クラウドセキュリティ体制管理 (CSPM) とは何ですか?

CSPM (クラウドセキュリティ体制管理) は、クラウドインフラストラクチャ全体のセキュリティ検出結果を視覚化し、優先順位を付け、修正するためのツールです。CSPMは、さまざまなサービスからセキュリティデータを継続的に取り込んで相関させ、全体的なセキュリティ体制スコア、脅威、脆弱性などに関する高度なインサイトを提供します。CSPM は、修復ワークフロー、標準フレームワークとの連携、および長期にわたるセキュリティに関する見解を提供します。

CSPM ツールのワークフローには 4 つの主要なフェーズがありますが、それぞれが継続的かつ同時に行われます。

状況把握

CSPM ツールは、クラウド環境全体のセキュリティを正確に監視できるように、すべてのクラウド資産、クラウドサービス、接続を検出します。

評価

CSPM ツールはコンプライアンス基準に照らし合わせてチェックし、どのインベントリアイテムとそのクラウド設定が準拠しているかを特定するためのコントロールを設定します。

優先順位付け

CSPM ツールは、脅威、脆弱性、機密データなど、さまざまなセキュリティ領域にわたるセキュリティ検出結果のスコアリングと優先順位付けを行います。

修正

CSPMツールは、特定されたセキュリティ問題の修正のためのガイダンスと自動化を作成します。

クラウドセキュリティ体制管理ソリューションは、組織のクラウドコンピューティング環境全体のセキュリティ概要と、実行可能な推奨事項を提供します。CSPM ツールは、クラウドセキュリティの強化、セキュリティ体制の視覚化、および脆弱性管理を目的として設計されています。

クラウドセキュリティ体制管理ソリューションの主な利点は次のとおりです。

統合クラウドインフラストラクチャのセキュリティ概要

クラウドセキュリティ体制管理では、クラウドインフラストラクチャ全体のセキュリティ体制を把握できます。CSPM ツールでは、複数の情報源からセキュリティ検出結果を収集して優先順位を付けることで、セキュリティを一元的に可視化できます。

通常、チームは特定のエリアのセキュリティ体制のみを示すポイントベースのソリューションに頼ります。たとえば、セキュリティツールはネットワークトラフィックやリソースリクエストを調べることができます。これらのポイントベースのツールでは、どのセキュリティ検出結果が組織にとってより重要であるかを判断するのが難しい場合があります。

クラウドアーキテクチャ全体のセキュリティを把握することで、セキュリティチームはセキュリティ対策の観点から何を優先すべきかについて、より広い視野を得ることができます。

継続的モニタリング

クラウドセキュリティ体制管理は、継続的な環境監視を提供します。常時稼働している環境監視により、システムの現在の状態が保証されるだけでなく、リアルタイムでアラートや更新が行われることが期待できます。継続的な監視により、脅威を自動的に検出できます。

継続的な監視は、適切な情報を適切なタイミングでユーザーに提供し、セキュリティチームがどこに重点を置くべきかを優先順位付けするのに役立ちます。

自動修復経路

多くの場合、クラウドセキュリティ体制管理ソリューションは自動修復経路を提供します。たとえば、特定のリソースに重大な脆弱性がある場合、そのリソースをシャットダウン、隔離、または構成を変更するためのツールチップやワークフローが表示されることがあります。この攻撃経路分析は、ユーザーを導くのに役立ちます。

自動化された修復経路を提供することで、セキュリティチームは修復タスクを迅速に完了し、より迅速かつ効率的に作業できます。

コンプライアンスおよび監査機能の強化

クラウドセキュリティ体制管理ソリューションは、多くの場合、業界のセキュリティポリシー、標準、および規制遵守フレームワークに合わせて構成できます。これらには、NIST 特別出版物 800-53、PCI DSS、および AWS 基礎セキュリティベストプラクティス (FSBP) が含まれます。

これらのセキュリティポリシーを有効にすると、CSPM ツールはクラウドリソースとコントロール全体のコンプライアンス違反を自動的に検出します。この可視性の向上により、監査や標準評価において重要となるクラウド環境の改善や規制コンプライアンスの維持に役立ちます。

CSPM ソリューションの主な機能は、クラウドプロバイダーやベンダーによって異なります。ただし、これらはほとんどの CSPM ソリューションの主要機能です。

セキュリティエリアの概要

クラウドセキュリティ体制管理は、クラウドインフラストラクチャをカバーするさまざまなセキュリティ領域の概要を提供します。これらの領域はウィジェットまたはダッシュボードに表示され、多くの場合再構成できるため、クラウド環境内で最優先事項を決定できます。

対象となる分野には、上位の脅威、最大のリスク、クラウドセキュリティ統制の適用範囲、セキュリティ基準への準拠、および総合的なセキュリティスコアが 100% 点満点となっています。また、クラウド資産を、検出結果の数、地域の違い、最も一般的な脅威、時間の経過に伴う脅威の検出結果、環境内のソフトウェアの脆弱性別に確認できる場合もあります。

主要な改善分野の優先順位付け

CSPM ツールのほとんどのセキュリティ領域では、セキュリティ検出結果が重要度別に表示されます。たとえば、検出結果が「重要」、「高」、「中」、「低」と評価され、概要を掘り下げて確認できる場合もあります。脅威の検出でクリティカルな検出結果が見つかった場合は、これらが強調表示されます。機密データの脆弱性が浮き彫りになることもあります。

このように自動的に優先順位が付けられるため、修復作業をどこに集中すべきかを簡単に判断できます。

調査および修復機能

特定の領域ごとに、特定のクラウドリソースに関するセキュリティアラートなどの個別の検出結果が表示されます。個々の結果を選択することで、多くの場合、改善に必要な手順を確認したり、自動ワークフローを開始したり、検出結果の履歴を表示したりできます。

調査機能は複数のサービスを対象としており、セキュリティイベントやクラウドの設定ミスがどのように、どこで、なぜ発生したかの概要を把握できます。

これらの調査機能により、セキュリティチームはセキュリティイベントをより迅速かつ確実に調査して修正することが容易になります。

リアルタイムのアラート

CSPM ソリューションは、深刻化しつつある新たなセキュリティリスクやイベントをリアルタイムで明らかにすることができます。多くの CSPM ツールには、受信イベントを表示または非表示にするようにユーザーが設定できる統合アラート機能があります。

CSPM ツールのリアルタイム機能により、ユーザーは重大なセキュリティ問題に迅速に対処できます。多くの場合、修復経路は自動化されています。

時系列データベース

CSPM ソリューションは、組織のクラウドセキュリティの概要を長期にわたって提供します。セキュリティ領域の多くは、データを時系列として表示する機能を提供します。たとえば、セキュリティスコアが 1 年で増減したり、特定のリソースにおける重大な脆弱性の数が 3 か月でわかったりすることがあります。

時系列分析は、組織のベンチマーキング、レポーティング、目標設定において重要であり、長期的に組織のセキュリティ体制を強化する取り組みにおいて重要です。

セキュリティツールとの統合

クラウドセキュリティ体制管理ソリューションは、さまざまなソースからデータを取り込み、その検出結果を他のツールに送信します。データソースには、クラウドネイティブアプリケーションのほか、従来のセキュリティツールや、Cloud Infrastructure Entitlement Management (CIEM) などのサードパーティプロバイダーソリューションが含まれます。

たとえば、AWS Security Hub CSPM は Amazon Detective、AWS Audit Manager、AWS Security Lake、その他のサービスから検出結果を受け取ります。 AWS Security Hub CSPM は検出結果を AWS Config、AWS Health、Amazon Macie などに送信します。

複数のセキュリティおよび監視ツールやクラウドネイティブアプリケーションと統合することで、CSPM ソリューションの可視性が高まります。可能な限り、または推奨できる限り多くの統合を含める必要があります。

カスタマイズ機能

CSPM ツールは、各組織がそれぞれ異なることからカスタマイズ可能ですが、カスタマイズの可否や適用範囲はベンダーによって異なります。通常、ダッシュボードは再構成可能で、セキュリティ領域にはフィルターを設定できます。通常、コンプライアンス違反を特定するための特定の基準を設定し、特定のクラウド環境制御に優先順位を付けることができます。

AWS Security Hub CSPM 内のカスタマイズの例としては、重要なビジネスリソースに関連する検出結果の重要度ステータスが自動的に Critical に引き上げられることが挙げられます。この自動化により、重要な資産のクラウドワークロードセキュリティが強化されます。

CSPM ソリューションを組織にとって最も役立つものにするには、いくつかの運用上のベストプラクティスが必要です。

CSPM トレーニング

CSPM ツールのユーザーは、ソリューションを適切に使用してクラウドインフラストラクチャを保護するためのトレーニングを受ける必要があります。セキュリティ体制について正確に把握するには、CSPM ユーザートレーニングが不可欠です。CSPM ソリューションはデフォルト設定でも動作しますが、ユーザーはデータの解釈方法、システムの設定方法、およびビジネス要件に応じたガイダンスに従う方法を理解している必要があります。

最新のクラウド設定管理

クラウド環境が拡大するにつれて、CSPM ソリューションを新しい開発状況に合わせて最新の状態に保つ必要があります。

CPSM クラウド設定管理には、次のようなタスクが含まれる場合があります。

• クラウドインフラストラクチャの設定ミスを特定するためのリソースとサービスの自動オンボーディング
• クラウドインフラストラクチャの資格管理など、他のクラウドセキュリティソリューションの統合
• コンテナのセキュリティなど、新たに特定された優先分野に合わせたダッシュボードの再構成

CSPM ソリューションは固定的なツールではありません。クラウド環境と並行して保守する必要があります。

ベンチマークとレポート

CSPM ツールの時系列データは、経営幹部やその他のビジネス関係者へのセキュリティ報告にとって重要です。CSPM ツールを設定すると、セキュリティを社内でベンチマークすることも、特定のコンプライアンス基準に照らしてベンチマークすることもできます。これらの初期数値から、将来の目標を設定し始めることができ、フォローアップレポートが正確であることを確認できます。

回答を自動化

組織に固有のセキュリティ検出結果で、頻繁に発生する傾向があるものについては、自動応答シーケンスを設定できます。これにより、既知の問題の修正にかかる時間を節約できます。これらの応答シーケンスは通常、統合サービスを通じて CSPM ツールの外部で行われます。たとえば、Amazon EventBridge は AWS Security Hub CSPM の特定の検出結果に対する自動応答をトリガーできます。

AWS Security Hub は、重大なセキュリティ問題に優先順位を付け、クラウドコンピューティングインフラストラクチャを保護するための大規模な対応を支援する AWS の統合クラウドセキュリティソリューションです。この広範なセキュリティソリューションは、シグナルを相互に関連付け、実用的なインサイトへと充実させることで重大な問題を検出し、効率的な対応を可能にします。

AWS Security Hub CSPM は Security Hub 内のサービスです。AWS Security Hub CSPM は、セキュリティのベストプラクティスチェックを実行し、AWS クラウドサービスやパートナーからのセキュリティ検出結果を取り込みます。これらの検出結果を、他のクラウドサービスやパートナーのセキュリティツールで得られた結果と組み合わせています。このサービスは、AWS リソースに対して自動チェックを提供することで、クラウド設定ミスの特定およびセキュリティ体制の評価を支援します。

AWS Security Hub CSPM は、AWS Foundational Security Best Practices、Center for Internet Security (CIS)、Payment Card Industry Data Security Standard (PCI DSS)、アメリカ標準技術研究所 (NIST) など、業界や規制の枠組みに合わせたセキュリティ標準を提供しています。

Security Hub には自動対応ワークフローも用意されており、大規模な修復を合理化できるため、クラウドのセキュリティリスクを軽減し、チームの生産性を向上させ、業務中断のリスクを最小化できます。Security Hub は、クラウド環境を保護するためのセキュリティ体制をより包括的に可視化します。

今すぐ無料のアカウントを作成して、AWS で CSPM ソリューションの実装を開始しましょう。