メディア
ニュース
» 2022年05月25日 16時55分 公開

クラウドの「設定ミスでセキュリティ事故」を防ぐ「CSPM」でできること

クラウドにおけるセキュリティインシデントの原因は、簡単な設定ミスが95%を占め、2025年には99%になると言われている。クラウドに関わる設定ミスを防ぐ「CSPM」とはいったどういったものなのか。実際のGCPアカウント管理画面と合わせて解説する。

[大島広嵩,キーマンズネット]

 「Amazon Web Services」や「Google Cloud Platform」(以下、GCP)、「Microsoft Azure」を始めとしたパブリッククラウドの国内市場規模は1兆円を超える。今もなお急速に拡大を続けており、2025年までには年間約20%の成長が見込まれている。

 パブリッククラウドの普及が進むと同時にセキュリティリスクも高まり、サービス運営者にとって適切なセキュリティ管理が一層求められる。また、セキュリティリスクがネックでクラウドシフトを進められていないという事態も起きている。

クラウド関連のセキュリティインシデントはなぜ起こる?

 クラウド関連のセキュリティインシデントの主な原因は「単なる設定ミス」で、割合で見ると2020年時点では95%だったのが、2025年時点には99%にまで上昇すると予想される。

 設定ミスの代表的な例としては、「管理者権限でサービスアカウントが作成」「全世界からSSHできるファイアウォールのルールが存在」「検証用リソースが放置」といったことが挙げられる。こういったリスクを放置すると致命的な事故につながる危険がある。

クラウドの設定ミスの主な項目(出典:Levettyのリリース)

 設定ミスを原因とするクラウドセキュリティインシデントのリスクが高まる一方、対策が進んでいないのが実態だ。Levettyによるヒアリングの結果、多くの企業やサービスにおいてセキュリティ管理体制は以下のような状態であり、事故のリスクにさらされていると判明した。

  • クラウドのセキュリティ対策にリソースを割けていない
  • 専門知識のない社内のエンジニアが自主的にパブリッククラウドの設定をしている
  • 年一回のペネトレーションテストや脆弱性診断のみの実施

 いずれの場合もほぼ確実に設定ミスがあり、クラウドのセキュリティ管理体制として不十分な状態だ。情報漏えいやサーバ乗っ取りなどの重大なセキュリティインシデントにつながる可能性が高く、セキュリティレベルの確認や修正が必要な項目の早期の洗い出しが求められる。

クラウドの設定ミスを防ぐCSPMとは

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。