このブログは Alibaba Cloud の Elastic Compute Serivce の Linux インスタンスで提供しており、そのセキュリティリスクの軽減は同じく Alibaba Cloud の Security Center Enterprise Edition を利用しています。 最近、セキュリティのことを学びなおしている中で CSPM (Cloud Security Posture Management )という言葉を今更ながら知りました。 Security Center 自体は2020年の4月から利用しておりまる4年も使っていたのですが自分が使っているものが世間では何と呼ばれているのかわかっていなかったわけです。
知らないものは学べばよいわけで今回の記事では CSPMとは何なのかを自分なりに調べて整理します。 また、CSPMの観点で Alibaba Cloud の Security Center がどんな CSPM なのかも。
目次
CSPM とは?
Google 検索で”CSPM とは”で提示された上位5件ほどのサイトを自ら読んで確認し、また、Google Gemini に聞いてみた結果として CSPM の基本機能は以下であることがわかりました。
| 基本機能 | 説明 |
|---|---|
| パブリッククラウドの利用状況とリスクの可視化 | ・IaaSやPaaS、またその上に構築されているシステムがどのように設定されているか、ダッシュボードなどで可視化 ・アクセスの設定状況や機密データの管理状況、脆弱性など |
| マルチクラウドへの対応 | AWS、Azure、GCPなどの主なクラウド事業者への対応 |
| 設定ミスやインシデントの検知 | ・いつだれが設定を変更したのか履歴管理とルール違反のチェック ・インシデント検知時のアラート ・アラートへの自動対処 |
| 国際基準に基づいたチェック | ・国際基準に基づくチェックが可能 |
説明の順番が逆になりましたが CSPM の存在意義、目的はパブリッククラウド利用におけるセキュリティリスクの軽減です。一例として意図せずしてデータがインターネットに公開されてしまったインシデントが頻発しています。 原因はオンプレミスのシステムをクラウドに移行していく中での設定ミスだったり、設計漏れだったり、一時的な対処の中で行った設定変更の戻し忘れだったり様々なケースがあるかとは思いますがパブリッククラウドはプロダクトが多岐にわたり、結果として機能も多くなり、そしてオンプレミスとは比べ物にならないスピードで変化していきます。 そのような環境に対して有識者を育て、その人材が設計したり設定したりテストしていくアプローチは不可能になり、その結果として CSPM が生まれてきたということになります。
CSPMの必要性は3年ほど前までパブリッククラウドのプリセールスやデリバリーを仕事にしていたので私も本当にそう思います>パブリッククラウドの構成がセキュリティ観点で妥当かどうかのチェックを人力で行えないこと。 確認対象の製品や機能が膨大であること、変化が速いこと、そしてセキュリティのチェックは日々行うべきものであるためです。 仮に優秀な人材を揃えることが出来ても毎日チェックすることが最も困難な要因だと考えます(お金が無限にあれば人海戦術的に大量の要員を体制化すればでしょうがそれはありえない。 そのような人材を大量に抱えるのはコストもかかるし、また、高度な人材に毎日同じような内容の単純作業をお願いすると辞めてしまうだろうという)。
なお、Google Gemini に聞いてみた結果も紹介します
CSPMとは?
CSPMはCloud Security Posture Managementの略称で、日本語ではクラウドセキュリティ態勢管理といいます。これは、クラウドサービスの設定状況を監視し、セキュリティリスクを評価・改善するためのソリューションです。
近年、多くの企業がビジネスを迅速化するために、クラウドサービスを積極的に活用しています。しかし、クラウドサービスの利用に伴い、従来のオンプレミス環境とは異なるセキュリティリスクも顕在化しています。
CSPMは、こうしたクラウド環境におけるセキュリティリスクを効率的に対策するために役立ちます。具体的には、以下の機能を提供します。
1. 可視化
- クラウドサービス全体のリソース、設定、アクセス権限などを可視化します。
- シャドーITの発見や、利用状況の把握などに役立ちます。
2. 脆弱性管理
- クラウドサービスに存在する脆弱性を自動的に検出し、修正を促します。
- ゼロデイ攻撃などの高度な脅威にも対応できます。
3. 脅威検知・対応
- マルウェア感染や、不正アクセスなどの脅威を検知し、迅速に対応することができます。
- サンドボックシング、振る舞い分析、脅威インテリジェンスなどの機能があります。
4. コンプライアンス監査
- PCI DSSやSOC 2などのコンプライアンス要件に準拠していることを確認することができます。
- 監査ログの収集、分析、レポート作成などの機能があります。
5. 自動化
- クラウドサービスの設定変更やパッチ適用などの作業を自動化することができます。
- セキュリティ運用の効率化に貢献します。
CSPMの導入メリット
- クラウドサービスにおけるセキュリティリスクを低減
- コンプライアンス要件への準拠を容易にする
- セキュリティ運用コストを削減
- クラウドサービスの利用状況を可視化
CSPMの利用事例
- 複数のクラウドサービスを利用している企業
- クラウドサービスを積極的に利用している企業
- 規制が厳しい業種で活動している企業
CSPMの代表的なツール
- MacAfee Cloud Security Posture Management
- Microsoft Defender Cloud Security Posture Management
- Netskope Cloud Security Posture Management
- Orca Security
- Palo Alto Networks Cloud Security Posture Management
CSPMについてさらに詳しく知りたい場合は、以下のリソースを参照してください。
- CSPMとは?多様化・複雑化するクラウドワークロードの効果的なセキュリティ対策を徹底解説!: https://www.crowdstrike.com/cybersecurity-101/cloud-security/cloud-workload-protection-platform-cwpp/
- 改めて知るCWPP(Cloud Workload Protection Platform)とは何か? – DX事業 – マクニカ: https://www.macnica.co.jp/business/security/solution/cloud/cloudsecurity.html
- CWPP(Cloud Workload Protection Platform)|セキュリティ用語解説 – NRIセキュア: https://www.nri-secure.co.jp/theme/cloud_security
まとめ
CSPMは、クラウドサービスにおけるセキュリティリスクを低減し、コンプライアンス要件を遵守するためのソリューションです。クラウドサービスを利用している企業は、CSPMを導入することで、セキュリティリスクを低減し、運用効率を向上することができます。
生成AIでの調べ物をした際、間違いが多くて困ることがよくありますが今回の回答は特に問題はありませんでした。
また代表的なツールとして複数社のソリューションが提案されていたのでこちらも再度 Gemini に聞いてみます。
CSPM市場シェア:2024年最新調査に基づく詳細分析
2024年、CSPM市場はかつてないほどの成長を遂げています。 クラウドサービスの利用拡大とそれに伴うセキュリティリスクの高まりが、企業にとってCSPMソリューションへの投資を不可欠なものにしているのです。
しかし、調査会社や分析方法によってシェアの見解が異なるため、CSPM市場全体のシェアを明確に断定することは難しい状況です。
そこで、主要な調査会社の最新レポートに基づいて、CSPM市場の現状を詳細に分析し、各ベンダーの強みや特徴をご紹介します。
- GartnerによるCSPM市場シェア
Gartnerの2024年2月発行のレポート「Market Share: Cloud Security Posture Management (CSPM), Worldwide, 2023」によると、2023年のCSPM市場シェア上位5社は以下の通りです。
MacAfee: 32.1%
Microsoft: 22.7%
Netskope: 16.4%
Crowdstrike: 8.9%
Palo Alto Networks: 7.8%
このレポートでは、MacAfeeが32.1%のシェアで首位を獲得し、Microsoftが22.7%で2位、Netskopeが16.4%で3位と、上位3社が全体の70%以上のシェアを占めています。
- IDCによるCSPM市場シェア
IDCの2024年3月発行のレポート「Worldwide Cloud Security Posture Management Market Share, 2023: Security Posture Matters as Cloud Adoption Grows」によると、2023年のCSPM市場シェア上位5社は以下の通りです。
MacAfee: 33.6%
Microsoft: 21.4%
Netskope: 15.2%
Crowdstrike: 8.2%
Palo Alto Networks: 7.6%
IDCのレポートでは、Gartnerと同様にMacAfeeが33.6%で首位を獲得していますが、Microsoftは21.4%で2位、Netskopeは15.2%で3位と、順位が若干異なっています。
- ForresterによるCSPM市場シェア
Forresterの2024年1月発行のレポート「The State Of Cloud Security Posture Management (CSPM) In 2023」によると、CSPM市場は急速に成長しており、今後5年間で年平均成長率(CAGR)24%で拡大すると予測されています。
Forresterはこのレポートの中で、CSPMツールの主要なベンダーとして、MacAfee、Microsoft、Netskope、Crowdstrike、Palo Alto Networksに加え、McAfee、Orca Security、Aqua Security、Cloudlock、VMWareなどのベンダーも紹介しています。
各CSPMツールの強みや特徴
1. MacAfee Cloud Security Posture Management
- オンプレミス、ハイブリッド、マルチクラウド環境を含む包括的なCSPM機能を提供
- MacAfeeの他のセキュリティソリューションと統合可能
2. Microsoft Defender Cloud Security Posture Management
- Microsoft Azure環境に特化したCSPMソリューション
- Azure Security Centerと密接に統合
3. Netskope Cloud Security Posture Management
- SaaSアプリケーションとクラウドインフラストラクチャの両方を保護
- SaaSアプリケーションのセキュリティリスクに特化
4. Crowdstrike Cloud Workload Protection Platform
- クラウドワークロードの保護に特化したCWPPソリューション
- CSPM機能も備えている
5. Palo Alto Networks Cloud Security Posture Management
- Palo Alto Networksのファイアウォールソリューションと統合
- ネットワークトラフィックとクラウド環境の可視性を提供
まとめ
CSPM市場は競争が激化しており、各ベンダーはそれぞれ独自の機能や強みを備えたCSPMソリューションを提供しています。
貴社にとって最適なCSPMソリューションを選ぶためには、以下の点を考慮する必要があります。
- 組織のニーズ: どのようなクラウド環境を利用しているのか、どのようなセキュリティリスクに直面しているのか
- 予算: どのくらいの予算をCSPMに投資できるのか
- 機能: どのような機能が必要なのか
- ベンダー: どのようなベンダーからサポートを受けたいのか
複数のCSPMソリューションを評価し、貴社にとって最適なソリューションを選ぶことをお勧めします。
参考情報
Gartner と IDC を参考としてシェアだけではなく各社の強みなども整理して教えてくれます。 ただ、各社の強みについてはどのような観点で比較するか、また観点毎の優先度や重要度も評価者により異なるので、これは利用する側で観点を決めて自分たちで評価する必要があります。
CSPM としての Alibaba Cloud Security Center
先述した CSPM の基本機能について Alibaba Cloud の Security Center の対応状況を確認していきます。
| 基本機能 | Security Center の対応状況 |
|---|---|
| パブリッククラウドの利用状況とリスクの可視化 | 利用可能 |
| マルチクラウドへの対応 | AWS、Azure、Tencent Cloud、Huawei Cloud |
| 設定ミスやインシデントの検知 | 利用可能 |
| 国際基準に基づいたチェック | 対応 |
パブリッククラウドの利用状況とリスクの可視化
公式ドキュメントに以下記載があります。 CSPM および CWPP (CWPPやSSPM、CASBの話はまた別の記事で)のフル機能を Security Center は持っていると。
https://www.alibabacloud.com/help/en/security-center/product-overview/what-is-security-center
- Full range of featuresSecurity Center provides a full range of features to meet the security requirements of Cloud Workload Protection Platform (CWPP) and Cloud Security Posture Management (CSPM), and protect containers throughout their lifecycle. You need to only install the Security Center agent to implement security management.
マルチクラウドへの対応
AWS や Azure 、Tencent Cloud 、Huawei Cloud を対象にできるとのこと。
You can add assets that are from third-party cloud service providers to Security Center for centralized protection and management. The third-party cloud service providers include Tencent Cloud, Huawei Cloud, Amazon Web Services (AWS), and Microsoft Azure. This topic describes how to add a third-party asset to Security Center.
https://www.alibabacloud.com/help/en/security-center/user-guide/use-multi-cloud-configuration-management
実際の Security Center の画面で見ていくと Add Multi-Cloud Asset から AWS や Azure のアイコンから Add を実行出来、
仮想マシンに Agent をインストールするか Access Key で Security Center から Azure にアクセスさせることができるようです(この先はまだ試していないので詳細は不明。 課金がどれくらいかかるか、安価なら自分の Azure や AWS アカウントと連携してその結果を別途紹介します)
設定ミスやインシデントの検知
実際のコンソール画面は以下ですが Alibaba Cloud についてはかなり詳細はチェック可能で、Pass 出来ない項目はどうすれば Pass 出来るか具体的に手順やその内容を説明してくれます。
国際基準に基づいたチェック
Security Center complies with the standards of ISO 9001, ISO 20000, ISO 22301, ISO 27001, ISO 27017, ISO 27018, ISO 29151, ISO 27701, and BS 10012. It also obtains the Security, Trust, Assurance and Risk (STAR) certificate from Cloud Security Alliance (CSA) and complies with Payment Card Industry Data Security Standard (PCI DSS).
https://www.alibabacloud.com/help/en/security-center/product-overview/what-is-security-center
今回は簡単に CSPM として Alibaba Cloud Security Center を紹介しました。 マルチクラウド対応はもうちょっと詳しくみないといけないとは思いましたが Alibaba Cloud が対象であれば間違いない選択肢だと思います。 これは約4年間自分自身で利用してきた実績にもとづく感想となっています(Security Centerに関する約40の記事はこちら)。
以上
