セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場技術・仕組みクラウド監視ってなにを監視するの？

クラウド監視ってなにを監視するの？

2021.10.20 技術・仕組み

ＣＳＰＭ
ＣＷＰＰ
サービス形態に合わせたソリューションの活用を

クラウド監視とは、契約をしているクラウドサービスの稼働状況を監視することであり、代表的なものとしてCSPMとCWPPという２つのソリューションが存在します。

ＣＳＰＭ

CSPMは Cloud Security Posture Management の略称であり、クラウド環境のセキュリティ構成を管理する仕組を意味します。CSPMではパブリッククラウドサービスの設定がセキュアであるかを監視します。

パブリッククラウドの設定をセキュアにするために従うべき基準は、利用するクラウド基盤や機能、業界によりさまざまですが、代表的なものとしてCISベンチマークなどが挙げられます。CSPMでは、このような基準やコンプライアンスへの適合状況の監視を自動化し、意図しない設定ミスやコンプライアンス違反を継続してチェックできます。また利用するCSPMサービスにもよりますが、AWSやAzureなどの複数のクラウドアカウントを組み合わせた環境に対しても、共通の基準で基盤を横断的に監視・管理できるなどの利点も挙げられます。

CSPM｜サクッと読めるセキュリティ用語解説

CSPM 概要
CSPMの有効性と特徴

ＣＷＰＰ

CWPPは Cloud Workload Protection Platform の略称であり、クラウドワークロードを保護する仕組を意味します。CWPPではワークロード（仮想マシンやコンテナ等）のセキュリティを監視します。

ここで「クラウドワークロード」とは、クラウド基盤上の仮想マシン、コンテナ、サーバレスアプリケーションなどの計算リソースを指します。CWPPにおけるワークロードの保護はCWPP製品により異なりますが、主な機能としてパッケージのバージョン管理、システム設定、ログインやプロセスの監視などが挙げられます。多くのCWPPではエージェントをワークロードに組み込むことで当該ワークロードのセキュリティを監視します。これにより、単純なサーバ監視では困難な、より計算リソースに近い箇所でのセキュリティを保護し、問題を極小化することが可能になります。また、多くのCWPPではコンテナなどの動的スケーリングする計算リソースの保護を可能にしており、このようなクラウド環境に特徴的な計算リソースの保護・管理を容易にしています。

CWPP｜サクッと読めるセキュリティ用語解説

CWPPとは
CWPPの概要とCSPMとの違い

サービス形態に合わせたソリューションの活用を

CSPMではクラウド基盤のAPIを用いて、管理コンソール上の設定や管理操作のログなどを取得し、CISベンチマークなどのコンプライアンスに違反する脆弱な設定を検知・監視します。一方、CWPPではクラウド上のワークロード（仮想マシンやコンテナなど）にエージェントを導入し、当該ワークロードが脅威に晒されていないかを監視します。それぞれ保護の対象や提供する機能が異なるため、IPS/IDSやWAFなどの他の計算リソース監視・保護とともに、適切に組み合わせることが望ましい対応となります。

CSPM、CWPPについては、主にAWSやAzureといったクラウド基盤（PaaS、IaaS）を対象としておりますが、SalesforceなどのSaaSについてもサービス設定を診断・監視するソリューションが存在します。

これらのソリューションにより監視や管理の負荷を抑えつつ、クラウドをセキュアに運用することが可能になります。今後、クラウド活用がますます活発化するなかで、このようなクラウド診断・監視サービスはますます重要なものになると考えられます。

あなたの疑問を一緒に解決します！

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します！
ぜひご気軽にご投稿ください。

お問い合わせ

クラウドの脆弱性診断にご興味があるかたはこちら

お問い合わせ

この記事の著者櫻林賢治

前職では大手電機メーカーのグループ会社にて、主にWebアプリケーションのシステム開発業務に従事。 2016年より3年間、独立行政法人情報処理推進機構（IPA）に派遣され、標的型サイバー攻撃の被害に遭われた企業・団体に対する、インシデント初動対応の支援業務に従事する。IPAでの業務経験により、サイバーセキュリティの業界に関心を持ち、2020年4月より、株式会社SHIFT SECURITYに入社。同社ではクラウド環境の脆弱性診断、監視業務に従事。