現在、企業でのAWSやAzure、Google Cloud、OClといったパブリッククラウドの利用が一般的になりつつあります。一方でパブリッククラウドは設定を誤ると大規模な情報漏洩につながるといったリスクもあり、安全にパブリッククラウドを利用するためにはユーザ自身で適切な設定になっていることを担保していく必要があります。
そういった設定不備に起因する情報漏洩などのセキュリティ対策として、CSPM(Cloud Security Posture Management)を採用することが一般的になっています。現在では、様々なセキュリティベンダーがCSPMソリューションを提供するだけでなく、パブリッククラウド側もユーザ自身で設定不備に気づけるようにサービスや機能(以下、ネイティブ機能)を用意しています。
ネイティブ機能を組み合わせてCSPMとするケースも増えており、特に特定パブリッククラウドのみを利用している場合には何を選択するべきか頭を悩まされる方もいらっしゃるのではないでしょうか。
今回は、改めてセキュリテイソリューションとしてCSPMの機能についての基本をおさらいしながら、セキュリティベンダーが提供するソリューション(以下、3rdパーティーソリューション)とネイティブ機能の組み合わせのそれぞれについて特徴を整理して、環境に適したCSPMソリューションをどう選択していくべきか考えていきたいと思います。
▶「【解説書】セキュリティ担当者のためのCSPM導入・運用のポイント」をダウンロードする
CSPM(Cloud Security Posture Management)とは
CSPMは、クラウドセキュリティ態勢管理と訳されるパブリッククラウドのセキュリティリスク低減を目的とするソリューションです。クラウドサービスの設定を継続的に評価する機能を持ち、セキュリティリスクとなり得る設定・状態を自動的に検出することで、セキュリティインシデントを未然に防ぐことが期待できます。
セキュリティベンダーおよびクラウドプロバイダーが提供するCSPMソリューションが持つ機能は様々なため、比較は簡単ではないですが、一般的には以下のような機能を持っていると言えます。
1.設定チェック機能
クラウド環境において不適切な設定を検出する機能です。 インターネット公開されているクラウドストレージの外部公開など、クラウド環境においてリスクのある設定やクラウドプロバイダー側の推奨値と異なるものなど、不適切な設定になっている箇所を検出する機能です。
CSPMによるセキュリティ対策の中で中心となる機能と言えます。 設定を定期的にチェックすることで管理者が把握していないような設定変更の検出なども可能となります。
2.コンプライアンス準拠機能
法律やガイドライン、業界標準など各種セキュリティ基準や規則に即した設定かをチェックする機能です。
用途や扱うデータによって、システムとしてGDPRやHIPAA、PCI DSSなどへの準拠が求められる場合があります。
この機能を活用することで、ユーザが各種セキュリティ基準や規則に関するドキュメントをもとに1から設定を用意しなくても準拠状況を確認していくことなどができるというメリットがあります。
3.モニタリング機能
各種のログやデータを取り込み、通常は発生しないようなイベントやアクティビティを検出する機能です。 一般的には、不審なサイトへの通信の検出やユーザの通常とは異なるアクションなどを異常として検出するものです。
この機能はソリューション毎にどのようなログを取り込むか、どういったイベントを検出できるかなど、特色が分かれる機能と言えます。
4.アラート機能
CSPMによって検出された設定不備や不審なイベントの発生などを通知する機能です。 通知することはもちろんですが、通知の抑止や除外、グルーピングといった通知をどれだけコントロールができるか、カスタマイズできるかといった点が重要となります。
なお、通知方法としてはこれまではメールが主流でしたが、最近はチャットツールへの対応やAPI・Webhookなどのシステム連携のニーズから、メール以外にも対応しているケースが増えています。
5.管理機能
マネジメントコンソールといったインタフェースを通じて、検出した内容の確認やソリューション自体の設定変更などを実施する機能です。アラートの検索や内容の確認、分析など調査をする際にも利用します。
利用にあたってはユーザの登録を行う必要がありますが、シングルサインオンやユーザの権限を割り当てなど、新たにアカウントを発行するのではなく既にあるアカウントが利用できる場合もあります。 
上記の機能以外にも、脅威防御の機能や各種パブリッククラウドを一元的に管理できるなど、ソリューション毎に様々な機能は存在しますが、CSPMとしては一般的このような機能を持っているソリューションと言えます。
CSPMでは上記(1)~(3)の機能がまとめられたポリシーやルールの中で定期的な検査を実施やイベントの検出を行い、(4)のアラート機能に従ってユーザに通知を行います。アラートを受け取ったユーザが(5)の管理機能を使いながら原因の調査やクラウド環境側の設定修正を実施することでセキュリティリスクの低減やセキュリティインシデントを未然に防ぎ、パブリッククラウドをセキュアな状態に保ちます。
CSPMの導入|3rdパーティーソリューション vs ネイティブ機能の組み合わせ
CSPMとして標準的に持つ機能を見ていきましたが、続いてはCSPM導入にあたり比較されるケースが増えてきた3rdパーティーソリューションとネイティブ機能の組み合わせについて、それぞれ特徴を比較してみようと思います。
3rdパーティーソリューションとネイティブ機能の組み合わせのそれぞれで細部の機能の違いはありますが、傾向としては以下のような特徴があると言えます。
|
|
3rdパーティーソリューション |
ネイティブの組み合わせ |
|
設定チェック機能 |
標準的な設定の検出機能に加えて、豊富なカスタマイズ機能を有するためユーザの目的に合わせた利用が可能 |
標準的な設定の検出機能を持つ クラウドプロバイダー自身が提供しているため最新機能への対応が早い |
|
コンプライアンス準拠機能 |
多数のセキュリティ基準や規格に対応しており、用途に合わせて利用が可能
また、MITRE ATT&CKなど、攻撃への対策につながる観点からの確認も可能 |
PCI DSSやHIPAAなど、一般的に使われる |
|
モニタリング機能 |
クラウドプロバイダーが用意する不審なアクティビティへの対応に加えて、セキュリティベンダー独自の観点による検出が可能 |
クラウドプロバイダーが用意する不審なアクティビティへの対応が可能 |
|
アラート機能 |
カスタマイズ能力に優れ、不要なアラートの抑止や制御ができ、目的に合わせてアラートの柔軟なコントロールが可能
メール等での通知は可能だが、日本語に対応しているものが少なく、英語での通知が多い |
ユーザ自身が他サービスと組み合わせて開発することで、アラートのコントロールは可能
通知自体は英語もしくはJSONなどの構造化データとなり、技術力が求められる |
|
管理機能 |
ソリューション側で情報を集約してくれるため、用意されたGUIで確認から調査、分析までを一元的に実施可能
アカウントについては個別に専用アカウントの準備が必要な場合が多い |
各種機能を組み合わせながら実現しており、確認には複数のサービス・機能を遷移しなければならない場合がある
権限付与などにより、既存アカウントを利用できるケースが多い |
3rdパーティーソリューションは豊富な機能とセキュリティ能力の高さが特徴と言えます。 カスタマイズ性に優れるため、設定検出のカスタマイズやアラートのコントロールなど、ユーザが実施したい内容を実現することができる能力を持っています。
また、セキュリティベンダーが提供しているため、攻撃者の戦術や手法などのナレッジベースであるMITRE ATT&CKをコンプライアンス準拠機能に取り込んでいたり、これまでの知見をモニタリング機能に活かすなど、セキュリティベンダー独自の機能な機能を多く盛り込んでいる点も特徴と言えます。
一方、ネイティブ機能の組み合わせにおける特徴は標準的なセキュリティ能力を持つことと導入の手軽さと言えます。
ネイティブ機能はクラウドベンダーが提供している機能であるため、パブリッククラウドを安全に使う上で見るべき基本的なポイントが組み込まれていると言えます。加えて、利用にあたってはクラウドの管理画面から有効化を行うだけで使い始めることができ、コストも利用した分だけと、小さな環境などには非常に使い始めやすいものになっています。
上記を踏まえると、利用したいセキュリティ基準の有無や業務フローの実現など、導入目的がはっきりしているようなケースなどでは3rdパーティーソリューションを選択するほうが適して言えるのではないでしょうか。一方で、特定の目的はなく、基本的なセキュリティ対策を実施したい場合にはネイティブ機能の組み合わせも選択肢になり得ると考えられます。
CSPM運用におけるアラート対応の重要性
CSPMとして3rdパーティーソリューション、ネイティブ機能の組み合わせのどちらを選択したとしても、適切に運用していくためには初期導入段階でのアラートのチューニングや日々発生するアラートの分析・対処など、アラート対応が重要になると言えます。
ポイント1
アラート対応におけるポイントの1つ目はどのアラートから優先的に対応していくかといった、アラートの仕分け(トリアージ)をしていくことです。
特に初期チューニング段階では修正すべき点が全く修正されていない状態でアラートが発生していくことになり、多数のアラートの中から優先的に対処すべきものと後に回しても大きな影響が発生しないものに仕分けながら対応していく必要があります。
きちんと仕分けを行うことができなければ、何から手をつけていけばよいかわからず大量のアラートの前に途方に暮れてしまうといった事態に陥る可能性も考えられます。この点は運用フェーズに入ってからも同様と言え、日々発生するアラートを仕分けして対応していくことで運用負荷を抑えた、効率的な運用を実現できると言えます。
ポイント2
2つ目のポイントは、アラート抑止してしまう場合のセキュリティリスクの判断です。
CSPMを運用する際には、アラートの原因となった不適切と判定された設定について修正するか、過検知と判断しアラート自体を抑止するかという大きく2つの選択をしていくことなります。CSPMは設定値を決められたポリシー/ルールで評価するという性質上、IDSやWAFといった攻撃を検出するソリューションとは異なり、ユーザが意図的に行った設定でもポリシー/ルールに違反する場合にはアラートが発生してしまいます。
アラートを抑止しまうことは簡単ですが、不用意に抑止しすぎてしまうと本当に必要なアラートが得られなくなってしまうことになるため、アラートを抑止しても問題ないか、リスクが無いかをシステム要件やセキュリティの観点で判断していく必要があると言えます。
アラート対応で重要となる上記2点を踏まえながら運用していくにはセキュリティの知見が求められることもあり、ユーザ自身で対応していくことは難しいと言えます。運用の現場ではこういった高度なセキュリティスキルが求められることから、専門家の助言を活用することでスムーズなCSPMの導入・運用に繋がり、効率的と考えられます。
おわりに
今回はCSPMの基本を振り返りながら、3rdパーティーソリューションとベンダーの機能の組み合わせそれぞれの特徴を見ていきました。加えて、適切にセキュリティ運用していくために必要となるアラート対応のポイントについてもお話しました。
弊社ではCSPMにおける3rdパーティーソリューション、ネイティブ機能の組み合わせのどちらでもお客様をご支援できるようサービスを用意しております。3rdパーティーソリューションとしては、Palo Alto Networks社のPrisma Cloudを用いてマルチクラウド・マルチアカウント環境の一元管理や検知ルールの策定支援など導入や運用を支援する、統合クラウドセキュリティマネージドサービス powered by Prisma Cloud from Palo Alto Networksをご用意しています。
また、ネイティブ機能の組み合わせには、AWSが備えるセキュリティ機能を活用したセキュリティ運用監視の自動化・高度化を支援するパブリッククラウドセキュリティマネージドサービスを用意しています。
パブリッククラウドの安全な利用のため、CSPMの導入のご検討、実際にお使いのうえでのお悩み事やご相談事項がありましたらお気軽に弊社担当までお問い合わせいただければ幸いです。
