クラウド・セキュリティ・ポスチャ管理(CSPM)とは

クラウド・セキュリティ・ポスチャ管理(CSPM)は、クラウド・セキュリティ・リスクやパブリック・クラウド・サービスの構成ミスに対応するために増え続ける組織の要件に対する答えです。このサービスは、リスク評価、ビジュアライゼーション、インシデント・レスポンス、コンプライアンス、監視、およびDevOps統合に使用されます。リソースの構成ミスの検出、クラウド・アプリケーションやサービス全体のリスクのある安全でないアクティビティの特定、クラウドセキュリティに関する問題のトリアージや解決においてセキュリティ管理者を支援する可視性の実現などに、CSPMサービスが活用されています。

CSPMが重要である理由

クラウド環境を定義および維持するには、何千もの設定を構成および保守する必要があります。現在のITでは、クラウドが「当たり前」とみなされているため、クラウドベースのシステムを保護するという課題がますます複雑になることがあります。データがどの組織にとって最も重要な資産の1つであることを考えると、あらゆる不正アクセスや構成ミスからデータを保護することが重要です。コンプライアンスの観点から見ると、データ侵害、監査の失敗、規制要件への準拠の失敗は、依然として、評判の低下、ブランドエクイティの喪失、知的財産の侵害、違反に対する罰金につながります。最後に、これまで何年にもわたって、資格証明の不正使用が最も一般的な攻撃ベクトルのリストで1位を記録してきましたが、まもなくそれがクラウド・デプロイメントの構成ミスに取って代わる可能性があります。

よくあるクラウド・デプロイメントの構成ミス

クラウド・デプロイメントの構成ミスは、クラウド・デプロイメントの初期設定時またはライフタイム時に、さまざまな方法で起こる可能性があります。多くの構成ミスは開発時に発生し、どんなに経験豊富なアプリケーション開発者であっても起こることがあります。デプロイ時の問題を修正しようとして、オープン・ストレージ・バケットを使用すると、開発時のアプリケーションの構築やコラボレーションが容易になる場合があります。現在のアプリケーションの複雑さを考えると、単純に設定していなかったり、構成を変更するのを忘れたりすることがあります。よくある構成ミスには、次のものがあります。

  • 過度に寛容なセキュリティ・アクセス・ポリシーの定義
  • 暗号化されていないストレージバケットへのオープンアクセスの提供
  • 保護されていないインターネット接続パス
  • 不適切に構成された仮想化ネットワーク機能
  • 定義されたインスタンスごとのアプリケーション固有の設定

従来のオンプレミスのセキュリティがクラウドでは不十分である理由

従来のオンプレミス・セキュリティには、データセンターを保護するために、ファイアウォール、侵入検知/防止システム(IDS/IPS)、およびその他のペリメータ・セキュリティ対策が含まれていました。これらの対策によりいくらかは保護できますが、組織がアプリケーションやデータ、ワークロードをクラウドに移行し続けているため、現代のクラウドも変化に適応し続けなければなりません。クラウドで発生するセキュリティ上の課題には、次のようなものがあります。

  • 手動によるプロセスでは、単純な構成ミスという新たな脅威の進化の規模やスピードに対応できない
  • 一元性が欠如しているため、潜在的な構成ミスを可視化することが非常に難しい
  • 従業員がどこからでもクラウドにアクセスできるため、クラウドの「ペリメータ」が曖昧になっている

クラウド・セキュリティ・ポスチャ管理の仕組み

クラウド・セキュリティ・ポスチャ管理では、リソースに構成に関連するセキュリティ脆弱性がないか、オペレータとユーザーがリスクのあるアクティビティを行っていないかどうかが示されます。検出された場合は、構成に基づいて修正処理を行うための提案および支援を得ることができます。リソースグループにポリシー要件を定義して、ポリシーを適用し、違反を自動的に修正してログに記録することができます。CSPMは、定義されたテナントおよびコンパートメントの識別、分析および修正に必要なツールを提供します。CSPMにより、組織のクラウド・インフラストラクチャの包括的ビューが可能になります。この情報では、可視性を提供するために、次のものが提供されます。

  • リスクを軽減し、コンプライアンスを確保するためのSaaS、IaaSおよびPaaSの問題のサマリー
  • セキュリティおよびリスクのスコア
  • 実用的な提案
  • 疑わしいユーザー・アクティビティの発生場所を示したマップ

セキュリティリスクを引き起こす可能性があるリソースに対するアクションや設定は問題です。クラウド・セキュリティ・ポスチャ管理は、テナント全体にわたってリソースの構成ミスや安全でないアクティビティを検出するのに役立ち、クラウドセキュリティに関連した問題をトリアージおよび解決するための可視性をセキュリティ管理者に提供します。

 

クラウド・セキュリティ・ポスチャ管理のメリット

  • 顧客テナンシの保護クラウド・セキュリティ・ポスチャ管理戦略をグローバルな一元化されたアプローチと一緒に採用することで、パブリック・クラウド・テナンシを保護します。
  • セキュリティ問題の自動修正セキュリティ・レシピを使用してシンプルな問題と複雑な問題のセキュリティの脅威の修復を自動化し、セキュリティ運用チームのリソースを最適化します。
  • リスク体制の包括的ビューの取得クラウドAPI、コマンドライン・インタフェース、ソフトウェア開発キット(SDK)などのプログラム・インタフェース、さらにはコンソール・ユーザー・インタフェースを使用して、クラウドテナンシのセキュリティおよびリスク体制を評価および表示します。
  • クラウド・セキュリティ・ポリシーの自動適用重要なエンタープライズ・データのセキュリティポリシー要件を最初から適用し、クラウドのライフサイクル全体を通じてセキュリティリスクを軽減することで、クラウドセキュリティの構成ミスを防止します
  • セキュリティのベスト・プラクティスを備えたポリシーライブラリの採用セキュリティの専門知識が組み込まれた、ワークロードの構成および保護を支援する統合されたクラウド・セキュリティ・サービスとセキュリティ・ポリシー・ライブラリによりコンパートメントを保護します。
  • コンパートメントベースのセキュリティの獲得ゲストOS、アプリケーション、データ層のセキュリティ責任を、統合された詳細なクラウドセキュリティ施行に移し、セキュリティの義務を果たします。