クラウド セキュリティ ポスチャー管理(CSPM)とは

CSPMが重要な理由

クラウド サービスやクラウドベースのアプリは、生産性と柔軟性の面で大きなメリットをもたらす一方、インターネットに公開され、誰でも簡単に利用できるため、データ侵害などのサイバーセキュリティ脅威のリスクを高めます。セキュリティ意識向上トレーニングを実施したとしても脆弱性は残り、セキュリティ問題が発生して機密データが危険にさらされる可能性があります。ITセキュリティ部門やビジネス リーダーは、次のような課題に常に取り組んでいます。

• クラウド インフラの設定ミスに起因するデータ侵害は、膨大な量の機密データを公開し、法的責任や経済的損失につながる可能性があります。
• クラウド アプリやワークロードの継続的なコンプライアンス準拠は、これまでのオンプレミスのセキュリティ ツールやプロセスでは実現できません。
• クラウド ガバナンスの課題(可視性、権限、ポリシー施行、クラウド セキュリティ制御に関する知識の欠如)は、クラウドの導入に伴い増加しています。

データ侵害は世間の注目を最も集め、最大規模の損害をもたらします。また、Verizonの2023年データ漏洩/侵害調査報告書によると、設定ミスは依然としてデータ侵害の主な原因のトップ3に入っており(2023年のレポートでは20%以上を占める)、Webアプリは全業界においてトップ3の攻撃ベクトルの1つとして挙げられています。

効果的なCSPMは自動化された可視性、アラート、施行を提供しながら、機密データやインフラをクラウド固有のリスクから保護します。

クラウド セキュリティ ポスチャー管理のメリット

CSPMツールはコストの削減とセキュリティの強化を実現すると同時に、クラウド環境におけるリスク エクスポージャーを最小限に抑え、次のようなメリットをもたらします。

• 攻撃者がリスクを悪用する前に、設定ミス、脆弱性、セキュリティ ギャップをリアルタイムで可視化して自動で特定することで、リスクをプロアクティブに検出して対処する
• 業界のスタンダードとベンチマークに照らして構成を継続的にモニタリングし、ベスト プラクティスと規制コンプライアンスを確保する
• 自動修復とポリシー施行を実施し、クラウド リソース全体のセキュリティ問題を手動で解決するための時間とコストを削減する
• CSPMプロセスをDevOpsワークフローと統合して、DevSecOpsアプローチの一環としてソフトウェア開発全体にセキュリティを組み込む

CSPMの主な機能

大きく分けて、CSPMツールは次の3つの方法でユーザーを保護します。

• クラウド アセットと構成の可視化：Enterprise CSPMは、設定ミス、ポリシーやメタデータの変更などを検出し、一元化されたコンソールでこれらすべてのポリシーを管理します。
• 設定ミスの管理と修正： CSPMはクラウドの設定を業界のスタンダードや事前に構築されたルールと比較することで、高額被害につながるデータ侵害のリスクを増大させるヒューマン エラーを削減します。
• 新たな潜在的脅威の検知： CSPMはクラウド環境をリアルタイムでモニタリングし、不適切なアクセスや悪意のあるアクティビティーを検出します。

クラウド インフラを保護するCSPMツールの主な機能

以上の大まかな概要を念頭に置いて、具体的な機能をさらに詳しく見てみましょう。CSPMサービスは自動化を活用することで、マニュアル作業や遅滞を発生させることなく問題を修正し、継続的にモニタリングしながら以下を行います。

• クラウド環境のフットプリントを特定し、新しいインスタンスやS3バケットなどのストレージ リソースの作成を監視
• マルチクラウド環境においてポリシーを可視化し、すべてのプロバイダーに対して一貫したポリシーを施行
• コンピューティング インスタンスをスキャンして、悪用される可能性がある設定ミスや不適切な設定がないかを確認
• ストレージ バケットをスキャンして、データを公開する可能性がある設定ミスがないかを確認
• HIPAA、PCI DSS、GDPRなどの規制コンプライアンス要件への準拠に関する監査
• 確立された規格やフレームワーク(ISO、NISTなど)に対するリスク評価を実施
• 運用面のアクティビティー(キー ローテーションなど)が適切に行われているかを検証
• 特定された問題のワンクリック修復や自動修復を実施

CSPMと他のクラウド セキュリティ ソリューションの違い

CSPMはクラウド セキュリティの一側面として、適切なクラウド リソース構成のモニタリング、識別、施行に重点を置きます。その他のソリューションは、クラウド コンピューティングのコンテキストでの脅威検出、アクセス制御、データ セキュリティ、ソフトウェア セキュリティなどに対応します。

詳細は、クラウド セキュリティとはをご確認ください。

クラウド セキュリティ ポスチャー管理の実装

CSPMの実装方法は、規模、業界、クラウド フットプリントなどのさまざまな要因によって異なりますが、効果的なCSPMと専門家のサポートによる一般的な実装プロセスは次のようになります。

1. クラウドの評価：クラウド環境内のアカウント、サービス、リソースのほか、アーキテクチャー、構成、依存関係など、あらゆるものを特定する必要があります。

2. ポリシーの定義：組織のスタンダードとコンプライアンス要件にマッピングされたセキュリティ ポリシーを作成して適用し、クラウド サービス、ロール、責任に合わせてカスタマイズします。

3. スキャンの自動化：環境の設定ミス、脆弱性、ポリシー違反をリアルタイムで継続的にモニタリングし、リスクに対してプロアクティブに対処できるようにします。

4. DevOpsワークフローへのCSPMの統合：CSPMをボトルネックにさせないためにも、変更管理を含む開発ライフサイクル全体に組み込みます。

5. リスクのトリアージと修復：潜在的な重大度と悪用される可能性に基づいてリスクをランク付けし、全体的なポスチャーに最も大きな影響を与えるリスクから対処します。

6. 継続的な改善：クラウド環境、脅威、コンプライアンス要件は変化するため、ポリシーが有効であることを確認するために定期的に監査します。

これがCSPMの実装と維持に関する概要です。しかし、CSPMだけでは不十分であるため、Zscalerはプラットフォーム アプローチを採用しています。

Zscalerが提供するCSPM

多くのCSPMソリューションは個別のポイント製品であり、既存のセキュリティ ツールと十分に統合できない可能性があるため、追加された可視性はすべてサイロ状態に陥るという事態を招きかねません。こうした状況がセキュリティ リスクを高め、インシデント対応にかかる時間を長引かせる原因となります。

Zscaler CSPMは、Zscalerのすべてのサービスを強化するグローバル クラウド プラットフォームである100%クラウド型のZscaler Zero Trust Exchange™の一部として、アプリの設定ミスを自動的に特定して修復することで、サイロ化した可視性を独自に解決します。

Zscaler CSPMは、クラウド資産とクラウド アプリケーションのセキュリティとコンプライアンスを自動化し、継続的な可視化を実現するとともに、最も包括的なセキュリティ ポリシーとコンプライアンスのフレームワークの遵守を徹底します。マルチテナントのSaaS製品であるZscaler CSPMは、クラウド インフラとのシームレスな統合、迅速なデータ収集、包括的なダッシュボードやレポートを提供します。

Zscalerによる統合がもたらす効果

Zscaler CSPMは複数のクラウド プロバイダーと統合することで、CI/CDパイプラインとチケット システムを提供し、自動修復を実現します。また、IaaSプロバイダー(Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platformなど)やSaaSアプリケーションに企業の情報セキュリティ基準を簡単に適用し、設定ミスによるデータ侵害を防ぎます。

Zscaler CSPMはNIST、CIS Benchmarks、PCI DSS、SOC2、AWSセキュリティのベスト プラクティスなどの16の標準にマッピングされ、事前に構成された2,700を超える組み込みポリシーでセキュリティおよびコンプライアンス面の取り組みを支援し、導入環境のセキュリティとコンプライアンスを保証するガードレールとしてDevOpsの効率化をサポートします。また、カスタムでプライベートなベンチマークを作成することも可能で、大規模なアプリケーション環境にも対応しています。

Zscaler Cloud DLP、Zscaler Cloud Browser Isolation、クラウド アクセス セキュリティ ブローカー(CASB)を含む包括的なZscaler Data Protectionスイートの一部として、Zscaler CPSMは以下を実現します。

• リアルタイムの構成データを取得：クラウド環境へのアクセス権が付与されると、API経由でクラウド インフラからデータを取得します。ポリシーのサブセットの場合は、エージェントのインストールが必要になることがあります。
• クラウドの設定ミスを特定：検出された構成と組み込みポリシーを比較することで、セキュリティ ポリシーやクラウド リソースのレベルで設定ミスを特定します。また、直感的なダッシュボードやレポートによる容易な可視化により、さまざまなコンプライアンス フレームワーク内のポリシーの完全なマッピングを提供します。
• セキュリティとコンプライアンスのガバナンス：コンプライアンス監視、セキュリティ態勢のリスクベースのトリアージ、ポリシー管理、複数のコンプライアンス基準を持つ組織や特定のアーキテクチャーを必要とする情報セキュリティ部門向けのプライベート ベンチマークの設定など、さまざまなクラウド ガバナンス機能を提供します。
• 設定ミスを修正：セキュリティ ポリシー違反のすべてに修正ステップを提供し、最も重要なポリシーのサブセットに対する自動修正機能も提供します。

CSPMポリシーは、包括的なクラウド ネイティブ アプリ保護プラットフォーム(CNAPP)であるZscaler Posture Controlにネイティブに組み込まれており、マルチクラウド環境に導入されたクラウド インフラやネイティブ アプリに存在するリスクの特定、優先順位付け、修正を行います。