クラウドセキュリティに「SSPM」を使うのが“大正解”とは言えない理由：「SSPM」「CSPM」を比較【後編】

クラウドセキュリティの鍵を握るのは、適切なツールを正しいタイミングで導入することだ。「SSPM」と「CSPM」の場合はどうなのか。必要なツールを見極めるためのポイントを説明する。

[Dave Shackleford，TechTarget]

　クラウドサービスのセキュリティを管理するツールとして、SaaS（Software as a Service）向けの「SSPM」（SaaS Security Posture Management）と、クラウドサービス全体を対象とした「CSPM」（Cloud Security Posture Management）がある。

　ユーザー企業はSSPMとCSPMのどちらを、どのようなタイミングで導入すればいいのか。それを判断することは簡単ではない。両者には違いだけではなく共通点もあり、さらにはSSPMに関して注視しておくべき動向もあるからだ。どう判断すればいいのかを整理しよう。

「SSPM」が“大正解”とは言えない理由

併せて読みたいお薦め記事

連載：「SSPM」と「CSPM」を比較

• 前編：いまさら聞けない「SSPM」「CSPM」とは？　セキュリティ管理の混同しがちな違い

クラウドセキュリティの基本を抑えるには

• いまさら聞けない「クラウドセキュリティ」の基礎　機能とその役割は？
• クラウドセキュリティのキャリアアップに役立つ「認定資格」はどれだ？

　SSPMはSaaSのセキュリティを確保するためのツール。CSPMは、PaaS（Platform as a Service）やIaaS（Infrastructure as a Service）を含めてクラウドサービスのセキュリティを確保するためのツールだ。両者には以下の共通点がある。

• IDおよびアクセス管理（IAM）機能
  • 各種クラウドサービスへのアクセス権限を一元管理できる
• コンプライアンスレポートの作成
  • コンプライアンス（法令順守）を巡るさまざまな規制や要件のレポートを作成できる
  • 例えば、セキュリティ基準「CIS Benchmarks」や「PCI DSS」への違反がないかどうかを管理できる
    • CIS Benchmarksは、セキュリティ推進団体「Center for Internet Security」（CIS）が制定したSaaSとIaaS用のガイドライン
    • PCI DSSはクレジットカード情報を保護するためのセキュリティ基準だ
• API（アプリケーションプログラミングインタフェース）露出の管理
  • 監視対象サービスのAPIが外部にどのように露出しているかを把握できる
• アラート生成とログデータの記録
  • セキュリティインシデントが発生した際にアラートを生成し、ログデータを記録することで、インシデントの対処や調査ができる

CSPMとSSPMのどちらを導入すればいいのか？

　ユーザー企業は、SSPMとCSPMのどちらを導入すべきなのか。

　SSPMを巡っては、SSPMの機能を他のクラウドセキュリティツールに統合する動きがある。例えば「CASB」（Cloud Access Security Broker）や「CNAPP」（Cloud Native Application Protection Platform）のベンダーがSSPMの統合に取り組んでいる。今後そうしたベンダーがSSPMベンダーの買収に乗り出す可能性もある。それを前提にすると、今すぐにSSPMを導入するのではなく、もう少し市場動向を見るのも賢い選択になると言える。

　CSPMはクラウドサービス全体を対象とするので、PaaSやIaaSを利用しているユーザー企業に適するツールだと言える。ただし、CSPMは他のクラウドセキュリティツールとの線引きが難しい。例えば、CNAPP製品がCSPMと同じような機能を備えていることがある。CSPMの導入を検討するユーザー企業は並行してCNAPPについても調査し、どちらが最適かを見極める必要がある。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。