ロード・トゥ・ザ・ホワイトハッカー

ホワイトハッカーはじめました

CSPM(Cloud Security Posture Management : クラウドセキュリティ状態管理)

CSPMとは

クラウドのセキュリティ事故の99%は人為的ミスによるもの、という話をよく聞く。

実際の統計の存在は良く分からない。

2019年のガートナーの記事で、「Through 2025, 99% of cloud security failures will be the customer’s fault.」というものがある。これの拡大解釈なのだろうか?

www.gartner.com

たしかに、クラウドの設定次第で意図していない情報の公開が漏洩になる事例はよく見る。クラウドの利用者が気づきにくい、ということもあり、そういうセキュリティ状態を管理するものがCSPMと呼ばれている。

例えば、Palo Alto Networksが提供しているCSPM、「Prism Cloud」などが有名。

www.paloaltonetworks.jp

AWSGCP、Azureなどのクラウドサービスのセキュリティ状態をチェックしてくれるクラウドサービス。クラウド脆弱性診断、と言えるだろうか。

 

VMwareは、無償ツールを提供しているようです。

atmarkit.itmedia.co.jp

美味しい話の裏があり、利用するには以下の3つの手順を踏む必要がある。

  • VMwareにメールを登録する
  • VMware Cloud Services」にアカウントを作成する
  • CloudHealth Secure Stateの「VMware Cloud Services Organization」に企業が利用しているクラウドを関連付けさせる

ということで、VMwareさんに契約しているクラウド情報が筒抜けに。

クラウド同士でAPIでの情報収集になるので、CSPMのセキュリティの確保、という話も出てこないのか。

クラウド側でのセキュリティチェック

クラウドサービス内でセキュリティチェックができるサービスは存在する。

AWS : AWS Secuirty Hub(有料)
GCP : Cloud Security Command Center(無料・有料)

クラウドサービスのことは、そのクラウドが一番詳しいはずなので、まずは、これらを実施するのが有効なのでは。