クラウド時代のセキュリティ対策 CSPMによるセキュリティ対策のポイントとは
1.クラウド利用拡大に伴い増加するセキュリティインシデント
パブリッククラウドの市場規模は年々増えており、それに伴いセキュリティ事故も増えてきております。
Cloud Security Allianceの調査によると、クラウドセキュリティの脅威の第1位はデータ侵害、第2位は設定ミスや不適切な変更管理です。
これは、多くの企業がクラウドの設定ミスに気づいておらず、その結果、情報流出などの深刻なインシデントが発生していることを示しています。
例として、AWSのS3バケットの公開などは多くの企業が起こしてしまっているセキュリティインシデントになります。
また、総務省が発表しているクラウドの設定ミス対策ガイドブックによると、クラウドセキュリティのベストプラクティスとして、クラウドのルールや規則を全社的に明確化し組織全体へ浸透させ、文書化したルールに則りCSPMツールを使用して監視することが推奨されております。
2.CSPMで実現できること
-
社内の数多あるIaaS、PaaSのセキュリティ状況を、客観的事実に基づいて把握することは非常に困難です。
-
すべての環境に対してセキュリティエンジニアを常駐させ、定期的に自社コンプライアンスと照らし合わせて設定値を確認する必要があり、とても現実的ではありません。
これまで人手で行っていたクラウド設定の監視を自動化するのが、CSPMの基本的な役割です。
-
これにより、人的リソースを節約しつつ、継続的なセキュリティ確保が可能になります。
3.日本企業が抱えるセキュリティ課題
各社でCSPMの導入検討が進む中で、日本企業特有の課題も浮き彫りになっています。
-
兼任によるリソース不足:開発や運用担当がセキュリティ担当も担っており、対処しきれない。
-
製品の習得難易度が高い:多くのCSPM製品は海外仕様であり、日本企業に浸透し難い仕様となっている。
こうした背景には、日本国内でのセキュリティ人材不足に加え、CSPM製品が海外市場を主眼に開発されていることがあります。
そのため、操作方法や対応を説明した文書が簡素で、日本の企業文化や運用現場に馴染みにくいのが実情です。
4.CSPMを導入する際のポイント
システム導入の際に、検証段階で検知だけでなく運用まで回せることを確認することが大事だとされています。
多くのCSPM製品はCISなどの一般的なベンチマークに準拠した設定チェックを提供しており、機能比較では大差が出にくいです。
そのため、操作性やレポートのわかりやすさ、アラートの精度など運用面での使いやすさを重視して選定することが、導入後の定着と活用に繋がります。
最後に
CSPMソリューションは企業のクラウド環境を可視化する非常に強力なツールです。
IIMでは、より運用面に目を向けたソリューションをご提案可能ですので、ご興味がございましたら是非担当営業へご相談ください。
【出典元】
総務省:令和5年版情報通信白書
総務省|令和5年版 情報通信白書|クラウドサービス
クラウドセキュリティ11大脅威
top-threats-to-cloud-computing-egregious-eleven_J_20191031.pdf
総務省のガイドライン
総務省|報道資料|「クラウドの設定ミス対策ガイドブック」の公表