いまさら聞けない「SSPM」「CSPM」とは？ セキュリティ管理の混同しがちな違い：「SSPM」「CSPM」を比較【前編】

クラウドセキュリティツールの名称は覚えにくい横文字となっていることがよくある。「SSPM」「CSPM」もそうだ。この2つはどのようなツールなのか。両者の機能を含めて、違いを解説する。

[Dave Shackleford，TechTarget]

　クラウドインフラやそこで稼働するアプリケーションを守るためには、クラウドに最適化したセキュリティの手法を採用することが重要だ。とはいえ似たような名称のツールが数多く存在し、自組織に適切なものを選ぶことは簡単ではない。例えば、「SSPM」（SaaS Security Posture Management）と「CSPM」（Cloud Security Posture Management）がある。両者はそれぞれどのようなツールで、何が違うのか。

「SSPM」と「CSPM」はここが違う

併せて読みたいお薦め記事

クラウドセキュリティの基本を抑えるには

• いまさら聞けない「クラウドセキュリティ」の基礎　機能とその役割は？
• クラウドセキュリティのキャリアアップに役立つ「認定資格」はどれだ？

　SSPMはSaaS（Software as a Service）向けのセキュリティツールだ。PaaS（Platform as a Service）やIaaS（Infrastructure as a Service）といった他のクラウドサービスは対象外になる。SSPMの主な機能は以下の通りだ。

• SaaSの構成と設定が正しいかどうかのチェック
• API（アプリケーションプログラミングインタフェース）接続を含むアプリケーション間のアクセス制御
• IDおよびアクセス管理（IAM）とアクセス権限付与の管理

　SSPMの中には、以下の機能を備えたツールもある。

• 従業員デバイスのセキュリティリスクの評価とレポート作成
• IT部門が承認していないITツールの利用（シャドーIT）の把握や管理
• コンプライアンス（法令順守）違反の発見

　SaaSによっては、SSPMツールを利用できない場合がある。SSPMツールを導入する前に、自社が利用するSaaSでSSPMツールが使えるかどうかを確認しておこう。

CSPMとは

　CSPMは、PaaSやIaaSを含めてクラウドサービスのセキュリティを確保するためのツールだ。クラウドサービスの構成と設定が正しいかどうかのチェックに加え、脆弱（ぜいじゃく）性を特定するための機能も持つ。CSPMツールは、「Amazon Web Services」（AWS）や「Microsoft Azure」「Google Cloud」といった主要クラウドサービス群での利用を想定している。「Alibaba Cloud」や「Oracle Cloud Infrastructure」（OCI）で利用できるCSPMツールもある。

　CSPMツールはクラウドインフラの「可視性」を高めることを主な目的としている。例えば、クラウドストレージサービス「Amazon Simple Storage Service」（Amazon S3）のバケット（データ保存領域）やコンテナの監視ができる。

　現在、市場には多数のCSPMツールがひしめき、その機能は多岐にわたっている。CSPMツールを選定する際には、導入しているクラウドサービスを全面的に監視できるかどうかを確認することが重要だ。特に以下の機能が含まれているかどうかをチェックしよう。

• ロール（従業員の役割）に基づいたIAM
• ストレージ向けセキュリティ
• ソフトウェアの脆弱性とエクスポージャー（リスクにさらされている部分）の可視化
• ネットワークアクセス制御

---

　後編は、SSPMとCSPMのどちらを導入すべきかを考える。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。