構成ミスを未然に防ぐためのCSPM/SSPM、選定の留意点
本来あるべき構成になっていなかった場合に、管理者宛てにアラートを発報し、注意喚起を促せるのがCSPMである。アプリケーションなど前述の構成アイテムにおける、構成ミスなどのセキュリティリスクを可視化・管理・修正するための仕組みを提供するものだ。では、CSPMを選定する際にはどのようなポイントがあるのか。
先に述べたSalesforceの場合はSaaSであるため、SaaSに対応したSSPM(SaaS Security Posture Management)によりその機能が提供される。一般的にSSPMは、Salesforce以外のSaaSとしてMicrosoft 365、Google Workspace、Slackなどにも対応しているものが多い。
一方、AWSの場合はPaaS/IaaSであるため、これに対応したCSPMによってその機能が提供される。CSPMは、AWS以外にもMicrosoft Azure、Google Cloud Platform(GCP)、Oracle Cloud Infrastructure(OCI)などに対応している。
最近では、マルチクラウド環境で運用しているユーザーも増加しており、検討中の製品がどのクラウドサービスプロバイダーに対応しているのかは、よく調査して導入することをお勧めする。
ちなみに、CSPMが対応しているPosture(期待するセキュアな構成の状態)の主な対象は、以下のようになる。括弧内はAWSなどを例にまとめた。
- アイデンティティとアクセス管理(IAM)
- パブリックアクセス設定(AWS S3やStorageなど)
- 暗号化の有無(data at rest、data in transit)
- ネットワークのセグメンテーション(VPC、NSG、Firewallなど)
- ロギングと監査設定(CloudTrail、Audit Logsなど)
- 構成のベストプラクティス遵守(CISベンチマークなど)
