クラウド・セキュリティ・ポスチャー・マネジメント（CSPM）とは何か？

クラウド・セキュリティ・ポスチャ管理（CSPM）ソリューションは、クラウドのセキュリティ侵害を軽減し、最小限に抑えるのに役立ちます。CSPMツールは、クラウドセキュリティのベストプラクティスに照らしてIaaSまたはPaaS環境を自動的に評価し、すべてのクラウド構成がCIS、GCP、Azureベンチマーク、NIST、PCI、HIPAAフレームワークなどのコンプライアンス基準に従っていることを検証します。CSPMソリューションの目標は、主に自動的な検出と修正を通じて、クラウド構成とセキュリティの問題の是正を支援することです。

クラウド・セキュリティ・ポスチャー管理の必要性

CSPMが解決に役立ついくつかの課題を紹介しよう：

クラウドの責任共有モデルの誤解

クラウド・プロバイダーがセキュリティの全責任を負うわけではなく、クラウド・インフラストラクチャのバックエンドを保護する責任があるだけだ。クラウドに移行する組織は、安全な認証や暗号化からイベント・ロギングに至るまで、クラウド上の資産を保護するための対策を講じる必要がある。これらのセキュリティ対策は、データ漏洩やその他のセキュリティ・インシデントの防止に役立つ。

パブリッククラウドの設定ミス

クラウドユーザーは、データとアプリケーションを保護するために、クラウド環境を適切に設定しなければならない。しかし、すべてのクラウドユーザーが、連携ID、セキュアなロギング、パスワードの安全な保存などを適切に設定する方法を知っているわけではない。例えば、パブリッククラウドのインフラストラクチャは、アプリケーション・プログラミング・インターフェース（API）を通じてプログラム可能であり、API運用における設定の誤りは、組織を情報漏えいや侵害のリスクにさらす可能性がある。

クラウドのパーミッションの設定ミス

設定ミスは、Kubernetes、コンテナ、サーバーレス機能など、接続された複数のリソースの管理ミスによって引き起こされることが多い。一般的に、これはクラウド全体およびクラウドリソース間のデータと通信フローの可視性が欠如しているために発生する。このため組織は、リソースに権限を割り当てる際に最小権限の原則を適用できない。これはサービスアカウントとユーザーアカウントに適用される。

CSPMの重要性

脅威者はクラウドの設定ミスを頻繁に悪用し、より多くの企業がクラウドに移行するにつれて、より多くの侵害が発生している。CSPMソリューションは、クラウド資産とコンテナを追跡し、データ漏えいや侵害につながる可能性のあるクラウドの誤設定を継続的かつ自動的にチェックする。このような自動検出により、継続的にリスクを軽減することができる。

CSPMの仕組み

CSPMは、クラウドの脅威やリスクを検出するための可視性を提供し、それらの問題を修復するのに役立つ。CSPMの目標は、クラウド環境を自動的に保護することである。CSPMソリューションは、不十分な暗号化、不適切な暗号化キー管理、その他のアカウント権限の問題や設定ミスなど、多くのクラウドの問題を検出することができる。その仕組みは以下の通りだ：

すべてのクラウド資産と構成の可視化

CSPM ソリューションは、クラウド・エコシステム全体にわたって単一の真実の情報源を確立し、資産や設定の誤り、メタデータ、セキュリティ、ネットワークに関するアクティビティを自動検出します。CSPMは、プロジェクト、アカウント、仮想ネットワーク、リージョンなど、すべてのクラウド資産のセキュリティ・ポリシーを一元管理します。

クラウドセキュリティリスクの排除と修復

CSPMソリューションは、業界や組織のベンチマークと比較することで、クラウド・アプリケーションの構成を評価します。これにより、不正な変更、設定の誤り、ポートの開放など、クラウド・リソースが危険にさらされる可能性のある問題を迅速に特定し、修復することができます。これにより、コストのかかる誤設定の可能性を減らすことができます。

さらに、CSPMソリューションは、データの保存場所を監視し、適切な権限レベルが設定されていることを確認し、暗号化、高可用性、バックアップを担当するデータベース・インスタンスが有効になっていることを確認する。

脅威の特定と管理

このアプローチは、潜在的な脅威をプロアクティブに検知する。CSPMソリューションはクラウド環境を継続的に監視し、リアルタイムの脅威検知を適用する。これにより、不正アクセスのイベントだけでなく、悪意のある活動の疑いを検出することができます。CSPMソリューションは、脅威行為者が最も攻撃しそうな領域に焦点を当てることで、いくつかの目的を達成するのに役立ちます：

• 過剰容認のポリシーを特定することでリスクを削減する
• 深刻度とクラウド環境に応じた脆弱性の優先順位付け
• 継続的なモニタリングによるリスクの軽減
• クラウド環境のセキュリティ管理を維持するためのコンプライアンス・ニーズへの対応

マルチクラウド環境のオーバーヘッドを削減し、複雑さと摩擦を取り除く

CSPMソリューションは、クラウドネイティブの姿勢管理ソリューションを提供し、企業がすべてのクラウド資産を一元的に可視化して管理できるようにします。セキュリティチームとDevOpsチームは、マルチクラウド環境を一元的に可視化できます。これにより、ネットワーク、ソフトウェアビルド、アプリケーションのライフサイクル全体にわたって、侵害された資産が伝播するのを防ぐことができます。

CSPMはまた、既存のセキュリティ情報・イベント管理（SIEM）ソリューションと統合することも可能で、これにより、設定ミスやポリシー違反に対するさらなる洞察と可視性の拡張を提供します。最後に、CSPM を DevOps ツールセットと統合することで、迅速な対応と修復が可能になります。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、クラウド・セキュリティ・ポスチャー・マネジメント（CSPM）ソリューションの最適化と強化に役立つヒントを紹介しよう：

マルチクラウド・モニタリング・ダッシュボードの活用多くの組織が複数のクラウド・プロバイダを利用している。CSPMは、シームレスな監視のために、使用中のすべてのクラウドプラットフォーム（AWS、Azure、GCPなど）のコンプライアンス、脅威、設定を追跡する統一ダッシュボードを提供する必要がある。

脅威インテリジェンス・フィードを統合してプロアクティブな防御を実現リアルタイムの脅威インテリジェンス・フィードをCSPMソリューションに統合することで、設定ミスのチェックにとどまりません。これにより、標準的な設定が見逃す可能性のある、既知の悪意のあるIPやドメインのアクティビティを検出できます。

CSPM アクセスにロール・ベース・アクセス・コントロール（RBAC）を活用する。適切なロールを持つ信頼できるユーザーのみがCSPMプラットフォームにアクセスできるようにします。きめ細かなRBACにより、内部脅威やクレデンシャルの漏洩が発生した場合の暴露を制限します。

SOARで対応ワークフローを自動化セキュリティ・オーケストレーション・オートメーション・レスポンス（SOAR）ツールを CSPM と統合し、一般的な設定ミスや脅威への対応を自動化する。これにより、高リスクの脆弱性を修正する時間を劇的に短縮できる。

コンフィギュレーション・ドリフト検出の実装設定のドリフトをリアルタイムで監視する。クラウド環境を堅牢化した後でも、パッチやアップデートによってドリフトが発生する可能性があります。CSPMは、このような意図しない変更を自動的に検出して元に戻すことができなければなりません。

CSPM vs CWPP vs CASB

ここでは、CSPMと他の2つの主要なクラウド・セキュリティ・ソリューションとの違いを説明する。

クラウド・ワークロード・プロテクション・プラットフォーム(CWPP)

CWPPは、複数のプロバイダーにまたがるクラウドのワークロード保護を一元化し、場所を問わずあらゆるタイプのワークロードを保護するのに役立つ。CWPPは、マルウェア対策、脆弱性管理、アプリケーション・セキュリティなど、特に最新のインフラ要件を満たすように適合された複数の機能を提供します。

CSPMソリューションは、ワークロードだけでなく、クラウドエコシステム全体を評価するために特別に設計されている。さらに、CSPMソリューションは、自動化、人工知能（AI）、およびガイド付き修復を提供する。これにより、組織は問題を警告されるだけでなく、修復方法の指示も受けることができる。

クラウド・アクセス・セキュリティ・ブローカー（CASB）

CASBは、クラウド・サービス・プロバイダーと顧客のネットワークの間に置かれるセキュリティ実施ポイントを提供し、管理されていないエンドポイント用のミラー・プロキシ機能を持つものもある。CASBは、クラウドのトラフィックがネットワークやクラウドリソースへのアクセスを許可する前に、業界や企業のポリシーに準拠していることを確認する。CASBの特筆すべき機能には、ファイアウォール、マルウェア検知、データ損失防止、認証などがある。

CSPM は、コンフィギュレーション・ドリフトの防止やセキュリティ・オペレーション・センター（SOC）の調査と並んで、継続的なコンプライアンス・モニタリングを提供します。CSPM はまた、クラウド インフラストラクチャの望ましい状態を定義するポリシーを作成し、ネットワーク アクティビティがポリシーに準拠していることを確認します。

3 CSPMのベストプラクティス

リスクに基づく問題の優先順位付け

問題を発見したら、すぐに是正を始めないこと。問題を発見する順番は、各問題が示すリスクのレベルと必ずしも一致しません。些細な問題で時間を浪費するのではなく、アプリケーション、ひいてはビジネスに損害を与える可能性が最も高い重大な問題に労力を集中できるような方法で、リスクレベルに集中してください。

問題の優先順位をつける際には、アプリケーションやワークロードに重大な影響を与える脆弱性、またはデータや資産を公開する可能性のある問題に焦点を当てる。この優先順位付けシステムを、脆弱性管理、監視、検出を含むすべての取り組みに適用する。優先順位の高いリスクが軽減されれば、それ以下のリスクへの対応を開始することができます。

自動コンプライアンスにベンチマークを活用

リソースの自動ベンチマークと監査を可能にするCSPMソリューションとプラクティスを必ず導入すること。これには、チームが作成したプライベート・ベンチマークやカスタマイズ可能なベンチマークなど、新しいベンチマーク・コンポーネントを使用して環境内の資産を発見できるサービス・ディスカバリ機能を含める必要がある。

大半のクラウドプロバイダーは、クラウド構成の評価に役立つように設計されたベンチマークを公開している。サードパーティやユニバーサルベンチマークと並行して、ベンダー固有のガイドを使用するよう努める。

開発パイプライン全体にセキュリティチェックを導入する

DevOpsパイプラインは、ワークフローにセキュリティチェックを組み込むべきである。DevOpsパイプラインにおける開発と製品リリースのスピードは、すぐに圧倒的な量の脆弱性をもたらす可能性がある。パイプライン全体に自動化された脆弱性とポリシーのチェックを組み込むことで、これを防ぐことができる。デプロイメント自動化のための中央リポジトリを確立することは良いプラクティスであり、CSPMが最高の効率で動作するのに役立つ。

セキュリティと姿勢管理を継続的に評価することは、ソフトウェアがテスト段階や本番段階に到達する前であっても、設定ミスを回避するのに役立つ。また、問題が本番稼動に至った場合に、将来のリリースに修正策を容易に組み込むことができる。

SIEMとXDRはどのようにCSPMをサポートするのか？

CSPMと統合したセキュリティ情報・イベント管理（SIEM）ソリューションは、すべての資産と現在のセキュリティ・リスクを一元的に把握することができる。統合の目的は、誤った設定のクラウド資産やその他のクラウドの脆弱性を、より簡単かつ迅速に特定し、是正できるようにすることだ。

CSPM ツールは、DevOps や SecOps ツールと統合することで、新しいクラウドセキュリティのアーキタイプをうまく採用できるようになるというメリットもあります。これらのチームは、環境全体のリアルタイム・レポートを提供する SIEM ダッシュボードへのビューから大きな恩恵を受けることができる。

SIEMが概要を提供する一方で、拡張検知・対応（XDR）製品は、以下のようなアクティブな防御機能を提供することでギャップを埋める：

• インシデントに対応した防御策の有効化 -XDR は他のセキュリティツールと相互作用して、インシデントに関するデータを取得し、防御策を有効化することができる。
• SIEM、XDR、CSPMによって提供される複数のセキュリティレイヤーから収集されたデータを含む、資産の統一されたビューを提供する。
• クラウドシステムのエンタイトルメントやエンドポイント構成データなどのセキュリティツールを使用して、詳細なデータを照会し、操作する。
• 中央データレイクの提供 -統合されたセキュリティシステムからのすべての生イベントデータおよびSIEMから集約されたすべてのデータを保存できます。
• 機械学習（ML）と人工知能（AI）- アラートの質を向上させ、より完全な攻撃ストーリーを作成する新しい方法でデータをマージすることができます。

エクサビーム：高度なセキュリティ分析で脅威検知を強化

Exabeam Fusion Enterprise Edition Incident Responderは、SIEM、行動分析、自動化、ネットワークの可視性を強力に組み合わせ、企業が脅威を検知、調査、対応する方法を変革します。ファイアウォールのログと、エンドポイント、クラウド環境、アイデンティティ・システム、その他のセキュリティ・ソースからのデータを相関させることにより、Exabeamは、通常であれば検出されない進化する脅威について、より深い洞察を提供します。

Exabeamは、行動分析によって静的なルールやシグネチャの枠を超え、クレデンシャルの不正使用、内部脅威、ネットワーク全体の横移動を示す異常な行動を特定します。通常のユーザーやエンティティの行動を長期にわたって分析することで、Exabeamは従来のセキュリティ・ツールが見落としていたリスクの高い行動を発見します。

自動化された調査は、異種のデータポイントを包括的な脅威のタイムラインにリンクすることでセキュリティ運用を合理化し、アナリストが手作業でインシデントをつなぎ合わせる時間を短縮します。これにより、チームは攻撃の根本原因を迅速に特定し、的確に対応できるようになります。

詳細はこちらExabeam Fusion SIEM