クラウド監視とは、契約をしているクラウドサービスの稼働状況を監視することであり、代表的なものとしてCSPMとCWPPという2つのソリューションが存在します。
CSPMは Cloud Security Posture Management の略称であり、クラウド環境のセキュリティ構成を管理する仕組を意味します。CSPMではパブリッククラウドサービスの設定がセキュアであるかを監視します。
パブリッククラウドの設定をセキュアにするために従うべき基準は、利用するクラウド基盤や機能、業界によりさまざまですが、代表的なものとしてCISベンチマーク などが挙げられます。CSPMでは、このような基準やコンプライアンスへの適合状況の監視を自動化し、意図しない設定ミスやコンプライアンス違反を継続してチェックできます。また利用するCSPMサービスにもよりますが、AWSやAzureなどの複数のクラウドアカウントを組み合わせた環境に対しても、共通の基準で基盤を横断的に監視・管理できるなどの利点も挙げられます。
CWPPは Cloud Workload Protection Platform の略称であり、クラウド ワークロードを保護する仕組を意味します。CWPPではワークロード(仮想マシンやコンテナ等)のセキュリティを監視します。
ここで「クラウド ワークロード」とは、クラウド基盤上の仮想マシン、コンテナ、サーバレスアプリケーションなどの計算リソースを指します。CWPPにおけるワークロードの保護はCWPP製品により異なりますが、主な機能として パッケージのバージョン管理、システム設定、ログインやプロセスの監視などが挙げられます。多くのCWPPではエージェントをワークロードに組み込むことで当該ワークロードのセキュリティを監視します。これにより、単純なサーバ監視では困難な、より計算リソースに近い箇所でのセキュリティを保護し、問題を極小化することが可能になります。また、多くのCWPPではコンテナなどの動的スケーリングする計算リソースの保護を可能にしており、このようなクラウド環境に特徴的な計算リソースの保護・管理を容易にしています。
CSPMではクラウド基盤のAPIを用いて、管理コンソール上の設定や管理操作のログなどを取得し、CISベンチマークなどのコンプライアンスに違反する脆弱な設定を検知・監視します。一方、CWPPではクラウド上のワークロード(仮想マシンやコンテナなど)にエージェントを導入し、当該ワークロードが脅威に晒されていないかを監視します。それぞれ保護の対象や提供する機能が異なるため、IPS/IDSやWAFなどの他の計算リソース監視・保護とともに、適切に組み合わせることが望ましい対応となります。
CSPM、CWPPについては、主にAWSやAzureといったクラウド基盤(PaaS、IaaS)を対象としておりますが、SalesforceなどのSaaSについてもサービス設定を診断・監視するソリューションが存在します。
これらのソリューションにより監視や管理の負荷を抑えつつ、クラウドをセキュアに運用することが可能になります。今後、クラウド活用がますます活発化するなかで、このようなクラウド診断・監視サービスはますます重要なものになると考えられます。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
