こんにちは、 ネクストモード株式会社 の sobar です。
CrowdStrike Cloud Security のDSPMを使うとクラウド上のデータに含まれる機微情報を見つけてリスクを把握しやすくなります。
本記事ではDSPMの概要と導入メリットをご紹介します。
CrowdStrike CloudSecurity はクラウド上での設定ミスの自動検知やワークロードのリアルタイム保護、アイデンティティ(権限)の管理を一元化することができます。マルチリージョン・マルチクラウド対応可能なサービスです。以下のブログも必要に応じてご確認ください。
その他のCloudSecurityの特徴やライセンスの詳細につきましては弊社までお問い合わせください。
前提としてCloudSecurity で対象AWSと連携している必要があります。連携設定についてはこちらのブログをご参照ください。
それでは以下よりDSPMについてご紹介します。
DSPMは Data Security Posture Management の略で、クラウド上のデータセキュリティ状態を継続的に把握し改善につなげるための仕組みです。具体的にはクラウドストレージやデータベースなどの資産を対象にデータのサンプルを評価して、個人情報や決済情報などの「機微データ」が含まれる可能性を検出します。
検出結果をもとに、どの資産にどんな種類のデータが、どれくらいの頻度で見つかっているかを追えるため、運用上の優先度付けがしやすくなります。
クラウドではストレージやデータベースが短時間で増えやすく、どこにどんなデータがあるかが見えづらくなりがちです。
その結果、公開設定のミスや、不要な権限付与、秘密情報の混入などが起きても気づくまでに時間がかかることがあります。
DSPMはデータの所在と内容を継続的に可視化し、問題が起きる前に気づける状態を作るための土台になります。
CrowdStrike Cloud Security のDSPMではサポート対象のクラウド資産をスキャンし、機微データの検出状況を可視化できます。
また検出結果は資産単位で追えるため、担当チームや資産オーナーが具体的な対応に落とし込みやすい点がメリットです。
運用面ではスキャン頻度やスキャン種別(深いスキャンか。軽いスキャンか)などを調整でき、環境やコストに合わせて最適化できます。
DSPMはクラウド内の特定の資産タイプを対象にスキャンします。
AWSでは、S3バケット、EC2インスタンス、RDSインスタンス、Redshiftクラスター、DynamoDBテーブルなどが対象です。
AzureではAzure Blob Storage などが対象です。
※対象は製品アップデートで変わる可能性があるため導入時は公式ドキュメントもあわせて確認してください。
DSPMの検出結果にはデータ分類タグやデータ分類ラベルが表示されます。
例として、財務系、位置情報、PCI、医療、PII(個人情報)、シークレット(秘密情報)などのカテゴリがあります。
シークレットには、クラウドアクセスキーや、APIキー、プライベートキー、トークン類などが含まれます。
分類の意味をチーム内で揃えておくと検出結果からの対応判断が早くなります。
DSPMは特定のファイルタイプをスキャン対象として扱えます。
例として、圧縮ファイル(zip など)、XML、CSV、JSON、YAML、Microsoft Excel、Microsoft Word、Parquet、Avro、PDF、TXT などが挙げられます。どのファイルが対象になるかは環境や設定により変わる場合があります。
デフォルトのルールでは、Amazon S3バケットが3か月ごとにスキャンされます。Azureの場合、デフォルトのルールでは、Azure Blob Storageコンテナが3か月ごとにスキャンされます。
Data Scanning Configuration から、DSPMスキャンのルールを設定します。
スキャン対象のアカウントやリージョン、スキャンするサービス種別、頻度(Cadence)、スキャン種別(Deep または Quick)などを選びます。運用を始める段階では、対象を絞って小さく始め、結果と負荷を見ながら段階的に広げるのが安全です。
DSPMの大きなメリットは。データの視点でクラウド資産を棚卸しできる点です。
「どの資産が危ないか」だけでなく、「どの資産に機微データがあるか」を軸に優先順位を付けられます。
また、クラウドの変化に追随しながら継続的にモニタリングできるため、設定ミスや運用の抜け漏れの早期発見につながります。
検出結果を活用するためにまずは分類の読み方と、対応方針をチームで合意しておくのがおすすめです。例として。Public に公開されている資産で機微データが見つかった場合は最優先で対応する、などのルールを作ると判断がブレにくくなります。
また検出が出た資産に対して、権限、公開設定、暗号化、ログ、キー管理などの基本統制もあわせて見直すと、改善が進みやすくなります。
参考
CrowdStrike Cloud Security のDSPMは、クラウド上のデータの所在とリスクを可視化し運用で改善していくための仕組みです。まずはスキャンを小さく始め、アセットエクスプローラーで結果の見方に慣れるところから進めると導入効果を出しやすくなります。設定や表示項目はアップデートされるため、運用開始時点の公式ドキュメントも必ず確認してください。
この記事が皆様のセキュリティ対策や、CrowdStrike CloudSecurityの運用の一助となれば幸いです。
ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています。ご興味のある方は、ぜひお気軽にご相談ください!