検索
特集/連載

クラウドセキュリティに「SSPM」を使うのが“大正解”とは言えない理由「SSPM」「CSPM」を比較【後編】

クラウドセキュリティの鍵を握るのは、適切なツールを正しいタイミングで導入することだ。「SSPM」と「CSPM」の場合はどうなのか。必要なツールを見極めるためのポイントを説明する。

Share
Tweet
LINE
Hatena

 クラウドサービスのセキュリティを管理するツールとして、SaaS(Software as a Service)向けの「SSPM」(SaaS Security Posture Management)と、クラウドサービス全体を対象とした「CSPM」(Cloud Security Posture Management)がある。

 ユーザー企業はSSPMとCSPMのどちらを、どのようなタイミングで導入すればいいのか。それを判断することは簡単ではない。両者には違いだけではなく共通点もあり、さらにはSSPMに関して注視しておくべき動向もあるからだ。どう判断すればいいのかを整理しよう。

「SSPM」が“大正解”とは言えない理由

 SSPMはSaaSのセキュリティを確保するためのツール。CSPMは、PaaS(Platform as a Service)やIaaS(Infrastructure as a Service)を含めてクラウドサービスのセキュリティを確保するためのツールだ。両者には以下の共通点がある。

  • IDおよびアクセス管理(IAM)機能
    • 各種クラウドサービスへのアクセス権限を一元管理できる
  • コンプライアンスレポートの作成
    • コンプライアンス(法令順守)を巡るさまざまな規制や要件のレポートを作成できる
    • 例えば、セキュリティ基準「CIS Benchmarks」や「PCI DSS」への違反がないかどうかを管理できる
      • CIS Benchmarksは、セキュリティ推進団体「Center for Internet Security」(CIS)が制定したSaaSとIaaS用のガイドライン
      • PCI DSSはクレジットカード情報を保護するためのセキュリティ基準だ
  • API(アプリケーションプログラミングインタフェース)露出の管理
    • 監視対象サービスのAPIが外部にどのように露出しているかを把握できる
  • アラート生成とログデータの記録
    • セキュリティインシデントが発生した際にアラートを生成し、ログデータを記録することで、インシデントの対処や調査ができる

CSPMとSSPMのどちらを導入すればいいのか?

 ユーザー企業は、SSPMとCSPMのどちらを導入すべきなのか。

 SSPMを巡っては、SSPMの機能を他のクラウドセキュリティツールに統合する動きがある。例えば「CASB」(Cloud Access Security Broker)や「CNAPP」(Cloud Native Application Protection Platform)のベンダーがSSPMの統合に取り組んでいる。今後そうしたベンダーがSSPMベンダーの買収に乗り出す可能性もある。それを前提にすると、今すぐにSSPMを導入するのではなく、もう少し市場動向を見るのも賢い選択になると言える。

 CSPMはクラウドサービス全体を対象とするので、PaaSやIaaSを利用しているユーザー企業に適するツールだと言える。ただし、CSPMは他のクラウドセキュリティツールとの線引きが難しい。例えば、CNAPP製品がCSPMと同じような機能を備えていることがある。CSPMの導入を検討するユーザー企業は並行してCNAPPについても調査し、どちらが最適かを見極める必要がある。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る