クラウドの設定ミスに効く2つの処方箋、何が違う?どう選ぶ? 「CNAPP」「SSPM」選択の分岐点

3行でわかる本記事のサマリ

  • クラウド環境は複雑化し、セキュリティや管理工数の増大が課題となっている。
  • クラウドセキュリティの対策として、CASB、SASE、SSEなどのソリューションが有効。
  • CNAPP(CSPMとCWPPの機能を持つ)は、クラウド設定監査やワークロードの保護を自動化し、クラウドセキュリティを強化する。

目次
■複雑性を増すクラウド環境
■具体的なリスクとクラウドセキュリティ導入すべき対策とは?
【社員などが利用するクラウドサービス】
【公開環境や開発環境向けのクラウドサービス】
■CNAPPとSSPMとは何か?
■CNAPP概要とその選択ポイント
■SSPM概要とその選択のポイント


複雑性を増すクラウド環境

企業におけるクラウド利用が加速するにつれ、より複雑な環境下で運用していくことが求められています。SaaSについては、重要データが重複されて管理されており、インターフェースが異なることで共通した管理やガバナンスの統制が難しい環境になりつつあることでしょう。また、IaaS/PaaS領域では技術革新によってコンテナやマイクロサービスなどシステム構造がそれぞれ入り組んでおり、マルチクラウド環境も広がるなかでセキュリティや管理工数の増大が見られているのが現状です。

クラウドにおいて管理体系の標準的なベンチマークに関しても、NIST(National Institute of Standards and Technology)やCIS(Center for Internet Security)など複数の機関が示したものが存在しており、人材が不足するなかでそれぞれベンチマークに準拠した設定確認を行うことは困難を極めます。GDPR(General Data Protection Regulation:一般データ保護規則)など個人データ保護規制も各国で活発化しており、グローバルにビジネスを展開するうえではそれらへの対応も迅速に行う必要があります。

具体的なリスクとクラウドセキュリティ導入すべき対策とは?

当然ながら、保護対象となる情報がクラウド上にあるため、情報漏えいへの備えはもちろん、事業継続に向けて業務停止リスクにも対処する必要があります。クラウド環境を利用して外部にサービス提供している場合は、サービス停止が回避できる環境づくりも必須となってくることでしょう。

それらリスクが起こりうる原因については、利用が許可されていないクラウド利用や内部不正やアカウントの不正利用、そしてクラウドの設定ミスなどいくつかの要因が考えられます。そんなリスクにつながる可能性を最小限に排除していくためには、もともとクラウド自身が備えるセキュリティ機能を活用しながら、クラウド環境に適したセキュリティサービスとなるクラウドセキュリティのソリューションと組み合わせていくことが求められるのです。

クラウドセキュリティには、すでに多くのソリューションが市場に展開されていることはご存じの通りでしょう。それらをうまく組み合わせて自社に最適な環境づくりを進めていくことが必要ですが、大きくはSaaSを中心とした「社員などが利用するクラウドサービス」と、IaaSやPaaSを活用した「公開環境や開発環境向けのクラウドサービス」双方におけるセキュリティ対策に大別できます。

セキュアなクラウド利活用1.png

【社員などが利用するクラウドサービス】


SaaSを中心とした社員が利用するクラウドサービスについては、クラウド自体のセキュリティレベルの調査をはじめ、クラウド環境の可視化やコンプライアンス監視、ユーザ動作の検知、制御、設定監査などが対策として必要です。そのためのソリューションに挙げられるのが、多くの企業で導入検討が進むCASBをはじめ、SSPM(SaaS Security Posture Management)やSASE、SSEと呼ばれるものです。

SASEについては、ゼロトラストネットワークの中核的なコンポーネント群としてよく話題になっています。SASEは、クラウド中心のセキュリティ機能とネットワークソリューションを組み合わせることで、これまでの境界防御を中心としたセキュリティ対策における課題を解決できるもの。クラウドの利用状況を可視化してセキュリティや監査を強化するためのCASBも、SASEが備えるコンポーネントの1つに含まれます。またSSEは、SASEにおけるSecurity As A Serviceの部分の機能を提供するもので、ZTNAやCASB、Secure Web Gatewayなどがそのコアコンポーネントとなります。

セキュアなクラウド利活用2.png

【公開環境や開発環境向けのクラウドサービス】

公開環境や開発環境などIaaSやPaaSなどのクラウドサービスについては、安全に利用するための設定監査をはじめ、インベントリの可視化やワークロードの運用管理、脆弱性チェックといった対策が求められます。そのためのソリューションには、CSPM(Cloud Security Posture Management)やCWPP(Cloud Workload Protection Platform)、そしてそれらを包含したCNAPP(Cloud Native Application Protection Platform)と呼ばれるソリューション群が挙げられます。

CNAPPとSSPMとは何か?

これらソリューション群のなかで最近注目されているのが、IaaS/PaaS領域におけるCNAPP、そしてSaaS領域におけるSSPMです。これらのソリューションは、クラウドの設定ミスや管理不足による情報漏洩リスクやインシデントを未然に防ぐための機能が備わっています。

実は、さまざまな市場調査からクラウドにおけるインシデント要因を見てみると、設定ミスと不適切な設定・変更管理などがその上位に位置付けられています。他のインシデント要因に関しても、十分な設定が行われていないことによってもたらされるインシデントが少なくないのが実態です。データ侵害や不正アクセスは、きちんとしたクラウド設定をしていくことで防げるものが多く、クラウドにおいて設定管理を適切に行うことが、セキュリティ対策上重要なポイントになってくるのです。

クラウドの設定ミスや管理不足を解消するためには、目視やAPIを活用した手作業での管理はもちろん、外部の設定監査サービスを利用することで対処することが可能です。しかし、管理するための工数が膨大にかかるだけでなく、変化の激しいクラウド環境だけに、スポットでの対応になると定常的な把握が難しく、いずれ十分な設定が反映されない事態を招くことも。
運用を考慮すれば、そもそも適切な設定として参考になる各種ベンチマークとの比較や設定修正へのアドバイスなどがツールにて自動化され、かつ自社で負担なく継続管理していける環境づくりが欠かせません。そこで登場してくるのが、CNAPPやSSPMと呼ばれるソリューションです。

セキュアなクラウド利活用3.png

CNAPP概要とその選択ポイント

CNAPPとは、クラウドの設定監査やコンプライアンス監視を行うCSPMと、アプリケーションやデータ含めた各種ワークロードの可視化やその保護、脆弱性監査などを担うCWPPそれぞれの機能を持ち、特権管理などの機能を付加したソリューションです。本番としての実行環境はもちろん、開発中の環境においても監査項目に応じてスキャンを実施し、ランタイムワークロードの保護が可能で、自動的かつ継続的に監視することでクラウド全体のセキュリティを強化することに役立ちます。

セキュアなクラウド利活用4.pngCNAPPを導入することで、クラウドセキュリティ向上に向けた多くのメリットが得られます。クラウドセキュリティ全体の強化はもちろん、組織役割が変化した際にも共通のツールとして対応でき、PCI-DSSやHIPPA、NIST800-53といったセキュリティ基準にもうまく活用可能です。もちろん、自動化されたプロセスによって人手による管理工数を劇的に削減できるなど、業務効率化にも大きく貢献してくれます。

セキュアなクラウド利活用5.png

そんなCNAPPですが、各ベンダから多くのソリューションが提供されているため、ソリューション選びに悩んでいる方もいることでしょう。実は6つの視点で見ていくことで、CNAPP選びの勘所が見えてきます。詳細については、ページ下部のWPに詳細が記載されていますので、ぜひ参考にしてみてください。

【1】運用に大きく影響する可視化の性能
【2】将来性も考慮したうえで意識したいマルチクラウド対応
【3】クラウド上に保管されたデータの識別、制御
【4】ゼロトラストも意識したIDセキュリティ(特権管理)
【5】他のセキュリティソリューションとの統合
【6】クラウドセキュリティに関する知見を持つパートナーの存在

上記のポイントをおさえたうえで最適なソリューションとなるのが、パロアルトネットワークスが提供する「Prisma Cloud」、そしてMcAfee Enterpriseから分割して誕生したSkyhigh Securityが提供する「Skyhigh SSE」です。それぞれ統合的なクラウドセキュリティプラットフォームとなるCNAPPとして導入実績が豊富であり、マクニカとして自社に最適なソリューション選びがお手伝いできます。製品情報ページを参照いただいたうえで、ぜひお問合せください。

SSPM概要とその選択のポイント

CNAPPと並んで重要になってくるのが、SSPMと呼ばれるソリューションです。SSPMは、利用している各SaaSの設定を見直し、安全な状態で使えるようにするソリューションで、従業員がSaaSを利用する上でのリスクの洗い出しを支援するCASB領域とは異なり、SaaSを安全な設定で利用できているかのチェックを支援するものです。CASBとともに利用することで、設定ミスなどのリスクを解消しながら、従業員の利用状況からリスクを抽出するような環境が整備できるようになります。

セキュアなクラウド利活用6.png

SSPMを選択する際には、SOC2やCIS、ISO/IEC 27001といったセキュリティベンチマークをもとに設定診断項目がきちんと用意されているかどうかを確認したいところです。また、設定ミスなどの影響範囲や脅威レベル、そして改善方法などがきちんと提示されるか、そして利用しているSaaSのセキュリティリスクの可視化やスコア化など、管理者にとって負担なく運用できる機能が備わっているかどうかを見極めていくべきです。
ここで重要になってくるのは、対応しているSaaSの種類が十分にあるかどうかという点です。自社で利用しているSaaSが対応していない場合、個別に運用せざるを得ないため、その対応状況はしっかりと確認しておきましょう。

具体的なソリューションとしては、SSPMソリューションとして世界的な導入実績が多いAdaptive Shieldです。SSPMにおいては対応SaaS数が圧倒的の多く、幅広いデータ収集方法に対応していることが大きな特徴となっています。日本においても導入が進んでいるソリューションですので、機能の詳細については製品ページを見ていただければと思います。



▼本内容を解説したセミナー動画のご視聴はこちら

動画視聴申し込みはこちら.png

クラウドを セキュアに利活用するために、導入すべき対策(再生時間:20分50秒)
DXやリモートワークの普及に伴い、企業のクラウド利用が増加する中、クラウドからの情報漏洩のニュースも、IaaS/PaaS/SaaSに関わらず増えてきています。情報漏洩やその他の脅威から、クラウド上の資産を守るために「クラウドセキュリティ」が重要です。しかし、その適用範囲は広く、複雑なため、なかなかクラウドセキュリティの全体像を把握することができていないのが現状ではないでしょうか。本セッションでは、クラウドを利用・管理する上でのリスクをご紹介し、どのような対策アプローチがあるのか、クラウドセキュリティの全体像を分かりやすく解説します。



▼後悔しないクラウドセキュリティ選び「6つの視点」
クラウド環境のセキュリティ、どんな論点で考えるべき!? 

ホワイトペーパーのダウンロードはこちら3.JPG

多くの企業でデジタルトランスフォーメーションへの取り組みが加速するなか、クラウドサービスは業務基盤に欠かせないものとして広く利用されている。当たり前のようにクラウド上に重要なデータが保管されるようになったことで、セキュリティ対策についても新たな対策が求められてくる。そんなクラウド環境におけるセキュリティ対策に必要な環境づくりは、どんな視点が重要になってくるのだろうか。クラウドならではの特徴について押さえながら、いま企業に求められるクラウドセキュリティにおける最適解とその選択の勘所について考えてみたい。

メルマガ登録バナー(セキュリティ).jpg

ランキング