// シス担のミカタ
クラウドセキュリティ

CSPM(Cloud Security Posture Management) しーえすぴーえむ

クラウドセキュリティ設定ミスコンプライアンス可視化リスク管理DevSecOps
CSPMについて教えて

簡単に言うとこんな感じ!

クラウドの「設定がちゃんとセキュアになってるか?」を自動でチェックし続けてくれるツールだよ!「S3バケットが誰でも見られる状態になってた…」みたいな設定ミスを放置しないために使うんだ。クラウドの見張り番みたいな存在だね!

CSPMとは

CSPM(Cloud Security Posture Management) とは、クラウド環境全体のセキュリティ設定を継続的に監視・評価し、設定ミスやコンプライアンス違反を自動で検出・是正するセキュリティ管理の手法およびツール群のことです。「クラウドセキュリティ態勢管理」とも訳されます。

クラウドサービスはAWSやAzure、Google Cloudなど複数のプラットフォームにまたがることが多く、ストレージ・ネットワーク・IAM(アクセス権限)など無数の設定項目が存在します。そのどこか一か所でも設定を誤ると、情報漏えいやサイバー攻撃の入口になってしまいます。実際、クラウドにおけるセキュリティインシデントの大半は「攻撃が巧妙だったから」ではなく、設定ミス(Misconfiguration) が原因だと言われています。

CSPMはこうした膨大な設定をスキャンし、「このS3バケットはパブリック公開になっている」「多要素認証が無効になっているIAMユーザーがいる」といった問題を自動で洗い出してアラートを上げてくれます。担当者が手動でチェックするのが現実的ではないクラウド環境において、常に全体を俯瞰する目として機能するのがCSPMの役割です。

CSPMが監視・管理する主な領域

管理領域具体的な監視内容リスクの例
ストレージ設定S3バケット・Blobのアクセス制御機密データが誰でも閲覧可能
IAM/アクセス権限過剰な権限・MFA未設定不正アクセス・権限昇格攻撃
ネットワーク設定セキュリティグループファイアウォールルール不要なポート開放
ログ・監査設定CloudTrailなどのログ有効化インシデント発生時に追跡不能
暗号化設定保存データ・通信の暗号化有無データ盗取時の被害拡大
コンプライアンスPCI DSS・ISO 27001・CISベンチマーク準拠規制違反・監査不合格

覚え方:「姿勢(Posture)」というキーワード

“Posture”は「姿勢・態勢」という意味です。CSPMは「今この瞬間、クラウドのセキュリティの姿勢(体制)はどうなっているか?」を継続的に問い続けるツールだと覚えると、名前の意味がしっくりきます。健康診断で「姿勢が悪くなっていませんか?」を定期チェックするイメージですね。

CSPMの動作サイクル

①スキャン        ②検出           ③優先順位付け    ④是正
クラウド設定を → セキュリティ  → 重大度・影響度 → 自動修正 or
継続的に収集      リスクを特定    でランク付け      推奨手順を提示

歴史と背景

  • 2010年代前半 ― AWSをはじめとするパブリッククラウドが急速に普及。開発者が手軽にインフラを構築できる反面、セキュリティ設定が後回しにされる問題が顕在化
  • 2017年〜 ― S3バケットの誤設定による大規模データ漏洩事故が相次ぐ(Verizon・Booz Allen Hamiltonなど)。クラウド設定ミスの危険性が広く認知される
  • 2018年 ― Gartnerがクラウドセキュリティ分野のカテゴリとして「CSPM」という言葉を定義・整理し、業界標準の用語として定着
  • 2019〜2020年クラウドネイティブ化の加速に伴いCSPMツール市場が急成長。Palo Alto Networks(Prisma Cloud)・WizOrca SecurityなどのCSPMツールが台頭
  • 2021年以降 ― CSPMはCNAPP(Cloud Native Application Protection Platform)という広いカテゴリの一部として統合される流れに。シフトレフト(開発初期段階でのセキュリティ対策)の考え方とも融合し、DevSecOpsの重要要素として位置づけられる

類似ツール・概念との比較

CSPMは「クラウドセキュリティ」という大きな括りの中の一ピースです。似た名前や関連ツールが多いので整理しましょう。

略語正式名称主な対象CSPMとの違い
CSPMCloud Security Posture Managementクラウドの設定・構成設定ミスの検出・是正がメイン
CWPPCloud Workload Protection PlatformVM・コンテナのワークロード実行中のプロセス脆弱性を保護
CIEMCloud Infrastructure Entitlement Mgmtアクセス権限の過剰付与IDと権限管理に特化
CNAPPCloud Native Application Protectionクラウドアプリ全体CSPM+CWPP+CIEMなどを統合
SIEMSecurity Info and Event Managementログ・イベント相関分析オンプレ含む広域ログ分析
CNAPP(クラウドネイティブアプリ保護)の構成 CNAPP CSPM クラウド設定の 監視・是正 (設定ミス検出) CWPP ワークロード (VM・コンテナ) の実行時保護 CIEM アクセス権限の 過剰付与を検出 (最小権限の徹底) 共通基盤:可視化・リスクスコアリング・コンプライアンスレポート AWS / Azure / Google Cloud などマルチクラウドを横断して一元管理 開発パイプライン(CI/CD)との統合によりシフトレフトを実現

関連する規格・RFC

規格・ガイドライン内容
CIS Benchmarks(クラウド版)AWS・Azure・GCPの安全な設定基準。CSPMツールの判定ルールのベースとして広く採用
NIST SP 800-144クラウドコンピューティングのセキュリティ・プライバシーに関するガイドライン
ISO/IEC 27017クラウドサービスに特化した情報セキュリティ管理策の国際規格

関連用語

  • IAM — クラウドにおけるユーザーやサービスのアクセス権限を管理する仕組み
  • ゼロトラスト — 「社内ネットワークも信用しない」を前提にしたセキュリティモデル
  • SIEM — ログやイベントを収集・相関分析してセキュリティ脅威を検出するプラットフォーム
  • DevSecOps — 開発・運用・セキュリティを一体化した開発文化・手法
  • コンプライアンス — 法令・規格・社内規定を遵守している状態を指すビジネス用語
  • マルチクラウド — 複数のクラウドサービスを組み合わせて利用する構成
  • 脆弱性管理 — システムの弱点を継続的に発見・評価・対処するプロセス
  • CNAPP — CSPM・CWPP・CIEMなどを統合したクラウドネイティブアプリ保護プラットフォーム