いまさら聞けない「SSPM」「CSPM」とは? セキュリティ管理の混同しがちな違い「SSPM」「CSPM」を比較【前編】

クラウドセキュリティツールの名称は覚えにくい横文字となっていることがよくある。「SSPM」「CSPM」もそうだ。この2つはどのようなツールなのか。両者の機能を含めて、違いを解説する。

2024年06月27日 05時00分 公開
[Dave ShacklefordTechTarget]

 クラウドインフラやそこで稼働するアプリケーションを守るためには、クラウドに最適化したセキュリティの手法を採用することが重要だ。とはいえ似たような名称のツールが数多く存在し、自組織に適切なものを選ぶことは簡単ではない。例えば、「SSPM」(SaaS Security Posture Management)と「CSPM」(Cloud Security Posture Management)がある。両者はそれぞれどのようなツールで、何が違うのか。

「SSPM」と「CSPM」はここが違う

 SSPMはSaaS(Software as a Service)向けのセキュリティツールだ。PaaS(Platform as a Service)やIaaS(Infrastructure as a Service)といった他のクラウドサービスは対象外になる。SSPMの主な機能は以下の通りだ。

  • SaaSの構成と設定が正しいかどうかのチェック
  • API(アプリケーションプログラミングインタフェース)接続を含むアプリケーション間のアクセス制御
  • IDおよびアクセス管理(IAM)とアクセス権限付与の管理

 SSPMの中には、以下の機能を備えたツールもある。

  • 従業員デバイスのセキュリティリスクの評価とレポート作成
  • IT部門が承認していないITツールの利用(シャドーIT)の把握や管理
  • コンプライアンス(法令順守)違反の発見

 SaaSによっては、SSPMツールを利用できない場合がある。SSPMツールを導入する前に、自社が利用するSaaSでSSPMツールが使えるかどうかを確認しておこう。

CSPMとは

 CSPMは、PaaSやIaaSを含めてクラウドサービスのセキュリティを確保するためのツールだ。クラウドサービスの構成と設定が正しいかどうかのチェックに加え、脆弱(ぜいじゃく)性を特定するための機能も持つ。CSPMツールは、「Amazon Web Services」(AWS)や「Microsoft Azure」「Google Cloud」といった主要クラウドサービス群での利用を想定している。「Alibaba Cloud」や「Oracle Cloud Infrastructure」(OCI)で利用できるCSPMツールもある。

 CSPMツールはクラウドインフラの「可視性」を高めることを主な目的としている。例えば、クラウドストレージサービス「Amazon Simple Storage Service」(Amazon S3)のバケット(データ保存領域)やコンテナの監視ができる。

 現在、市場には多数のCSPMツールがひしめき、その機能は多岐にわたっている。CSPMツールを選定する際には、導入しているクラウドサービスを全面的に監視できるかどうかを確認することが重要だ。特に以下の機能が含まれているかどうかをチェックしよう。

  • ロール(従業員の役割)に基づいたIAM
  • ストレージ向けセキュリティ
  • ソフトウェアの脆弱性とエクスポージャー(リスクにさらされている部分)の可視化
  • ネットワークアクセス制御

 後編は、SSPMとCSPMのどちらを導入すべきかを考える。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news075.png

Z世代の告白手段は「直接」が大多数 理由は?
好きな人に思いを伝える手段として最も多く選ばれるのは「直接」。理由として多くの人は...

news100.jpg

日本はなぜ「世界の旅行者が再訪したい国・地域」のトップになったのか 5つの視点で理由を解き明かす
電通は独自調査で、日本が「観光目的で再訪したい国・地域」のトップとなった要因を「期...

news023.jpg

誰も見ていないテレビ番組にお金を払って露出する意味はあるのか?
無名のわが社でもお金を出せばテレビに出してもらえる? 今回は、広報担当者を惑わせる...