Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

CSPMとのつきあい方

Avatar for NantokaNare NantokaNare
February 28, 2025
Technology
0
280

 CSPMとのつきあい方

Avatar for NantokaNare

NantokaNare

February 28, 2025
Tweet

Other Decks in Technology

See All in Technology
CARTAのAI CoE が挑む「事業を進化させる AI エンジニアリング」 / carta ai coe evolution business ai engineering
Avatar for CARTA Engineering carta_engineering
0
1.9k
学習データって増やせばいいんですか?
Avatar for fumihiko takahashi ftakahashi
2
490
AIの長期記憶と短期記憶の違いについてAgentCoreを例に深掘ってみた
Avatar for やくも yakumo
4
440
OCI Oracle Database Services新機能アップデート(2025/09-2025/11)
Avatar for oracle4engineer oracle4engineer
PRO
1
210
AWS運用を効率化する!AWS Organizationsを軸にした一元管理の実践/nikkei-tech-talk-202512
Avatar for 日本経済新聞社 エンジニア採用事務局 nikkei_engineer_recruiting
0
100
シニアソフトウェアエンジニアになるためには
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
3
180
Strands Agents × インタリーブ思考 で変わるAIエージェント設計 / Strands Agents x Interleaved Thinking AI Agents
Avatar for Takanori Suzuki takanorig
2
180
生成AIを利用するだけでなく、投資できる組織へ / Becoming an Organization That Invests in GenAI
Avatar for 株式会社カミナシ kaminashi
0
110
LLM-Readyなデータ基盤を高速に構築するためのアジャイルデータモデリングの実例
Avatar for Kashira kashira
0
270
ハッカソンから社内プロダクトへ AIエージェント「ko☆shi」開発で学んだ4つの重要要素
Avatar for そのだ sonoda_mj
4
150
AIプラットフォームにおけるMLflowの利用について
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
1
170
AI時代の新規LLMプロダクト開発: Findy Insightsを3ヶ月で立ち上げた舞台裏と振り返り
Avatar for Dakuon dakuon
0
210

Featured

See All Featured
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
127
17k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
Avatar for Joe Casabona jcasabona
34
2.6k
Designing for Performance
Avatar for Lara Hogan lara
610
69k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
58
6.2k
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.8k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
1.1k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
54
7.9k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
174
15k
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
140k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
340
57k
Code Review Best Practice
Avatar for Trisha Gee trishagee
74
19k

Transcript

  1. 1 CSPMとのつきあい方 2025/02/28@CloudSec JP #001

  2. 2 2 今日のお話で伝えたいこと CSPMと仲良くなろう! • CSPMにユーザとして期待する点 • CSPMにユーザとして期待しない方が良い点 • ユーザ自身で見るべき観点

  3. 3 3 本題に入る前に。。 CSPM製品はこの世にどれくらいあるでしょうか?

  4. 4 4 ヒント:EDR Firewall https://www.g2.com/categories/endpoint-detection-response-edr https://www.g2.com/categories/firewall-software

  5. 5 5 ヒント:CIEM SSPM CNAPP https://www.g2.com/categories/cloud-infrastructure-entitlement-management-ciem https://www.g2.com/categories/saas-security-posture-management-sspm-solutions https://www.g2.com/categories/cloud-native-application-protection-platform-cnapp

  6. 6 6 CSPM製品は意外と世の中にあふれている 技術的な参入障壁の低さと、クラウド需要がその要因? https://www.g2.com/categories/cloud-security-posture-management-cspm

  7. 7 7 なぜ今CSPMの話をする? • CSPMについて(ベンダーフラットに)語った資料無くない? • 市場が成熟してきた一方でユーザ側の知見を公開しているナレッジは少ない • 特にサードパーティのCSPMはベンダー提供の情報が多い。 •

    これまでいくつかのCSPMを触って感じている、CSPMの理想と限界について共 有します。

  8. 8 8 アジェンダ • CSPMの理想 • CSPMの限界 • CSPMとのつきあい方

  9. 9 9 注意 • 特定のベンダーを貶めたり持ち上げる意図はありません。 • あくまで現時点で調査/検証による見解です。

  10. 10 10 CSPMの理想

  11. 11 11 CSPMの定義おさらい https://www.gartner.com/en/information- technology/glossary/cloud-security-posture-management “CSPMは、一般的なフレームワーク、規制要件、および企業ポリシーを適用して、クラウド サービスの設定およびセキュリティ設定のリスクの発見と評価をする”

  12. 12 12 なぜCSPMを使うのか 継続的にクラウドリスクの評価が出来る仕組みの現実案がCSPM。 • 膨大にあるリソースを人力でリスク評価するのは非現実的。 • 頻繁にリソースの増減や変更のあるクラウド環境では、ワンショットの脆弱性診断だ けでは不十分。

  13. 13 13 CSPMに求められる要素 仕組みとして機能させるために「楽して運用できる」が不可欠。 • CSPMの運用で害がある要素 • 重要でないアラートがたくさん出てくる。 • 環境ごとにチューニングが必要。

    • 修正方法が分からない or 間違った修正方法で余計なコスト発生

  14. 14 14 理想のCSPM像 CSPM入れたら、勝手にいい感じにセキュリティリスク評価してくれる • クラウド上のセキュリティリスクになりうるすべてのリソースや設定を監視 • 意図的な設定であるかも加味して、重大な脆弱性を正確に検知する。 • 修正方法を見れば、だれでも修正ができる。

  15. 15 15 CSPMの限界

  16. 16 16 そもそもCSPMの仕組み • クラウドベンダーが提供するAPIで構成情報を取得。 • ロジックを書いて機械的に脆弱な状態かを判断する SSHがインターネットに公開さ れているリソースを検知したい 場合、Security

    Groupの構成情報 を取得し、 toPortが22でipRangesが0.0.0.0/0 の設定を検知するロジックを書 く

  17. 17 17 機械的な判断である以上、コンテキストの把握は限界がある。 • リソースによっては、正確に検知できないことがある。 • いじわるな例ですが、下記の様なケースは検知できないCSPMが多い 0.0.0.0/0ではなく、 0.0.0.0/1 (0.0.0.0

    ~ 127.255.255.255)と 128.0.0.0/1 (128.0.0.0 ~ 255.255.255.255)の2つを許可 するルールを書いていたら?

  18. 18 18 過剰な検知をしてくることも • S3で公開された静的ページであってもCloudFrontにWAFが無いことを検知 してくることもある。 • 過剰なセキュリティ対策が推奨されると、余計なコストが発生してしまうのが CSPMのやっかいなところ CloudFront

    S3 WAF?

  19. 19 19 CSPMの限界 このように機械的な仕組みでやる以上、正確な検知はある程度妥協が必要。 • 次の様な設定はCSPMに正確性を求めること難しく、期待するべきでない観 点と考えている。 CSPMが苦手な領域 例 コンテキストによって判断

    が分かれるもの ・複数の設定値を組み合わせることで脆弱に なる項目(ネットワークの設定などに多い) ・意図的に設定をすることが想定される項目 実装方法が多岐にわたるよ うな設定 ・通知の仕組み 権限周りの詳細な精査 ・カスタムロールの中身まで紐解く検査 ・プリンシパルの特性を把握した精査 APIが提供されていないサー ビス ・Entra IDの一部設定はAPIで構成取得が出来な い。

  20. 20 20 CSPMとのつきあい方

  21. 21 21 CSPMは微妙なのか? 過剰な期待は禁物。 • ある程度の網羅性は期待してよい。 • 簡単に評価の仕組みが手に入る手軽さもありがたい

  22. 22 22 CSPMとどのようにつきあっていくべきか CSPMが見てくれているから安心では無い 見ない範囲 or 苦手な範囲があると理解して利用するのが大事。 • 苦手な範囲 or

    見えない範囲をどうするか? • 苦手と分かっているサービスや、リソースはCSPMの検知を鵜呑みせず人の手でチェック • サービスによってはCIEM、SSPMも検討。

  23. 23 23 最後に • 具体的に苦手な項目や検知できない項目はリサーチ途中。今後の CloudSecで発表するかも?