■ガイドラインの内容(抜粋・要約)
2.3.4.5. クラウドサービス利用時の対策
【基本的な対応事項】
-
情報公開等の設定にミスがないか確認すること。
-
設定の妥当性の確認においては、必要に応じて専門家によるシステム監査や誤設定の自動検知等の診断サービス等を利用すること。
-
責任分界に応じて、サービス仕様が変わる際には影響を確認すること。
クラウド利用におけるリスクを継続的に管理することが求められています。
対応策の1つとして、クラウドセキュリティソリューションが注目されています。
■クラウドセキュリティソリューションの全体像
クラウドサービスは、一般的にIaaS、PaaS、SaaSの3つに分類されます。
各環境で誤設定やコンプライアンス上の問題がないかを継続的に監視・確認することが重要です。
※CNAPPは製品によって上記図以外にも多岐にわたる機能が搭載されている場合がございます。
※IaaS/PaaSの設定監視のみではなく、ワークロード保護やアイデンティティ保護等、統合的に管理したい場合はCNAPPを推奨します。
■CSPMとSSPMの概要
IaaS、PaaS、SaaS環境に対して設定の監視・監査、CISなどの基準によるコンプライアンスチェックを提供し、情報漏洩に繋がる設定ミスの防止とセキュリティ基準や規制への準拠を支援します。さらに、マルチクラウド/アカウントや複数SaaS利用環境下でも一元的な管理が可能です。
CSPMのイメージ
SSPMのイメージ
■CSPMとSSPMによる課題解決
CTCが提供するクラウドセキュリティソリューション
CSPM・SSPMソリューション
Orca Security ≫
製品/セキュリティに精通したエンジニアが、クラウドセキュリティ強化に向けた企画検討からお客様要件に合わせた製品選定やPoCの実施、製品オンボーディングまでを伴走型で支援。
運用サービス
クラウド(IaaS、PaaS)環境を安全に利用するためのセキュリティ運用支援サービス。
クラウドセキュリティ製品(Palo Alto Networks社 Prisma Cloud、Orca Security社 Orca Securityなど)を用いて、設定/リスク管理の高度化、効率化を実現。