CSPMとのつきあい方

Transcript

1. 1 CSPMとのつきあい方 2025/02/28@CloudSec JP #001

2. 2 2 今日のお話で伝えたいこと CSPMと仲良くなろう！ • CSPMにユーザとして期待する点 • CSPMにユーザとして期待しない方が良い点 • ユーザ自身で見るべき観点

3. 3 3 本題に入る前に。。 CSPM製品はこの世にどれくらいあるでしょうか？

4. 4 4 ヒント：EDR Firewall https://www.g2.com/categories/endpoint-detection-response-edr https://www.g2.com/categories/firewall-software

5. 5 5 ヒント：CIEM SSPM CNAPP https://www.g2.com/categories/cloud-infrastructure-entitlement-management-ciem https://www.g2.com/categories/saas-security-posture-management-sspm-solutions https://www.g2.com/categories/cloud-native-application-protection-platform-cnapp

6. 6 6 CSPM製品は意外と世の中にあふれている 技術的な参入障壁の低さと、クラウド需要がその要因？ https://www.g2.com/categories/cloud-security-posture-management-cspm

7. 7 7 なぜ今CSPMの話をする？ • CSPMについて（ベンダーフラットに）語った資料無くない？ • 市場が成熟してきた一方でユーザ側の知見を公開しているナレッジは少ない • 特にサードパーティのCSPMはベンダー提供の情報が多い。 •

   これまでいくつかのCSPMを触って感じている、CSPMの理想と限界について共 有します。

8. 8 8 アジェンダ • CSPMの理想 • CSPMの限界 • CSPMとのつきあい方

9. 9 9 注意 • 特定のベンダーを貶めたり持ち上げる意図はありません。 • あくまで現時点で調査/検証による見解です。

10. 10 10 CSPMの理想

11. 11 11 CSPMの定義おさらい https://www.gartner.com/en/information- technology/glossary/cloud-security-posture-management “CSPMは、一般的なフレームワーク、規制要件、および企業ポリシーを適用して、クラウド サービスの設定およびセキュリティ設定のリスクの発見と評価をする”

12. 12 12 なぜCSPMを使うのか 継続的にクラウドリスクの評価が出来る仕組みの現実案がCSPM。 • 膨大にあるリソースを人力でリスク評価するのは非現実的。 • 頻繁にリソースの増減や変更のあるクラウド環境では、ワンショットの脆弱性診断だ けでは不十分。

13. 13 13 CSPMに求められる要素 仕組みとして機能させるために「楽して運用できる」が不可欠。 • CSPMの運用で害がある要素 • 重要でないアラートがたくさん出てくる。 • 環境ごとにチューニングが必要。

    • 修正方法が分からない or 間違った修正方法で余計なコスト発生

14. 14 14 理想のCSPM像 CSPM入れたら、勝手にいい感じにセキュリティリスク評価してくれる • クラウド上のセキュリティリスクになりうるすべてのリソースや設定を監視 • 意図的な設定であるかも加味して、重大な脆弱性を正確に検知する。 • 修正方法を見れば、だれでも修正ができる。

15. 15 15 CSPMの限界

16. 16 16 そもそもCSPMの仕組み • クラウドベンダーが提供するAPIで構成情報を取得。 • ロジックを書いて機械的に脆弱な状態かを判断する SSHがインターネットに公開さ れているリソースを検知したい 場合、Security

    Groupの構成情報 を取得し、 toPortが22でipRangesが0.0.0.0/0 の設定を検知するロジックを書 く

17. 17 17 機械的な判断である以上、コンテキストの把握は限界がある。 • リソースによっては、正確に検知できないことがある。 • いじわるな例ですが、下記の様なケースは検知できないCSPMが多い 0.0.0.0/0ではなく、 0.0.0.0/1 （0.0.0.0

    ～ 127.255.255.255）と 128.0.0.0/1 （128.0.0.0 ～ 255.255.255.255）の2つを許可 するルールを書いていたら？

18. 18 18 過剰な検知をしてくることも • S3で公開された静的ページであってもCloudFrontにWAFが無いことを検知 してくることもある。 • 過剰なセキュリティ対策が推奨されると、余計なコストが発生してしまうのが CSPMのやっかいなところ CloudFront

    S3 WAF？

19. 19 19 CSPMの限界 このように機械的な仕組みでやる以上、正確な検知はある程度妥協が必要。 • 次の様な設定はCSPMに正確性を求めること難しく、期待するべきでない観 点と考えている。 CSPMが苦手な領域 例 コンテキストによって判断

    が分かれるもの ・複数の設定値を組み合わせることで脆弱に なる項目（ネットワークの設定などに多い） ・意図的に設定をすることが想定される項目 実装方法が多岐にわたるよ うな設定 ・通知の仕組み 権限周りの詳細な精査 ・カスタムロールの中身まで紐解く検査 ・プリンシパルの特性を把握した精査 APIが提供されていないサー ビス ・Entra IDの一部設定はAPIで構成取得が出来な い。

20. 20 20 CSPMとのつきあい方

21. 21 21 CSPMは微妙なのか？ 過剰な期待は禁物。 • ある程度の網羅性は期待してよい。 • 簡単に評価の仕組みが手に入る手軽さもありがたい

22. 22 22 CSPMとどのようにつきあっていくべきか CSPMが見てくれているから安心では無い 見ない範囲 or 苦手な範囲があると理解して利用するのが大事。 • 苦手な範囲 or

    見えない範囲をどうするか？ • 苦手と分かっているサービスや、リソースはCSPMの検知を鵜呑みせず人の手でチェック • サービスによってはCIEM、SSPMも検討。

23. 23 23 最後に • 具体的に苦手な項目や検知できない項目はリサーチ途中。今後の CloudSecで発表するかも？