クラウドセキュリティポスチャ管理とは
クラウドセキュリティポスチャ管理 (CSPM) は、クラウド環境を精査し、クラウドサービスにおけるコンプライアンスリスクや設定の脆弱性 (多くは人的エラーに起因) を警告する、クラウドデータセキュリティの重要な要素です。アナリスト企業のGartnerは、Innovation Insight for Cloud Security Posture Managementレポートで、CSPMを「セキュリティとコンプライアンスの保証を自動化し、クラウドインフラの設定を適切に管理する必要性に対応する製品のカテゴリー」と定義しています。Gartnerによると、2020年はCSPMソリューションの採用は好調で、クラウドセキュリティツールとして必須であると認識する企業が増えているため、わずか数年で全体の25%に達すると予測しています。
CSPMが必要な理由
クラウドサービスやクラウドベースのアプリケーションの導入は、企業や従業員にとって、生産性と柔軟性を向上させる切り札となってきました。その一方で、これらのツールはインターネットに公開され、誰もが簡単に利用できるため、企業はデータ漏洩を含むサイバーセキュリティの脅威にさらされる可能性が高いのが実状です。組織がトレーニングを提供したり、関係者全員が最善の努力をしているにもかかわらず、依然として脆弱性やセキュリティ上の問題が発生し、機密データが危険にさらされています。ITセキュリティ、リスク管理、ビジネス部門のリーダーは、常にその解決に向けて次のことを取り組んでいます。
- クラウドインフラの構成ミスによるデータ漏洩。これにより、膨大な量の機密データが公開され、法定責任や金銭的損害につながる可能性があります。
- 従来のオンプレミス型のツールやプロセスでは不可能だった、クラウドアプリケーションやワークロードの継続的なコンプライアンスの実現。
- クラウドガバナンスの導入における課題 (可視性、権限、ビジネスユニット間でのポリシー適用、クラウドセキュリティコントロールに関する知識の不足)。この課題は、組織へのクラウド導入とともに増加しています。
その中でも最も注目され、最大の被害をもたらすのが情報漏洩です。例:
- IBMが発行した2019年版データ侵害のコストに関する調査レポートでは、情報漏洩によるコストを米国平均820万米ドル、世界平均390万米ドルと推定しています。お客様からの信頼の失墜とそれによるビジネスの損失が、この平均コスト算出における最も大きな要素となっています。
- 2020年版Risk Based Securityのレポートによると、2019年中に150億件の記録が流出し、その数は例年より大きく跳ね上がったことが報告されています。データベースの設定ミスによる4件の違反だけで、2019年第4四半期に67億件の記録データが流出しました。
- 2020年版IBM Security X-Force脅威インテリジェンス・インデックスレポートによると、設定ミスにより露出した記録は前年比で約10倍増加し、2019年に漏洩した記録全体の86%を占めました。
クラウドネイティブアプリケーションは、さまざまなルールと技術を必要とし、そしてこれらがクラウドワークロードプロテクション (CWPP) の開発につながります。しかし、アプリケーションがますます動的になるにつれて、セキュリティの選択肢も変わる必要があります。CWPPとCSPM (クラウドセキュリティポスチャ管理) を組み合わせることで、セキュリティニーズの進化をすべて網羅することができます。
CSPMの仕組み
大きく分けて、CSPMは3つの方法で保護します:
- クラウド資産と構成の可視化: Enterprise CSPMは、設定ミス、ポリシーやメタデータの変更などを発見し、管理コンソールでこれらすべてのポリシーの管理をサポートします。
- 設定ミスの管理と修正: CSPMは、クラウドの設定を業界の標準や事前定義されたルールと比較することで、高額被害につながるデータ侵害のリスクを増大させる人的エラーを低減します。
- 新たな潜在的脅威の発見: CSPMは、クラウド環境をリアルタイムで監視し、不適切なアクセスや悪意のあるアクティビティを検出します。
CSPMの主な機能
CSPMで何ができるのか、もう少し詳しく見てみましょう。CSPMサービスは、自動化機能を活用することで人手を介さず、遅滞なく問題を修正し、継続的に監視を行うことができます。
- クラウド環境のフットプリントを特定し、新しいインスタンスやS3バケットなどのストレージリソースの作成を監視。
- マルチクラウド環境において、ポリシーを可視化し、すべてのプロバイダに対して一貫した適用を実施。
- コンピューティングインスタンスに悪用される可能性がある設定ミスや不適切な設定がないかを確認。
- ストレージバケットにデータが一般に公開される可能性がある設定ミスがないかを確認。
- HIPAA、PCI DSS、GDPRなどの規制遵守のための監査。
- 国際標準化機構 (ISO) および米国国立標準技術研究所 (NIST) が提唱するフレームワークや外部規格に照らしたリスク評価を実施。
- 運用面の活動(例:キーローテーションなど)が期待通りに行われているかを検証。
- 自動修復やボタンクリックによる修復。
2024年までにCSPMを導入し開発にまで拡大した組織では、設定ミスによるクラウド関連のセキュリティインシデントを80%削減できると予測されています。
Zscalerが提供するCSPM
多くのCSPMソリューションが直面している課題は、ポイントプロダクトであるがゆえに組織のセキュリティやデータ保護ツールとの統合が十分に行えないという点です。これが可視性のサイロ化につながり、セキュリティリスクが高まり、インシデントへの反応が遅くなります。
Zscaler CSPMは、Zscalerのすべてのサービスを支えるグローバルなクラウドプラットフォームであるZscaler Zero Trust Exchange™の100%クラウドデリバリーの統合的なデータ保護機能の一部として、アプリケーションの設定ミスを自動的に特定、修正することにより、可視性のサイロ化問題を独自の方法で解決しています。
Zscaler CSPMは、クラウド資産とクラウドアプリケーションのセキュリティとコンプライアンスを自動化し、継続的な可視化を実現するとともに、最も総合的なセキュリティポリシーとコンプライアンスのフレームワークの遵守を強制することができます。Zscaler CSPMは、マルチテナントのSaaS製品として、クラウドインフラとのシームレスな統合、迅速なデータ収集、総合的なダッシュボードやレポート作成が可能です。Zscaler CSPMは、複数のクラウドプロバイダとの統合をサポートし、CI/CDパイプラインとチケッティングシステムを提供し、自動修復を実現します。また、IaaSプロバイダ (Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platformなど) およびSaaSアプリケーションに対して、企業の情報セキュリティ基準を容易に適用し、設定ミスによるデータ漏洩を防ぐことができます。
Zscaler CSPMはNIST、CIS Benchmarks、PCI DSS、SOC2、AWSセキュリティのベストプラクティスなどの16の標準にマッピングされ、事前に構成された2,700を超える組み込みポリシーでセキュリティおよびコンプライアンス面の取り組みを支援し、導入環境のセキュリティとコンプライアンスを保証するガードレールとしてDevOpsの効率化をサポートします。また、カスタムでプライベートなベンチマークを作成することも可能で、大規模なアプリケーション環境にも対応しています。
Zscaler CSPMは、Zscaler Cloud DLP、Zscaler Cloud Browser Isolation、Cloud access security broker (CASB) を含む総合的なZscaler Data Protectionスイートの一部です。
ZscalerのCSPM:
- リアルタイムの構成データを取得: クラウド環境へのアクセス権限を付与されると、API経由でクラウドインフラからデータを取得します。ポリシーのサブセットの場合は、エージェントのインストールが必要になることがあります。
- クラウドの設定ミスを特定: 検出された構成と組み込みポリシーを比較することで、セキュリティポリシーやクラウドリソースレベルで設定ミスを特定します。また、直感的なダッシュボードやレポートによる容易な可視化により、さまざまなコンプライアンスフレームワーク内のポリシーの完全なマッピングを提供します。
- セキュリティとコンプライアンスのガバナンス: コンプライアンスモニタリング、リスクベースのセキュリティ状況のトリアージ、ポリシー管理、複数のコンプライアンス基準を持つ組織や特定のアーキテクチャを必要とする情報セキュリティチーム向けのプライベートベンチマークの設定など、さまざまなクラウドガバナンス機能を提供します。
- 設定ミスを修正: セキュリティポリシー違反のすべてに対する修正ステップを提供し、最も重要なポリシーのサブセットに対する自動修正機能も提供します。