クラウドのセキュリティ管理

2022年10月25日

調査会社のガートナーが3年前に発表した資料で初めて使われた用語として、クラウドセキュリティポスチャー管理 (CSPM)がある。CSPMは、パブリッククラウドデータまたはコンプライアンス違反のリスクを軽減するように設計された一連のツール/システムおよびプロセス/ポリシーで、クラウドサービスに対して成功した攻撃は、実は構成ミスや管理ミスといったミスの結果であることが多いことから、このミスを削減するためにPaaS(Platform as a Service)およびIaaS(Infrastructure as a Service)環境を探索および監視するために設計され、問題を自動的に修正することにより、運用チームの貴重な時間とリスクを節約することが目的となっている。

2020年のある調査によると、回答者の76％がクラウドサービスプロバイダーがクラウドセキュリティの全責任を負っていると考えているという結果がでているが、AWSやMS Azureは、その責任はAWSやMS Azureとサービスを受けるユーザーの間で分割されるという責任共有モデルであることを明確に示している。MS Azureの責任共有モデル(*)では、ユーザーは常にデータ、エンドポイント、アカウントおよびアクセス管理に対して責任を負うと規定されており、オンプレミスからIaaS、PaaS、SaaS(Software as a Service)と離れれば離れるほど、より多くの責任がマイクロソフトに移る。(* マイクロソフトの責任共有モデルに関しては、https://learn.microsoft.com/ja-jp/azure/security/ fundamentals/shared-responsibility をご参照ください。)

ところで、クラウドとマイクロサービスの利用が拡大するにつれて、管理されていないリスクの数も増加し、それにつれてデータ侵害も増加している。ガートナーの見解では、2025年までに、パブリッククラウドの使用をコントロールできない企業の90％は、機密データを不適切に共有するようになるだろうとも言っている。規制当局はルールを破った企業に罰金を科し、集団訴訟もより頻繁により大規模に行われ、世界でも一般的になりつつある。しかし、罰金や訴訟の費用は、情報漏えいが一夜にして風評被害を引き起こす可能性があることを考えると、はるかに小さいものであるのも事実である。

CSPMツールは、インフラストラクチャーのリアルタイムで継続的な視覚化、マルチクラウド資産の発見、分類、およびリスク評価、キーの期限切れや不適切なアクセス許可など一般的な構成ミスに対する保護、コードレスでカスタマイズ可能な自動化による一般的な問題のリアルタイム修復、GDPRやSOC 2(Service Organization Control Type 2)(＊)などのセキュリティフレームワークへの準拠などの機能を有し、自動化されたCSPMツールを用いて、ユーザーは次のようなことが可能となる。
(＊ 米国公認会計士協会（AICPA）が開発したサイバーセキュリティ・コンプライアンス・フレームワーク)

• コンプライアンスポリシーを継続的に監視および評価し、検出したコンプライアンス違反を解決する。
• オペレーションの監視により、新しい資産がセキュリティポリシーと規制にどのように準拠しているかの特定、およびクラウドのセキュリティ体制に悪影響を及ぼす脅威を特定する。
• 脅威がどのように検出、隔離、修復されているかを一元的に確認することにより、インシデント対応管理を行う。
• クラウドのセキュリティを維持するために、リスクの識別、分類を実行する。
• クラウド内にある資産の分類、構成を可視化する。

金融機関、医療機関、法執行機関などあらゆる業界の企業が業務にクラウドインフラストラクチャーを使用しており、機密データをクラウドに移行する企業が増えるにつれ、セキュリティはこれまで以上に重要になっていることから、CSPMソリューションは、クラウドにおけるデータセキュリティの未来と言えるかもしれない。