CSPMとは？CASB、CWPP、CNAPPとの違いや機能・メリットを解説

CSPMはクラウドサービスのセキュリティ対策を目的としたソリューションです。CSPMは「Cloud Security Posture Management」の略称で、日本語では「クラウドセキュリティ態勢管理」と訳されます。各種クラウドサービスのセキュリティ状態を定期的にチェックして安全な状態を維持します。

CSPMが必要とされる背景には、企業の急速なクラウド化があります。例えば、総務省が公表している「情報通信白書」によれば、企業におけるクラウドサービスの利用は右肩上がりに増加しており、総務省の調査に対し、クラウドサービスを「全社的に利用している」または「一部の事業所または部門で利用している」と回答した企業の割合は2021年時点で70.4％に上りました。

さらに、コロナ禍もクラウドへの移行を促進した要因のひとつです。オンプレミス環境だと出勤しなければ作業ができないという課題があります。コロナ禍を契機に、多くの企業が、地震や豪雨といった自然災害や感染症の拡大などの際に、事業の継続や早期復旧を図るBCP対策を重要視するようになりました。テレワークを取り入れる企業が増えたことも、クラウド環境への移行を促進しているといえるでしょう。

クラウド環境へ移行する際のセキュリティ対策に貢献するCSPMには、大きく分けると4つの機能があり、それぞれについて理解した上で自社に合ったソリューションを選ぶことが重要です。ここからは、4つの機能について解説します。

チェックルール設定

CSPMでは、自社に合わせてクラウド環境の設定状況に関するチェックルールを設定できます。CSPMには、セキュリティリスクにつながる設定ミスを発見するため、あらかじめチェックルールが複数用意されています。定期的にルールの追加や見直しが行われており、ユーザーは設定の負担なく効率的にクラウド環境をチェックできるでしょう。また、企業独自で設定に反映したいガイドラインがある場合は、個別にルールをカスタマイズすることも可能です。

グローバル標準への対応

CSPMの機能として、グローバル標準のセキュリティコンプライアンスに対応できる点も挙げられます。CSPMはISO/IEC 27017、NIST CSF、NIST SP 800-53、SOC 2 TYPE 2といった国際基準にもとづくチェックが可能です。自社のポリシーやガイドラインをCSPMのチェックルールと連携させることで、国際基準にもとづいたセキュリティを実現できるでしょう。

問題発見時のアラート通知

CSPMは、問題が見つかったら自動的にアラートで通知することも可能です。設定ミスや脆弱な箇所の発見など、あらかじめ設定したルールに反する事象が起きた場合、担当者に向けてアラートを送ります。ソリューションによっては、自動修正機能を活用できる場合もあります。

設定ミスの可視化

CSPMの機能のひとつに、設定ミスを可視化する機能もあります。CSPMは、設定ミスの可能性がある箇所について、誰が、いつ、どのように操作したかを可視化し、リスクの発見や対策策定の時間削減に貢献します。

CSPMは企業に多くのメリットをもたらします。導入した場合にどのようなメリットが得られるか把握した上で、導入を検討すると良いでしょう。ここでは3つのメリットを紹介します。

クラウド利用状況とリスクの状況を可視化できる

CSPMのメリットは、クラウド利用状況とリスクの状況を可視化できることです。クラウドサービスを多数利用している環境では、使用しているシステムの設定状況を把握しきれなくなることがありますが、CSPMを使えば設定の状況をダッシュボードで確認することができます。また、クラウド環境に脆弱な個所が存在するのか、そしてそれはどのような設定になっているのかについても可視化できます。

クラウドサービスを一元管理できる

利用しているクラウドサービスを一元管理できる点も、CSPMのメリットといえるでしょう。さまざまな事業者がクラウドサービスを提供していますが、多くのCSPMは代表的な事業者が提供するクラウド環境に対応可能です。そのため、異なる事業者から、複数のクラウドサービスを利用していても、CSPMで一元的に管理できるのです。

設定ミスやインシデントが検出できる

誤った設定やインシデントを、トラブルが起きる前に検出できる点も、CSPMの大きなメリットです。CSPMは、企業の担当者が把握しきれない設定の問題や潜在的なリスクを特定し、問題が顕在化する前にアラートで知らせます。この機能によって、企業は適切なセキュリティレベルを維持することが可能です。
また、EUの個人情報保護に関する規則であるGDPRなど、国際的な規制に違反するミスや脆弱性がある場合には、モニタリングや修正措置を通じて違反のリスクを回避します。

クラウド環境でセキュリティを守るソリューションは、CSPMだけではありません。代表的なソリューションには、CASB、CWPP、CNAPPが挙げられます。それぞれのソリューションの違いを理解した上で、導入対象を選定すると良いでしょう。CSPMとCASB、CWPP、CNAPPのそれぞれとの違いを説明します。

CASB

CSPMとCASB（Cloud Access Security Broker）ではチェック範囲が異なります。CSPMがクラウドサービスの設定をチェックするのに対し、CASBはクラウドの入り口で、アクセスと情報の管理をチェックし、場合によってはアクセスをブロックします。CASBは、2012年に米国で提唱されたセキュリティ対策のコンセプトです。CASBはユーザーと複数のクラウド事業者とのつなぎ役となり、利用しているすべてのクラウドサービスへのアクセスコントロール、マルウェアの検知、情報漏洩対策などを行います。

CWPP

CSPMとCWPP（Cloud Workload Protection Platform）は、提供されるセキュリティ機能が異なります。CSPMがクラウドサービスの設定をチェックするのに対し、CWPPはクラウドワークロードに対してウイルス対策や脆弱性対策、侵入防御などのセキュリティ対策を行います。CWPPはクラウドサービス上で動作する特定のアプリケーションや各種機能などについて、セキュリティガバナンスを強化することが可能です。

CNAPP

CSPMにCWPPの機能を加えたソリューションがCNAPP（Cloud Native Application Protection Platform）です。企業がオンプレミス環境からクラウド環境に移行した場合、多くのケースでは、仮想サーバを中心としたIaaS環境を使うことになるでしょう。この時に必要なセキュリティは、CWPPによるワークロードの保護、そしてCSPMによるクラウド環境全体の設定ミス対策です。そして、IaaSのみの利用にとどまらず、コンテナやFaaS、サーバレスなどのクラウドネイティブな環境を構築する際には、そのセキュリティ対策としてCNAPPに則ったソリューションを用いることが有効です。クラウド環境でソフトウェアやアプリケーションを開発する企業が増えてきたことで、CNAPPのニーズも高まっています。

トレンドマイクロが提供するTrend Cloud Oneは、CSPMやCNAPPにも対応可能です。オンプレミスからクラウドに移行するだけでなく、クラウド環境でシステムやアプリケーションを開発する企業も増えています。スピーディーかつ柔軟な開発を行うには、CSPMやCNAPPが重要です。トレンドマイクロのTrend Cloud Oneは、CNAPPに対応できる4つの製品をラインナップしています。

＜CSPMやCNAPPに対応できるTrend Cloud One4つの製品＞
クラウド環境上の設定不備を可視化する「Trend Micro Cloud One - Conformity™」
コンテナ環境を保護する「Trend Micro Cloud One - Container Security™」
脆弱性対策や多層防御を実現する「Trend Micro Cloud One - Workload Security™」
ネットワーク全体の脆弱性対策を行う「Trend Micro Cloud One - Network Security™」

クラウドを利用する多くの企業にとって、CSPMは欠かせないセキュリティソリューションです。トレンドマイクロが提供する「Trend Cloud One」では、CNAPPに対応できる4製品などさまざまなソリューションをご用意しています。ぜひ、「Trend Cloud One」をご活用ください。