クラウドセキュリティ態勢管理 (CSPM) は、自動化されたリスクチェック、ベースラインスキャン、攻撃パス分析を通じて、クラウド資産のセキュリティリスクを検出し、管理します。この機能は、クラウドサービスの設定ミスやサーバー構成の欠陥などのセキュリティ脆弱性を特定し、不適切な構成によるリスクの修正を推奨します。
ユースケース
クラウド資産のセキュリティチェックを実行する
説明: クラウドリソースの包括的なセキュリティ評価を実行するには、クラウドサービス設定チェックとベースラインチェックを組み合わせます。
手順:
初期評価: 100 を超える無料のチェック項目を使用して、クラウドサービスとサーバーの予備的なリスクスキャンを実行します。
詳細なスキャンと修正: 有料版 (従量課金またはサブスクリプション) を有効にすると、すべてのチェック項目を使用して詳細なスキャンを実行し、検出されたリスクを修正できます。
コンプライアンスと内部セキュリティ基準を満たす
説明: 多層防御体系 (MLPS) 2.0 などの特定のセキュリティ基準を満たすため、または内部セキュリティベースライン要件を満たすために、ベースラインチェックを使用して、自動化されたコンプライアンス監査と継続的な監視を行うことができます。
手順: この機能には、MLPS 2.0 や CIS などの主要な基準に対応する組み込みのコンプライアンスチェックパッケージが含まれています。また、カスタムポリシーもサポートしているため、自動化されたコンプライアンス監査に最適な選択肢です。
潜在的な内部攻撃パスを分析してブロックする
説明: 侵害されたリソースを攻撃者が悪用して横方向に移動し、他のコア資産にアクセスする可能性のある潜在的なパスを分析してブロックするには、攻撃パス分析を使用します。
手順: この機能は、個別の構成リスクをインテリジェントにリンクし、完全な攻撃パスを視覚的なトポロジーグラフで表示します。例:
一般公開されている ECS→権限の高い RAM Role にバインドされている→すべてのコア OSS バケットを制御できる。
コア機能
クラウドサービス設定チェック
クラウドサービス設定チェックは、クラウド資産の構成をスキャンして、過度に寛容な ECS セキュリティグループルールや一般公開されている OSS バケットなど、不適切な構成によるセキュリティ脆弱性やコンプライアンスギャップを見つけて修正します。
次の図はワークフローを示しています。詳細については、「クラウドサービス設定チェック」をご参照ください。
ベースラインチェック
ベースラインチェックは、ホストのオペレーティングシステムをスキャンします。業界標準とセキュリティのベストプラクティスに基づいて、弱いパスワード、安全でない構成、重要なパッチの欠落などの問題を特定し、修正を支援してコンプライアンスを確保します。
次の図はワークフローを示しています。詳細については、「ベースラインチェック」をご参照ください。
攻撃パス分析
攻撃パス分析は、クラウドサービス間のアクセスパス (たとえば、付与された RAM Role を介して OSS バケットを制御する ECS インスタンス) を包括的にスキャンおよび分析します。視覚化を提供して、クラウドサービス間の接続と潜在的なリスクポイントを明確にします。これにより、不要なアクセス権限を特定し、悪用される可能性のある潜在的な弱点を発見できます。
次の図はワークフローを示しています。詳細については、「攻撃パス分析」をご参照ください。
課金
課金の概念
クォータ: クォータは、CSPM の有料機能の測定単位です。資産インスタンスで課金対象の操作 (スキャン、検証、または修正) を正常に実行すると、1 クォータ単位が消費されます。
たとえば、10 個のプロダクトがあり、それぞれに 15 個のインスタンスがあり、5 個のチェック項目ですべてのインスタンスをスキャンすることを選択した場合、タスクは
10 × 15 × 5 = 750クォータ単位を消費します。インスタンス: インスタンスは、OSS バケットや ECS セキュリティグループなどの特定のクラウドリソースを指します。
チェック項目: チェック項目は、無料チェック項目と有料チェック項目の 2 つのカテゴリに分類されます。
無料チェック項目: クラウドサービス設定チェックは、基本的なリスク認識のための一連の無料チェック項目を提供します。スキャンと検証の回数に制限はありません。正常な修正のみがクォータを消費します。
重要2023 年 7 月 7 日より前に CSPM (旧称クラウドサービス設定チェック) を承認したユーザーは、サブスクリプションの有効期限が切れる前と更新時の両方で、元の Security Center エディション (Anti-virus Edition で 80+、Advanced Edition で 90+、Enterprise/Ultimate Edition で 250+) に対応する数の無料チェック項目に引き続きアクセスできます。
有料チェック項目: これらには、対応するサービスエディションの購入または CSPM サービスの個別のアクティベーションが必要です。費用はエディションの料金に含まれるか、クォータを消費します。
課金の詳細については、「課金の概要」をご参照ください。
課金の詳細
Security Center は、サブスクリプションと従量課金の 2 つの課金モデルを提供します。これらのモデルは、クラウドサービス設定チェック、ベースラインチェック、および攻撃パス分析をカバーしています。各モデルでサポートされる機能と課金の詳細は次のとおりです。
有料モデルを選択する前に、Basic Edition で基本的な検出機能を試すか、7 日間の無料トライアルに申し込んで Enterprise Edition の全機能を評価できます。
Basic Edition の機能: Security Center の Basic Edition は、クラウドサービス設定チェックの無料チェック項目の検出と検証をサポートしています。リスク修正、ベースラインチェック、または攻撃パス分析はサポートしていません。
7 日間の無料トライアルに申し込む: Enterprise Edition のすべての機能にアクセスできます。サポートされている内容の詳細については、以下のEnterprise Edition サービスの説明をご参照ください。
サブスクリプション
この前払いプランは、長期的なセキュリティニーズを持つユーザーに最適で、より優れたコスト管理を提供します。これらの機能は、サービスエディション (Advanced、Enterprise、Ultimate Edition など) または CSPM 付加価値サービスを購入することで利用できます。
Advanced、Enterprise、または Ultimate Edition の購入
重要現在のエディションが Anti-virus または付加価値プランで、CSPM 付加価値サービスを購入していない場合、クラウドサービス設定チェックの無料チェック項目を検出および検証できます。ただし、リスク修正、ベースラインチェック、および攻撃パス分析はサポートされていません。
機能
機能の詳細
クォータ消費
クラウドサービス設定チェック
チェック項目: 無料チェック項目。
説明Ultimate Edition は追加で KSMP チェック項目をサポートします。
操作: 検出と検証はサポートされています。修正はサポートされていません。
クォータを消費しません。
ベースラインチェック
チェック項目:
Advanced Edition: 弱いパスワードのチェック項目のみをサポートします。
Enterprise Edition: コンテナーセキュリティに関するものを除くすべてのチェック項目をサポートします。
Ultimate Edition: すべてのチェック項目をサポートします。
操作: スキャン、検証、修正がサポートされています。
エディション料金に含まれており、クォータを消費しません。
攻撃パス分析
サポートされていません
N/A
CSPM 付加価値サービスの購入
重要同時にサービスエディションを購入する場合、機能のサポートは次のようになります:
Advanced、Enterprise、または Ultimate Edition の場合: 現在のエディションによって、ベースラインチェックでサポートされるチェック項目と操作が決まります (Advanced、Enterprise、または Ultimate Edition の説明をご参照ください)。クラウドサービス設定チェックと攻撃パス分析はエディションの影響を受けず、詳細は以下の表に記載されています。
Anti-virus Edition および付加価値プランの場合: ベースラインチェック、クラウドサービス設定チェック、および攻撃パス分析はエディションの影響を受けず、詳細は以下の表に記載されています。
機能
機能の詳細
クォータ消費
クラウドサービス設定チェック
チェック項目: すべてのチェック項目 (無料 + 有料)。
操作: 検出、検証、修正がサポートされています。
無料チェック項目: 正常な修正はクォータを消費します。
有料チェック項目: スキャン、検証、または正常な修正はクォータを消費します。
ベースラインチェック
チェック項目: すべてのチェック項目。
操作: 検出、検証、修正がサポートされています。
スキャン、検証、または正常な修正はクォータを消費します。
攻撃パス分析
サポートされています
この機能は有料の CSPM サービスに含まれており、クォータを消費しません。
従量課金
これは、柔軟、短期的、または動的にスケーリングするシナリオに適した従量課金プランです。これらの機能は、CSPM 従量課金機能を購入することで利用できます。
ホストとコンテナーの保護従量課金機能のみを購入した場合、クラウドサービス設定チェックの無料チェック項目を検出および検証できます。ただし、リスク修正、ベースラインチェック、および攻撃パス分析はサポートされていません。
機能 | 機能の詳細 | クォータ消費 |
クラウドサービス設定チェック | チェック項目: すべてのチェック項目 (無料 + 有料)。 操作: 検出、検証、修正がサポートされています。 |
|
ベースラインチェック | チェック項目: すべてのチェック項目。 操作: 検出、検証、修正がサポートされています。 | スキャン、検証、または正常な修正はクォータを消費します。 |
攻撃パス分析 | サポートされています | この機能は有料の CSPM サービスに含まれており、クォータを消費しません。 |
はじめに
サービスの購入と有効化: CSPM の承認と有効化。
プロダクト機能の使用:
クラウドサービス設定チェック
クラウドサービスの追加: チェック対象のクラウドサービスを追加する。
ポリシーの設定と実行: チェックポリシーを設定して実行する。
リスクの処理: 失敗したチェック項目を表示して処理する。
ベースラインチェック
サーバー資産の追加: エージェントをインストールする および サーバーを管理する。
ポリシーの設定と実行: ベースラインチェックポリシーを設定して実行する。
リスクの処理: ベースラインリスクを表示して処理する。
攻撃パス分析: 攻撃パス分析
よくある質問
課金とクォータ
サブスクリプションから従量課金に切り替えることはできますか?
直接切り替えることはできません。サブスクリプションの有効期限が切れるのを待つか、サブスクリプションを解除してから、従量課金を有効にする必要があります。
重要サブスクリプションの解除または有効期限切れ後、サブスクリプションからの未使用のクォータは失効します。
クォータが不足した場合はどうなりますか?
サブスクリプションモデル: 残りのクォータがスキャンタスク全体を完了するのに不十分な場合、タスクは途中で停止します。システムは、クォータがなくなる前に完了したチェックの結果のみを表示します。エディションをスペックアップするか、クォータを追加購入するには、「スペックアップ」をご参照ください。
従量課金モデル: クォータの制限はありません。システムは実際の使用量に基づいて継続的に課金し、すべてのタスクが完了するまで実行されることを保証します。
機能の使用
CSPM を使用してセキュリティ強化を迅速に開始するにはどうすればよいですか?
有効化と承認: CSPM サービスを有効にし、プロンプトに従って必要な管理権限を付与します。
チェックする資産の追加: チェックしたいクラウドサービスインスタンス (ECS、RDS など) を Security Center に追加します。
チェックの実行と修正: チェックポリシーを設定してスキャンを実行します。スキャンが完了したら、リスクレポートと修正の推奨事項に基づいてセキュリティ強化を実行します。
Security Center を使用してデータベース構成をより安全にするにはどうすればよいですか?
Security Center は、次の 2 つの方法でデータベースのセキュリティを強化します:
CSPM:
範囲: データベースの外部構成リスクをチェックします。
チェック例: アクセス制御ホワイトリストが過度に寛容であるか、自動バックアップとログ監査機能が有効になっているか。
ベースラインチェック:
範囲: データベースがホストされているサーバーの内部セキュリティの欠陥をチェックします。
チェック例: データベースのログインアカウントに弱いパスワードがあるか、サーバー構成がセキュリティのベストプラクティスに準拠しているか。
サブスクリプションの解除と無効化
CSPM 機能を無効にするにはどうすればよいですか?
Basic Edition: この機能を無効にする必要はありません。Basic Edition は限定的な検出機能のみを提供し、料金やクォータの消費は発生しません。
Subscription Edition: 「スペックダウン」をご参照ください。注文管理センターで、Security Center エディションを CSPM 機能のないエディションにスペックダウンします。
Pay-as-you-go Edition: 概要 ページの Pay-as-you-go エリアで、Cloud Security Posture Management を無効にします。