CSPMの必要性を考えてみる
投稿者:セキュリティエンジニア 山﨑敦史
こんにちは。セキュリティ担当の山﨑です。
最近、設定ミスによる情報漏洩のニュースが後と立ちません。
2023年5月に発表がありました自動車会社の個人情報漏洩。2024年3月に発表された労務管理システムからのマイナンバーカードの情報漏洩がありました。
どちらも設定ミスによって、意図しない公開範囲になっていたことが原因です。
クラウド上の設定ミスを検知してくれるのが、CSPM(Cloud Security Posture Management)です。
今回は、そのCSPMがなぜ必要なのかということを私なりに考えてみました。
CSPM(Cloud Security Posture Management)とは
はじめに、CSPM(Cloud Security Posture Management)とは、クラウドセキュリティ態勢管理を行うソリューションのことです。
クラウドサービスのセキュリティの設定状況を可視化し、不適切な設定やコンプライアンス違反、脆弱性が無いかどうかなどのチェック、アドバイスを実施するソリューションです。
セキュリティリスクとなり得る設定・状態を自動検出することで、セキュリティインシデントを未然に防ぐことが期待できます。また、設定を自動修復する機能を持つソリューションもあります。
設定ミスは新しい情報漏洩の原因か?
設定ミスによる意図してない情報公開は、最近になって多くニュースで取り上げられており、比較的新しい情報漏洩の原因の1つかと思ってしまいがちですが、設定ミスによる意図してない情報公開は昔から存在しておりました。
クラウドがない時代は全て自社内のオンプレ環境で完結していたため、意図せず外部に公開されていたということは少なかったと思います。
ですが、社内の情報公開においては、公開範囲が定められているのにも限らず、設定ミスにより本来、閲覧できない社員も見れるようになっていたということは多くの企業や組織であったことでしょう。
それが、AWS等のクラウド利用の普及やDX推進によるSaaS利用の推進によって、設定ミスによる意図しない公開範囲が、社員や関係者のみだったものが全世界へと急激に範囲が拡大したことで、社内インシデントの原因に留まっていたものが、重大な情報漏洩の原因へと昇格したと考えています。
設定ミスはなぜ起こるのか?
では、設定ミスはなぜ起きるのでしょうか。
私は、起きる原因については大きく2つに分けられると考えています。
- 新機能の仕様や機能拡張による仕様変更への把握不足と理解不足
- 注意や意識の低下といった心身の機能低下
クラウドサービスは、ニーズのある機能や便利な機能が次々に追加されるといった点が利点です。例えば、AWSは、2020年に2757回のリリースを実施しています。
ですが、年間約3000回も実施されるアップデートを、人間のチェックだけで全てを把握し、理解することはもはや不可能と言ってよいでしょう。
そのため、人間だけのチェックに頼った運用をすると新機能の仕様や機能拡張による仕様変更の把握・理解不足となり、正しい設定ができず、設定ミスよる情報漏洩に繋がってしまいます。
注意や意識の低下といった心身の機能低下は、よくある設定ミスの原因であることは、みなさんも周知の事実だと思います。
この世に完璧な人間はいません。そのため、状況や精神状態、疲労等によっては、その人が普段しないようなミスもしてしまうことがあります。
設定ミスをしない状況や状態で設定するのが一番望ましいですが、そのような状態で常に設定できる人はいませんので、どんなに普段から気をつけていても設定ミスは発生してしまいます。
1と2の原因はいわゆるヒューマンエラーに該当し、それぞれ1は意図して起こるヒューマンエラー、2は意図せず起こるヒューマンエラーと言われたりします。
CSPMは必要なのか?
結論から言うと、CSPMは必要なソリューションであるかと思います。
「完璧な人間はいないため、人間は必ずミスをする」というのが世の中の常識でしょう。
「人間は必ずミスをする」すなわち、「ヒューマンエラーが必ず起こる」ということです。
必ずミスをする人間が設定する以上、クラウドの設定ミスも起こる可能性があります。
ヒューマンエラーが発生しないようにする対策は古今東西さまざまな対策が取られていますが、効果的な対策は人間を介さない自動設定・自動チェック体制を構築することです。
そのチェックを実施してくれるのがCSPMとなりますので、クラウドの設定ミスによる情報漏洩を発生させないためにもCSPMは必要となります。
また、CSPMを利用すると新機能やアップデートされた機能が自社のセキュリティポリシーに違反していないか自動でチェックするため、何百何千回ものアップデートの度にセキュリティポリシーに違反していないか手動で確認するという手間も取り除くことができます。
どんなCSPMがよいか
CSPMが必要なら、どんなCSPMがよいのかと迷う担当者の方も多いでしょう。
AWSやAzure、GCPといった有名なクラウドプラットフォームは、CSPM機能を提供しているため基本的には使用しているクラウドプラットフォームが提供するCSPM機能を使用すればよいかと思います。
ですが、以下の場合は、クラウドプラットフォームが提供するCSPM機能だけでは対応が難しいかと思います。
- マルチクラウド環境でシステムを運用している場合
- クラウドプラットフォームが提供するCSPM機能では使いづらい、運用が難しい場合
マルチクラウド環境であれば、AWSのCSPM機能とAzureのCSPM機能をそれぞれのプラットフォームごとに運用することとなり、一括でCSPMを運用できないため運用のコストが大きくなってしまいます。
クラウドプラットフォームが提供するCSPM機能では使いづらい、運用が難しいと感じている場合は、一度別のCSPMを検討するとよいかもしれません。
そういった場合やより機能が多い、より性能が良いCSPMを使いたいという方は、クラウドプラットフォームが提供するCSPM機能でなく、セキュリティベンダーが提供するCSPMを検討・利用するとよいかと思います。
最後に
今回は、CSPMの必要性について考えてみました。
NI+Cが取り扱っているソリューションでCSPM機能を有しているソリューションを本記事の関連ソリューションに記載しています。
気になるソリューションやCSPMについて検討している方は、弊社問い合わせ窓口までお問い合わせください。
