用語集 › 🔒 セキュリティ › CSPM(シーエスピーエム)
【しーえすぴーえむ】

CSPM(シーエスピーエム) とは?

💡 クラウドの「鍵の閉め忘れ」を自動で見つける
📌 このページのポイント
CSPM:クラウド設定のセキュリティ監視 クラウド環境 S3バケット IAMポリシー セキュリティグループ 暗号化設定 スキャン CSPM 設定をベスト プラクティスと比較 継続的に監視 設定ミス検出 S3が公開状態 ⚠ 暗号化未設定 ⚠ → アラート通知 準拠OK IAMポリシー適切 ✓ SG設定適切 ✓ クラウドの設定ミスを自動検出しセキュリティリスクを低減 CIS / NIST などのベンチマークに準拠しているか継続チェック
CSPMのイメージ
ひよこ ひよこ

クラウドの設定ミスってそんなに多いの?

ペンギン先生 ペンギン先生

驚くほど多いよ。クラウドの情報漏洩事故の約8割は設定ミスが原因と言われているんだ。S3バケットを誰でもアクセスできる設定にしてしまったり、セキュリティグループのポートを全開放にしたままにしたり…

ひよこ ひよこ

CSPMはどうやって見つけるの?

ペンギン先生 ペンギン先生

クラウド環境(AWSAzureGCPなど)のAPIに接続して、すべてのリソースの設定を自動スキャンするんだ。CISベンチマークPCI DSSなどの基準と照らし合わせて「この設定は危険です」と教えてくれるよ

ひよこ ひよこ

自動で修正もしてくれるの?

ペンギン先生 ペンギン先生

製品によっては自動修正(Auto Remediation)機能もあるよ。「公開設定のS3バケットを見つけたら自動で非公開にする」といったルールを設定できるんだ。ただし誤って正規の設定を変えてしまうリスクもあるから、最初は通知のみで運用するのが安全だね

ひよこ ひよこ

どんなツールがあるの?

ペンギン先生 ペンギン先生

AWS SecurityHub、Azure Defender for Cloud、Google Security Command Centerなど各クラウドの純正ツールのほか、Prisma Cloud、Wiz、Orcaなどサードパーティ製品も人気だよ。マルチクラウド環境ではサードパーティが便利だね

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「CSPM」って出てきたら「クラウドの設定ミスを自動で見つけるセキュリティツール」と思えればだいたいOK!
📖 おまけ:英語の意味
「Cloud Security Posture Management」 = クラウドセキュリティ態勢管理
💬 Posture(姿勢・態勢)を管理する。クラウドのセキュリティ設定が正しい「姿勢」になっているか常にチェックするよ
🔗 あわせて読みたい
← 用語集にもどる