 365は大きなシェアを獲得し、連携するDefender for Cloudも大きく伸びています」(藤氏)
CSPMの製品選定でチェックしたい3つのポイント
CSPMの提供形態は、いつでも利用できる「製品」と、必要な時だけ利用する「サービス」の2つがあり、利用シーンに応じて選択することをおすすめします。「前者は一般的なSaaS型モデルと同じく、契約期間内は無制限にチェック機能を利用できるものです。一方、後者は、クラウドへ移行した場合など、チェックが必要な時だけ利用するもので、『クラウドセキュリティ診断サービス』に分類されます。最終段階で設定ミスをチェックしたいだけなら、単発のサービス利用で十分です。もしも定期的にチェックする必要性が出てきたら、製品の導入を考えてみてください」(藤氏)
数あるCSPMの中から自社に最適なものを選ぶために、藤氏は選定ポイントを3つ挙げます。
1)利用しているクラウドサービスをカバーしているか
前にも述べましたが、CSPMはAPIを使ってクラウドサービスの利用設定を確認します。クラウドサービスによっては、CSPMが必要な設定情報を収集できないケースがあるので、注意する必要があります。
「せっかくCSPMを導入しても、API次第で必要な設定状況を読み込めないケースがあります。利用しているクラウドサービスが『AWS』『Microsoft Azure』『Google Cloud Platform』のような大手ならば心配する必要ありませんが、中小規模のクラウドサービスを利用している場合は注意が必要です。自社に対応するAPIかどうか、導入前に確認しておいたほうがいいでしょう」(藤氏)
2)グローバル標準にどこまで対応できるか
チェックルールは、設定ミスがないかを判断する重要な機能です。このチェックルールは、製品にあらかじめ用意されていますが、より安全性を高めるためには、国際的な業界標準のセキュリティフレームワークに対応しているほうがベターです。
「サイバー攻撃にあう危険度は、セキュリティがグローバル標準に対応しているかどうかによっても左右されます。PCI DSSやCISなど国際ルールに対応できるCSPMかどうかも押さえておきたいポイントです」(藤氏)
3)マルチクラウド環境でも使えるかどうか
現在のところ、複数のクラウドサービスを利用している日本企業は多くありません。しかし、いまは1つのクラウドサービスしか使っていないとしても、今後複数のサービス(マルチクラウド)を使うようになる可能性がありますので、マルチクラウド環境を想定しておいたほうがいいでしょう。
「今後、マルチクラウド化が進んだ場合、クラウドごとに画面を切り替えて管理していては、作業が非常に煩雑になって大変です。マルチクラウド環境でも一気通貫して確認できる製品を選んでおくといいでしょう」(藤氏)
前にも述べましたが、CSPMはAPIを使ってクラウドサービスの利用設定を確認します。クラウドサービスによっては、CSPMが必要な設定情報を収集できないケースがあるので、注意する必要があります。
「せっかくCSPMを導入しても、API次第で必要な設定状況を読み込めないケースがあります。利用しているクラウドサービスが『AWS』『Microsoft Azure』『Google Cloud Platform』のような大手ならば心配する必要ありませんが、中小規模のクラウドサービスを利用している場合は注意が必要です。自社に対応するAPIかどうか、導入前に確認しておいたほうがいいでしょう」(藤氏)
2)グローバル標準にどこまで対応できるか
チェックルールは、設定ミスがないかを判断する重要な機能です。このチェックルールは、製品にあらかじめ用意されていますが、より安全性を高めるためには、国際的な業界標準のセキュリティフレームワークに対応しているほうがベターです。
「サイバー攻撃にあう危険度は、セキュリティがグローバル標準に対応しているかどうかによっても左右されます。PCI DSSやCISなど国際ルールに対応できるCSPMかどうかも押さえておきたいポイントです」(藤氏)
3)マルチクラウド環境でも使えるかどうか
現在のところ、複数のクラウドサービスを利用している日本企業は多くありません。しかし、いまは1つのクラウドサービスしか使っていないとしても、今後複数のサービス(マルチクラウド)を使うようになる可能性がありますので、マルチクラウド環境を想定しておいたほうがいいでしょう。
「今後、マルチクラウド化が進んだ場合、クラウドごとに画面を切り替えて管理していては、作業が非常に煩雑になって大変です。マルチクラウド環境でも一気通貫して確認できる製品を選んでおくといいでしょう」(藤氏)
CSPMの今後
日本のクラウドシフトは、まだまだこれからの段階にあります。今後、CSPMを含むクラウドセキュリティソリューションの必要性はますます高まることが予想されます。「日本企業のクラウドシフトは、今後5年以上かけて進むでしょう。それは同時に、クラウドのセキュリティがますます必要になることを意味します。おそらく開発、アクセス、通信を含むクラウドセキュリティ周辺のツールは、CSPMをはじめ、CASB、CWPP、CNAPPまで、これからの時代に必須のものとなるでしょう」(藤氏)
今回の内容は、ITRが発行する市場調査レポート『ITR Market View:エンドポイント/無害化/Web分離/CASB/CSPM/CWPP/SOAR市場2022』にて詳しく紹介しています。同レポートはCSPMのほか、CASB、CWPP、EDR(Endpoint Detection and Response)など全10分野についても分かる内容となっていますので、ぜひご活用ください。
関連タグ
あなたの投稿
PR
PR
PR
