クラウド セキュリティ ポスチャー管理(CSPM)とは クラウド セキュリティ ポスチャー管理(CSPM)は、クラウド環境を精査し、クラウド サービスに関するコンプライアンス リスクや設定面の脆弱性(多くは人的エラーに起因)を警告する、クラウド データ セキュリティの重要な要素です。CSPM製品は、セキュリティとコンプライアンスの徹底を自動化し、クラウド インフラストラクチャーの設定を適切に制御するニーズに応えます。

CSPMが必要な理由

クラウド サービスやクラウドベースのアプリケーションの導入により、企業や従業員の生産性と柔軟性は向上してきています。その一方で、これらのツールはインターネットに公開されており、誰もが簡単に利用できるため、企業はデータ侵害を含むサイバーセキュリティの脅威にさらされる可能性が高いのが実情です。組織がトレーニングを提供したり、関係者全員が最大限の努力をしているにもかかわらず、依然として脆弱性やセキュリティ上の問題は残り、機密データが危険にさらされています。ITセキュリティ、リスク管理、ビジネス部門のリーダーは、以下の課題を解決すべく常に取り組んでいます。

• クラウド インフラの設定ミスによるデータ侵害。これによって、膨大な量の機密データが公開され、法的問題や金銭的損害につながる可能性があります。
• クラウド アプリやワークロードの継続的なコンプライアンス。従来のオンプレミス型のツールやプロセスでは実現できません。
• クラウド ガバナンスの導入における課題(可視性、権限、ビジネス ユニット間でのポリシー適用、クラウド セキュリティ制御に関する知識不足)。こういった課題は、クラウドの導入に伴い増加していきます。

その中でも最も注目され、最大の被害をもたらすのがデータ侵害です。その例としては以下が挙げられます。

• IBMが発行した2019年データ侵害のコストのレポートでは、侵害によるコストを米国平均820万ドル、世界平均390万ドルと推定しています。顧客からの信頼の喪失とそれに伴うビジネスの損失が、この平均コスト算出における最も大きな要素となっています。
• Risk Based Securityが2020年に発表したレポートによると、2019年に150億件の記録が流出し、過去数年間に比べて大幅に増加したことがわかっています。データベースの設定ミスに起因する4件の侵害によって、2019年第4四半期に67億件もの記録が流出しました。
• 2020年のIBM X-Force Threat Intelligence Index 2020レポートによると、設定ミスによって流出した記録は前年比で約10倍増加し、2019年に侵害された記録全体の86%を占めました。

CSPMの仕組み

CSPMは、大きく分けて次の3つの方法で保護を行います。

• クラウド資産と設定の可視化：企業向けのCSPMは設定ミスをはじめ、ポリシーやメタデータの変更などを検出し、一元管理されたコンソールでこれらすべてのポリシーを管理できるようにします。
• 設定ミスの管理と修正：CSPMはクラウドの設定を業界の標準や事前定義されたルールと比較することで、高額被害につながるデータ侵害のリスクを増大させる人的エラーを低減します。
• 新たな潜在的脅威の検出：CSPMはクラウド環境をリアルタイムで監視し、不適切なアクセスや悪意のあるアクティビティーを検出します。

CSPMの主な機能

CSPMにはさまざまな機能があります。CSPMサービスは自動化機能を活用することで、人手を介さずに遅滞なく問題を修正し、継続的に監視しながら以下を行います。

• クラウド環境のフットプリントを特定し、新しいインスタンスやS3バケットなどのストレージ リソースの作成を監視。
• マルチクラウド環境において、ポリシーを可視化し、すべてのプロバイダーに対して一貫したポリシーを適用。
• 悪用される可能性がある設定ミスや不適切な設定がコンピューティング インスタンスにないかを確認。
• データの公開につながる設定ミスがストレージ バケットにないかを確認。
• HIPAA、PCI DSS、GDPRなどの規制順守のための監査を実施。
• 国際標準化機構(ISO)や米国国立標準技術研究所(NIST)が提唱するフレームワークや外部規格に照らしたリスク評価を実施。
• 運用面のアクティビティー(例：キー ローテーション)が適切に行われているかを検証。
• 自動修正やワンクリックの修正を実行。

Zscalerが提供するCSPM

多くのCSPMソリューションはポイント製品のため、既存のセキュリティ ツールやデータ保護ツールと十分に統合できないという問題があります。これは可視性のサイロ化を招くだけでなく、セキュリティ リスクの増加やインシデント対応のスピード低下にもつながります。

Zscaler CSPMは、Zscalerのすべてのサービスを支えるグローバルなクラウド プラットフォームであるZscaler Zero Trust Exchange™の100％クラウド提供型のデータ保護機能の一部として、アプリケーションの設定ミスを自動的に特定、修正することで可視性のサイロ化を独自の方法で解決します。

Zscaler CSPMは、クラウド資産とクラウド アプリケーションのセキュリティとコンプライアンスを自動化し、継続的な可視化を実現するとともに、最も包括的なセキュリティ ポリシーとコンプライアンスのフレームワークの順守を徹底します。マルチテナントのSaaS製品であるZscaler CSPMは、クラウド インフラとのシームレスな統合、迅速なデータ収集、包括的なダッシュボードやレポートを提供します。

Zscaler CSPMは、複数のクラウド プロバイダーと統合することで、CI/CDパイプラインとチケット システムを提供し、自動修正を実現します。また、IaaSプロバイダー(Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platformなど)およびSaaSアプリケーションに対して、企業の情報セキュリティ基準を容易に適用し、設定ミスによるデータ漏洩を防ぐことができます。

Zscaler CSPMはNIST、CIS Benchmarks、PCI DSS、SOC2、AWSセキュリティのベスト プラクティスなどの16の標準にマッピングされ、事前に構成された2,700を超える組み込みポリシーでセキュリティおよびコンプライアンス面の取り組みを支援し、導入環境のセキュリティとコンプライアンスを保証するガードレールとしてDevOpsの効率化をサポートします。また、カスタムでプライベートなベンチマークを作成することも可能で、大規模なアプリケーション環境にも対応しています。

Zscaler CSPMは包括的なZscaler Data Protectionスイートの一部であり、これにはZscaler Cloud DLP、Zscaler Cloud Browser Isolation、クラウド アクセス セキュリティ ブローカー(CASB)が含まれます。

Zscaler CSPMは以下の機能を提供します。

• リアルタイムの構成データを取得：クラウド環境へのアクセス権が付与されると、API経由でクラウド インフラからデータを取得します。ポリシーのサブセットの場合は、エージェントのインストールが必要になることがあります。
• クラウドの設定ミスを特定：検出された構成と組み込みポリシーを比較することで、セキュリティ ポリシーやクラウド リソースのレベルで設定ミスを特定します。また、直感的なダッシュボードやレポートによる容易な可視化により、さまざまなコンプライアンス フレームワーク内のポリシーの完全なマッピングを提供します。
• セキュリティとコンプライアンスのガバナンス：コンプライアンス監視、セキュリティ態勢のリスクベースのトリアージ、ポリシー管理、複数のコンプライアンス基準を持つ組織や特定のアーキテクチャーを必要とする情報セキュリティ部門向けのプライベート ベンチマークの設定など、さまざまなクラウド ガバナンス機能を提供します。
• 設定ミスを修正：セキュリティ ポリシー違反のすべてに修正ステップを提供し、最も重要なポリシーのサブセットに対する自動修正機能も提供します。

CSPMポリシーは、包括的なクラウド ネイティブ アプリケーション保護プラットフォーム(CNAPP)であるZscalerのPosture Controlにネイティブに組み込まれており、マルチクラウド環境に導入されたクラウド インフラストラクチャーとネイティブ アプリケーションに存在するリスクの特定、優先順位付け、修正を行います。