クラウドセキュリティの第一歩 CSPMとは？

こんにちは



一応、セキュリティ業界にいる人間の端くれなので、

セキュリティについても語っていきたいと思っている所存です。

今回は、
クラウドセキュリティの
第一歩とも言える

CSPMについて書いていきます。

まずなんの略かと言うと
Cloud Security Posture Management
です。

直訳すると
クラウドセキュリティの姿勢管理となりますが、

それは一旦忘れてください。



CSPMとは、

一言で言うと
「クラウド上の設定ミスによるリスクを減らす」
ことを目的とした一つのソリューションです。


クラウド上の設定ミス？

という気持ちになっている方もいるかもしれません。


主には、

AWSやAzureなどの
パブリッククラウド上に
システムやサービスを
構築している方々向けのものです。



クラウド上にシステムやサービスを
構築しているということは、

クラウド上にネットワークを
構築することになります。



そしてネットワークがあるということは、

ルーティングやアクセス制御の
設定をしなければいけません。

誰がどこにアクセスできて、
誰はできないのか。

どこからであればアクセスできて、
どこからはできないのか。


そういった設定をしっかり
行わなければいけないのです。


ただし大前提としては、

そういったシステムや
サービスを構築するのに

パブリッククラウドは非常に便利です。


サーバーやストレージ、
スイッチなどの機器を買って、

それらを設置するラックを用意して、

ラックを配置するデータセンターを管理して、

データセンターと機器を上手く運用して、

といったようなヘビーな業務が省略されます。



そういった業務は
クラウドベンダーに任せて、

クラウドベンダーが持つ
巨大なデータセンターの中で稼働している

無数の機器の機能(リソース)だけを
サービスとして使わせてもらって、

そのサービス利用分だけを
ベンダーに支払うだけでいいのです。


機器を所持するのとは違い、
無駄なコンピューターリソースを持つ必要はなく、

また追加のリソースが必要になったら
クリック一つで簡単に、
それも高速に追加できます。


クラウドは便利で
非常に使い勝手の良い物だ
ということは忘れないでください。


しかし先程述べたとおり、

クラウド上のデータを守るためには、
しっかりとトラフィック制御を
行わなければなりません。


その際に、
以下の2つは注意して
いなかければいけないと
僕は考えています。



1つは、
パブリッククラウドはインターネット上にある
ということです。


いやいや、
あたりまえじゃないか
と言われてしまうかもしれませんが、

インターネット上にあるということは
外部公開されているのがデフォルト
と考えてしかるべきです。


油断していると、

公開してはいけない機密データが
知らぬ間に公開されていた

なんてことにもなりかねないのです...。



そして2つめは、

パブリッククラウドの利点の一つである

簡単にリソースや設定を追加できる

ということです。



パブリッククラウドに
ログインできること。

ログインするユーザーに
権限が付与されていること。


この二つの条件さえ揃っていれば

GUIの操作で簡単に、
自由に変更を加えることができます。



クリックだけの操作ですから、

ネットワークの知識が無くても、
意図していない操作であっても、

それはもう簡単に設定が変わってしまうのです。



これらの設定を怠った結果として
何らかの被害を被ったとしても、

誰も助けることはできません。


パブリッククラウドでは

責任共有モデル(共同責任モデル)

という考え方があり、
クラウド上の資産管理の責任は
ユーザー側にあるのです



何となくでやらず、
きちんと考えられた構築が必要です。



さて、ここまで少々雑ではありながら

パブリッククラウドに潜むリスクについて

書いてきました。


そしてそのリスク、
つまり設定ミスを防ぐことができるのが

Cloud SecurityPosture Management
(CSPM)なのです。


CSPMは、

コンサルティングや
テクノロジー企業の評価を行う

アメリカのGartnerという企業が提唱した
クラウドセキュリティの考え方の一つです。



もっと言えば、
Gartnerは他にもクラウド上に必要な
セキュリティの考え方をまとめており、

特にクラウドネイティブな
アプリケーションの保護を実現する

CNAPP(Cloud Native Application Protection Platform)というものを提唱しています。


CSPMは

その"Platform"の中の一機能なのです。



CNAPPについては

別の機会にお話ししたいと

思います。



ということで
CSPMの話に戻りましょう。



クラウド上の設定ミスを防ぐために、

以下の3つの機能が不可欠です。

・クラウド上のリソース、ネットワーク設定の可視化

・一般的なセキュリティガイドラインに沿ったクラウドの設定評価

・上記二つを定期的に実施



これらの3つの機能について
もう少し深堀っていきます。


・クラウド上のリソース、ネットワーク設定の可視化

設定ミスを見つけるには、

大前提としてクラウド上に
どのリソースを稼働させているか、

どのようなネットワークを構築しているか、

といった情報を常に把握しておく必要があります。



冒頭で述べた通り、

クラウド上の状態を把握するのは

非常に難しいため、

人力だけに頼るのは危険です。



・一般的なセキュリティガイドラインに沿ったクラウドの設定評価

これはクラウド上のシステムが
所謂コンプライアンス違反をしていないか

を確認する機能です。

設定ミス発見の一環として、
まずは既存のガイドラインに
沿った設計になっているか

ということを確認することも重要です。



・上記二つを定期的に行う

定期的にがポイントですが、

簡単に設定が変わる=変化が激しい
という特性を持ったパブリッククラウドでは

一度確認できたから終わり
ということは決してありません。



油断せず、

定期的に検査をし、
設定変更やミスを見逃さない

ということが必要です。



そしてそれを

人の目で確実に行っていく

ということが如何に非現実的かは

想像に難くないところだと思います。



人間の力を過信してはいけません。

情報量が多いクラウド環境では特に
人間だけでどうこうできる内容ではありません。



とういことで、

語れば長くなるCSPMについて、
できる限りシンプルに書いたつもりです。


まだまだ書きたいことは
山ほどありますが、

ひとまずここまでの内容を
上手く説明できていれば幸いです。

ではまた。