クラウド・セキュリティー体制管理(CSPM)は、ハイブリッドクラウドやマルチクラウドの 環境とサービス( IaaS(Infrastructure-as-a-Service )、PaaS(Platform-as-a-Service )、SaaS(Software-as-a-Service )を横断して、誤設定やセキュリティー・リスクの特定と是正を自動化・一元化する サイバーセキュリティー・テクノロジー です。
組織は、マルチクラウド (複数の異なるクラウド サービス プロバイダーのサービス) とハイブリッド クラウド (パブリック クラウドとプライベート クラウド インフラストラクチャを組み合わせたクラウド) を採用し、組み合わせることが増えています。
マルチクラウドとハイブリッドクラウドにより、あらゆる規模の組織に最高のアプリと開発ツールを導入し、運用を迅速に拡張し、デジタル変革を加速する柔軟性が得られます。ある推計によると、組織の87%がマルチクラウド環境を使用し、72%がハイブリッドクラウド環境を使用しています。
しかし、これらの利点と同時に、マルチクラウドとハイブリッド クラウドにはセキュリティ上の課題も伴います。
セキュリティー・スタッフとDevOpsまたはDevSecOpsチームは、複数のプロバイダーのクラウドにデプロイするクラウドネイティブ・アプリケーションのすべてのコンポーネントのセキュリティーとコンプライアンスを管理する必要があります。これらのコンポーネントには、数百または数千のマイクロサービス、サーバーレス機能、コンテナ、Kubernetesクラスターが含まれます。
特に、継続的インテグレーション/継続的デリバリー (CI/CD)サイクルごとにAPI駆動型のオンザフライ・プロビジョニングを可能にするInfrastructure as code(IaC)は、データやアプリケーションをセキュリティー・インシデントやサイバー脅威に対して脆弱な状態にする誤った設定を、あまりにも簡単にプログラムし、配布し、永続化させてしまいます。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
CSPMソリューションは、組織のクラウド資産を検出してカタログ化し、確立されたセキュリティーおよびコンプライアンスフレームワークに照らして継続的に監視することで機能します。また、これらのソリューションは、脆弱性と脅威を迅速に特定して修復するためのツールとオートメーションも提供します。
複数のクラウド・プロバイダーと分散されたクラウド・コンポーネントでは、可視性の欠如がセキュリティー・チームにとって問題になる可能性があります。CPSMは、組織のハイブリッド・マルチクラウド環境において、すべてのパブリックおよびプライベートクラウド・サービスとすべてのクラウド・プロバイダー(Amazon Web Services、Google Cloud Platform、IBM® Cloud、Microsoft Azureなど)を横断して、すべてのクラウド・サービスとアプリケーション・コンポーネント、およびそれらに関連する構成、メタデータ、セキュリティー設定などを自動的に検出することで、この問題に対処します。
CSPM の継続的な監視により、展開時にすべてのクラウド リソースと資産がリアルタイムで検出されます。セキュリティ チームは、単一のダッシュボードからすべてを監視および管理できます。
CSPMツールは、国際標準化機構(ISO)、米国標準技術研究所(NIST)、インターネット・セキュリティー・センター(CIS)などの業界や組織のベンチマーク、さらには組織独自のベンチマークやセキュリティー・ポリシーに照らして構成を常に評価することで、構成ミスを監視します。CSPMソリューションは通常、ガイド付きのクラウド構成修復と、人間の介入なしに一部の構成ミスを解決する自動化機能を提供します。
CSPMは、ハッカーが機密データにアクセスするために悪用できるデータ・アクセス許可のギャップなど、他の脆弱性も監視し、修復します。また、ほとんどのCSPMソリューションはDevOps/DevSecOpsツールと統合されており、修復を迅速化し、将来のデプロイメントでの構成ミスを防ぎます。
CSPMツールは、組織がコンプライアンス基準を遵守するのに役立つ継続的なコンプライアンス監視も提供します。これらの基準には、一般データ保護規則(GDPR)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、およびペイメント・カード業界データ・セキュリティー基準(PCI DSS)が含まれます。コンプライアンス基準は、潜在的なコンプライアンス違反を特定するのにも役立ちます。
CSPMソリューションは、クラウドのセキュリティーとコンプライアンスのリスクを特定するだけでなく、悪意のあるアクティビティーや不審なアクティビティーがないか環境全体を監視し、脅威を特定してアラートに優先順位を付けるための脅威インテリジェンスを組み込みます。ほとんどのCSPMソリューションは、セキュリティー情報・イベント管理(SIEM)などのセキュリティー・ツールと統合し、脅威の検出とインシデント対応を改善するためのコンテキストとインサイトを取得します。
CISPA は CSPM の第 1 世代であり、主に設定ミスやセキュリティの問題を報告するように設計されています。CSPM は、単純なレポートを超えて、検出と修復のプロセスを自動化します。CSPM ソリューションは、高度な人工知能を使用してセキュリティ問題を継続的に監視し、確立されたセキュリティのベスト プラクティスに対するベンチマークを行います。
CASB(クラウド・アクセス・セキュリティー・ブローカー)は、クラウド・サービス・プロバイダーとその顧客の間のセキュリティー・チェックポイントとして機能します。これらは、アクセスを許可する前にネットワーク・トラフィックを規制するポリシーを適用するのに役立ち、ファイアウォール、認証メカニズム、マルウェア検出などの重要なツールを提供します。
CSPMツールは、これらと同じ監視タスクを実行しますが、さらに高度なタスクを実行して、継続的なコンプライアンス監視を実現し、望ましいインフラストラクチャー状態の概要を示すポリシーを確立します。CSPMソリューションは、このポリシーに照らしてすべてのネットワーク・アクティビティーをチェックし、ネットワークが確立された標準に準拠し、安全なクラウド環境を維持していることを確認します。
クラウドネイティブアプリケーション保護プラットフォーム(CNAPP)は、複数のクラウドセキュリティとCI/CDセキュリティ技術を単一のプラットフォームに統合し、セキュリティ、開発、DevOps/DevSecOpsの各チームが、より安全でコンプライアンスに準拠したクラウドネイティブ・アプリケーションの開発、提供、運用に共同で取り組むことを支援する。
CNAPPは元々、CSPM、CWPP、およびネットワーク・トラフィックを保護するテクノロジーであるクラウド・サービス・ネットワーク・セキュリティー(CSNS)を組み合わせたものとして定義されました。しかし、誰に尋ねるかによって、CNAPPには他の技術が含まれることがあります。例えば、クラウドの権限を継続的に監視・管理するためのクラウド・インフラストラクチャー・エンタイトルメント管理(CIEM)や、CI/CDサイクル中に設定ミスを発見するためのインフラストラクチャー・アズ・コード・スキャンなどです。Gartner社による業種・業務アナリストのCNAPPの定義は、こちらでご覧いただけます。