CSPMとセキュリティ

多くの組織が、組織を運営するためにパブリッククラウドインフラに依存しています。しかし、その多くが誤った設定や管理をしています。その結果、高額で有害なデータ漏洩が発生しています。

そこで役立つのが、CSPM（Cloud Security Posture Management）です。CSPMは、クラウドリソースを管理するための戦略かつソフトウェアです。CSPMは、ITチームに設定ミスを警告し、攻撃者が悪用する可能性のある脆弱性を明らかにします。

クラウドプラットフォームは一般的に非常に安全です。しかし、ITチームは潜在的な脅威を見誤ることがあります。また、クラウドベースのリソースを適切に構成することを怠っている場合もあります。このような設定の不備が原因で、これまでにも大規模なクラウドデータ流出が発生しています。

CSPMはクラウドリソースが以下のようになることを保証します。

• 監査されている
• 整理されている
• 適切に設定されている
• 維持されている
• 安全である
• 法律や法的なガイドラインを遵守している

規制対象となる企業は、業界のルールに従い、コンプライアンス基準を満たす必要があります。つまり、そのようなガイドラインを遵守するクラウドソリューションを選択しなければなりません。これを怠ると、違反した場合に高額な罰金が科せられる可能性があります。

クラウドインフラへのITリソースのオフボーディングは、コンプライアンスに則った方法で行うことができます。そのためには、まずクラウドを適切に設定する必要があります。さらに、クラウドプラットフォームは、適切なID管理、データセキュリティ、監査、監視の各ツールと統合されていなければなりません。クラウドホストの仕組みに慣れていないITチームやセキュリティチームにとって、これらをすべて実行することは困難です。

コンプライアンスとデータセキュリティの中核をなすのが、ID管理です。データを危険にさらすことなく、業務に必要なアクセス権をユーザーに与えるには、このステープルが重要です。アクセス管理だけでなく、組織はデータ活動の監査と監視を行わなければなりません。これらは、現代のあらゆるコンプライアンス基準の一部として要求されるものです。ほとんどのクラウドプロバイダは、組織が既に使用しているID管理コントロールと直接統合するツールを提供しています。

監査管理は、誰がアクセスを要求したかを明らかにします。しかし、これらのユーザーの行動を監視することもまた、コンプライアンスの一部です。監視ツールは、ネットワークやアカウントの侵害の兆候である危険なアクセス要求を発見することができます。また、アクセス制御が適切に設定されていないことを管理者に通知することもできます。

ほとんどのクラウドプロバイダは、自社の提供するサービスがコンプライアンスを遵守していると言っています。しかし、データを転送する前にこれが事実であることを確認するのは、組織の責任です。コンプライアンス規制が定めるIT要件の多くには、データを保護し、侵害を監視するためのCSPM戦略が含まれています。

どのようなオンプレミスの内部ネットワークでも、監視と分析を行う必要があります。しかし、パブリッククラウドのインフラは、攻撃対象がさらに大きくなり、設定ミスの可能性が非常に高くなります。そのため、組織は監視ツールと分析にさらに注意を払わなければなりません。これらのツールは、ITチームとセキュリティチームが、インフラの使用方法と各リソースへのアクセス要求をよりよく理解するのに役立ちます。

ほとんどの大手クラウドプロバイダは、高度な監視ツールを提供しています。その多くは、疑わしいトラフィックパターンを検出する人工知能（AI）も搭載しています。ITチームがデジタルリソースへのアクセスを誤って設定した場合、監視ツールによってその問題を発見することができます。

例えば、あるリソースに対して少数のユーザーにしかアクセス権を割り当てていないとします。ピーク時以外の時間帯に突然多くのアクセス要求が発生した場合、監視ツールはこの挙動を検知し、ITチームやセキュリティチームに警告することができます。

監視と分析が連動し、ITチームにクラウドリソースの使用状況を伝えます。分析レポートは以下を表示します。

• 使用ピーク時間帯
• 帯域幅の使用状況
• どのリソースが使用され、どのリソースが使用されていないか
• どのリソースを使い続けると、組織に最もコストがかかるか

大規模な企業ネットワークでは、複数の地域にわたって数千台のデバイスを保持していることがあります。インベントリ管理ツールは、ネットワークインフラをマッピングし、接続されたデバイスが更新され、承認されているかどうかを確認します。インベントリ監査とインフラのクラシフィケーション（分類）により、ITチームとセキュリティチームは全容を把握することができます。また、接続されているネットワークデバイスだけでなく、それらのデバイスがどの程度重要であるかも知ることができます。

コンポーネントを分類することは重要です。このステップにより、ITスタッフは、保護すべきもの、あるいは何か問題が発生した場合に復旧すべきものに優先順位をつけることができます。例えば、メインの本番データベースサーバーは、バックアップのレポートサーバーよりも重要でしょう。

大規模な組織では、リソースの使用状況を厳格に追跡し管理しないと、制御不能に陥る可能性があります。IT部門がサーバーを廃棄する場合、そのサーバーをクラウドに配備することで、会社のITリソースのコストを削減することができます。

組織が少数の資産しか持っていない場合、予算がどこに配分されているかを把握するのは簡単です。しかし、何百ものクラウドリソースが異なる部署でプロビジョニングされている場合、古い資産は忘れ去られ、放置される可能性があります。

これらの「ゾンビ」リソースは、インフラを無駄にし数千ドル以上のコストがかかる可能性があります。さらに悪いことに、パッチを適用していないシステムや非推奨のソフトウェアによって、サイバーセキュリティ上の問題が発生する可能性もあります。これらのリソースは、企業の危機的な情報漏洩の原因にならないような方法で整理されなければなりません。

CSPMは、ルーターのファームウェアや重要なサーバーのオペレーティングシステムの更新など、パッチが適用されていないインフラがないよう、リソース整理を改善します。これは、資産の追跡管理を行うツールや、ITスタッフがリソースを監査するための戦略によって実現できます。クラウドプロバイダには、資産の追跡を容易にするレポート機能があるため、資産が忘れられたりメンテナンスされなかったりすることはありません。

設定ミスの検出は、おそらくCSPMの最も重要なコンポーネントです。Gartner社は、クラウドリソースを適切に構成できていない組織の90％が、機密データを外部に漏洩させると推定しています。そして、これらのデータ漏洩の99％は、リソースの管理や設定が不十分であったために、クラウド利用者の責任になると考えられています。クラウドコンピューティングの台頭以来、最大のデータ漏洩のいくつかは、AWS（アマゾンウェブサービス）のクラウドストレージの設定ミスによるものでした。

クラウドリソースを設定するITチームは、クラウドリソースの保守、設定、プロビジョニングの方法に関する戦略も必要です。CSPMは、リソースの保護と監視のあり方に関するガイドラインを提供します。

また、コンプライアンス基準は、管理者がクラウドリソースを保護するためのガイドラインも提供します。CSPMは、攻撃者にデータを発見される前に、リソースの設定ミスや機密データの漏洩を検知する監視サービスを提供しています。

企業のリソースをフルサポートできるCSPM ツールを見つけるのは容易ではありません。クラウドプロバイダの設立当初は、企業規模が小さいかもしれません。しかし、ニーズの拡大に応じて拡張できるソリューションが必要になるでしょう。

ここでは、適切なソリューションを探す際に考慮すべき点をご紹介します。

• 戦略とソリューションは、既存のクラウドリソースへのセットアップと統合が容易であるべきです。また、パフォーマンスやセキュリティを犠牲にすることなく、現在プロビジョニングされているリソースに適合するような柔軟性も備えていなければなりません。これには、将来的に追加されるリソースも含まれます。
• アプリケーションは、すべてのクラウド資産で更新することができます。クラウドプロバイダがハードウェアを維持する一方で、企業はインストールしたソフトウェアを更新する責任を負います。一部の企業は、MSP（マネージドサービスプロバイダ）と連携して、アップデートやパッチの適用を継続的に行うことを選択します。
• スケーラビリティは、成長する企業にとって非常に重要です。CSPMソリューションが少数のリソース向けにカスタマイズされ、すべてのインフラに拡張できない場合、ITの混乱や資産の喪失につながる可能性があります。クラウドプロバイダは地域ごとにリソースをセグメント化しているため、ソリューションも世界中に拡張できる必要があります。
• クラウドセキュリティはインターネット上のリソースをサポートする必要があり、ローカルのオンプレミスのサポートとは異なることを理解しておく必要があります。ローカルネットワークでは、内部リソースは一般的に公共のインターネットから遮断されます。しかし、クラウドリソースは、特別な設定をしない限り、インターネット上で利用可能な状態になっています。クラウドリソースは、設定に問題がないか常に監視されなければなりません。

設定は、企業の管理者の責任です。管理者は、適切な設定がクラウドプロバイダの責任ではないことを理解する必要があります。MSPは、監視アプリケーションを含むすべてのクラウドリソースを適切に設定し、管理者が問題を検出できるように支援します。