Tenable ブログ
ブログ通知を受信するクラウドインフラストラクチャのリスクを軽減する最新の CSPM ツールの選び方
コードからランタイムまで、パブリッククラウドの設定ミスを検出して修正するにはクラウドセキュリティ体制管理が必須
ビジネスプロセスをデジタルトランスフォーメーションするため、パブリッククラウドサービスの採用が熱心に行われています。しかしその結果、レガシーツールでは対処できない重大なクラウドベースの脆弱性に直面することになりました。これらソフトウェアの欠陥、設定ミス、なりすましを見つけて修正するには、クラウドセキュリティ体制管理 (CSPM) ソリューションが必要となります。
数年前に最初に導入された CSPM 製品は、いくつかのイノベーションサイクルを経て、現在ではクラウドセキュリティ市場で主流の地位を占めています。しかし、需要の高いテクノロジーでよくあることですが、市場で話題になると、セキュリティ担当者が自社にとってどのソリューションが最適なのかを判断する際にノイズが多すぎて判断が難しくなることがあります。
しかし、問題ありません。Tenable が選び方を解説します。
このブログ投稿では、CSPM とは何か、どの機能が必要なのか、自企業のクラウドセキュリティのニーズに適したソリューションを選択するにはどのような事柄に注意を払うべきかについて説明します。
CSPM に関する意外と知られていない事実
何年もの間、企業はパブリッククラウドインフラストラクチャの使用を促進してきましたが、パンデミック中に IT 部門がリモートワークの増加に急速に対応しようとしたため、過剰に採用される結果となりました。
このトレンドにより、CSPM を含むクラウドセキュリティウェアの採用が加速しました。CSPM は、パブリッククラウドインフラストラクチャ向けに開発および展開されたアプリケーションやサービスで、セキュリティとコンプライアンスの問題 (設定ミスなど) の検出と解決を自動化します。
当初、CSPM は、ランタイム環境で安全な構成ベースラインを確立し、ドリフトを監視することに重点を置いていました。クラウドインフラストラクチャが実行時に定義および管理される場合、このアプローチで十分だったからです。
しかし現在では、クラウドインフラストラクチャの大部分は開発段階でコードとして定義および管理されています。そして、この傾向は今後も強まると予想されています。つまり、開発中に設定ミスが発生する可能性が高まるということです。
したがって、インフラのコード化 (Infrastructure-as-Code: IaC) の人気が高まっていることから、CSPM は、実行時だけでなく開発中も設定ミスを検出して解決する「シフトレフト」を行えるものである必要があります。
現代の CSPM で注意すべき 3 つのこと
CSPM 製品を評価する際は、次の 3 つの主要な領域で機能が提供されていることを確認するようにしてください。
IaC の保護
CSPM ソリューションは、開発中、コードを書いている時に IaC をスキャンして、設定ミスを検出して解決し、安全なベースラインを確立する必要があります。これにより、クラウドインフラストラクチャにリスクがプロビジョニングされず、確実に「安全に生成」できるようになります。
この際に確認すべき重要な事項は以下の通りです。
- どのタイプの IaC をサポートしているのか?また、どのコンプライアンスおよびセキュリティ標準がサポートされているのか?
- 利用できる定義済みポリシーの数は?
- どのように侵入経路を特定し、問題解決の優先順位が付けられるのか?
- 設定ミスを解決し、プルリクエストを作成するためのコードは自動的に生成されるのか?
- ソリューションはどの CI/CD ツールと統合されるのか?
実行時のインフラストラクチャ構成の監視
ユーザーによって実行時に構成が変更されてドリフトが起きることがあるため、CSPM は、実行時に IaC ベースラインに対して構成を継続的に監視して安全な環境を維持できるものである必要があります。
この際に確認すべき重要な事項は以下の通りです。
- 対応するランタイム環境は?
- IaC を通じて定義された安全なベースラインに対して、リソースの作成または終了の識別が可能か?
- IaC ベースラインの定義に対して、変更されたリソース設定の識別が可能か?
- IaC の評価に使用した一連のポリシーをランタイムにも適用できるか?
- ランタイムに潜在的な侵害経路を特定する方法と解決に向けた問題の優先順位付けを行う方法は?
IaC による修復
信頼できる唯一の情報源として常に IaC を参照している CSPM である必要があります。そのため、変更によってリスクが発生した場合、クラウドインスタンスは安全な IaC ベースラインに基づいて再デプロイされます。再デプロイされない場合は、変更を反映して新しい IaC ベースラインを確立するように IaC が更新されます。
この際に確認すべき重要な事項は以下の通りです。
- ランタイムに変更があった場合、問題を解決するコードの自動生成が可能か?
- IaC を更新してランタイムに発生したドリフトを修正する、コードに対するプルまたはマージのリクエストはプログラムによって作成可能か?
この記事の情報が、御社にとって最適な CSPM を選択するための一助になれば幸いです。
関連記事
- Cloud