クラウド時代の必須ツール、CSPMについて整理してみた

こんにちは。Levetty株式会社の小川です。今回のCloudbase Security Manazineでは、弊社が提供する「Cloudbase」がアプローチしている領域であるCSPM（Cloud Security Posture Management）についてご紹介いたします。

CSPMとは？

CSPMはCloud Security Posture Managementの略であり、日本語ではクラウドセキュリティ態勢管理やクラウドセキュリティポスチュア管理と呼ばれることが多いです。アメリカの大手リサーチ会社であるガートナー社によって提唱された新しい領域です。

CSPMでは、AWSやGCP, Azureなどのパブリッククラウドを利用する上で発生する設定ミスと呼ばれるセキュリティリスクを可視化します。

グローバルではかなり盛り上がりを見せている領域であり、アメリカやイスラエルを初めとしたクラウド先進国・セキュリティ感度の高い国ではスタンダードになりつつあるサービスです。

クラウド時代におけるセキュリティ

AWS・GCP・Azureをはじめとしたパブリッククラウドの国内市場規模は1兆円を超え、今もなお急速に拡大を続けており、2025年まで年間約20%の成長が見込まれております。

クラウドはオンプレと比較して構築・運営で便利な部分も多い一方、セキュリティに関する知識がない状態で運用すると事故につながることも多く、近年多くのセキュリティ事故が発生しています。

設定ミスがセキュリティ事故の主因

そんなクラウドにおけるセキュリティインシデントの原因は、単なる設定ミスであることがほとんどであり、その割合は2020年時点では95%を占め、2025年時点では99%を占めると予想されております。

設定ミスの代表的な例としては、Admin権限でIAMユーザーが作成されていたり、全世界からアクセスできるサブネットマスクが設定されたセキュリティグループが存在していたり、検証用リソースが放置されているなどがあり、放置しておくとサービス運営にとって致命的な支障をきたす事故につながります。

CSPMでできること

CSPMでは、パブリッククラウドにおける設定ミスを診断し、重大な事故につながる隠れたセキュリティリスクを検出します。

Cloudbaseの画面を例に、基本的な機能をご紹介します。

ダッシュボード

利用中のクラウドをスキャンした結果のサマリーを確認することができます。リスクの大きさごとに、設定ミスが起きている個数がいくつあるかや、EC2, IAM, S3などのリソースごとにセキュリティリスクがいくつあるかといった診断結果の外観が分かります。

また、CISやPCIDSSといったコンプライアンスの準拠状況を確認することができます。

リスク一覧

リスク一覧画面では、すべてのセキュリティリスクを確認できます。リソースやリージョン、危険度などでソートすることも可能であり、どこにリスクが存在しているかを詳細に確認することができます。

修正のドキュメント

CSPMの中には、リスク項目の修正方法を提供しているものもあります。Cloudbaseでは、日本語でドキュメントを用意しており、担当者が簡単に修正を行うことをサポートしております。

下記のリンクは、最も危険度が高い設定ミスの1つであるSSHのポート開放の修正ドキュメントです。Cloudbase上からAWSのコンソールに遷移し、コンソール上でポチポチと進めると修正ができるよう、詳細に説明されています。

SSHのポート開放に対する修正方法のドキュメント
https://levetty.notion.site/openSSH-3eb64a81ea024cb6a3764e45f85a4b9c

まとめ

多くの企業でAWS, GCP, Azureなどのパブリッククラウドの活用が進む中、クラウド側のセキュリティ不安も増えています。

CSPMを利用することにより、継続的にパブリッククラウドの設定をチェックし、リスクのある設定が行われた際に、いち早く検知することでセキュリティインシデントを未然に防ぎます。

弊社では、国産CSPMであり日本語のドキュメントが豊富な「Cloudbase」を提供しており、クラウド利用企業、クラウドへの移行を予定する企業をセキュリティの面でサポートしております。