すべてのプロダクト
Search
ドキュメントセンター

Security Center:CSPMの概要

最終更新日:Dec 20, 2024

設定エラーやクラウドサービスの不適切な操作は、攻撃につながる可能性があります。 security Centerが提供するクラウドセキュリティ体制管理 (CSPM) 機能は、複数の次元にわたる構成の問題とセキュリティリスクを検出し、構成エラーに関連するリスクを軽減し、クラウドサービスのセキュリティを強化するのに役立ちます。 このトピックでは、CSPM機能とその課金方法について説明します。

機能の概要

クラウドサービスの設定を確認する

Security Centerを使用すると、クラウドインフラストラクチャの資格管理 (CIEM) 、セキュリティリスク管理、コンプライアンスリスク管理から、クラウドサービスの構成にリスクとエラーが存在するかどうかを確認できます。 チェック結果は、クラウドサービスの設定リスクを理解するのに役立つように、リスクレベルごとに分類および表示されます。

寸法をチェック

次の表に、クラウドサービスの設定を確認できるディメンションを示します。

重要

特定のチェック項目については、Security Centerコンソールのリスクガバナンス > 設定アセスメントページを参照してください。

寸法

チェックアイテム

説明

CIEM

AWS Identity and Access Management: IAM ID認証とIAM権限管理。

  • CIEMは、クラウドセキュリティ評価と認証管理を統合して、クラウドプラットフォームを使用およびアクセスするための権限を管理するサービスです。

  • Security Centerは、CIEMに基づいてクラウドプラットフォームのIDと権限を管理します。過剰な権限やパスワードの有効期限などの問題が存在するかどうかを確認できます。 これにより、権限管理に関連する問題を早期に特定して解決し、クラウドプラットフォームのセキュリティと信頼性を向上させることができます。

Tencent Cloud IDおよびアクセス管理: CAM ID認証、およびCAM権限管理。

Alibaba Cloud Identity and Access Management: RAM ID認証、IDaaS、およびRAM権限管理。

セキュリティリスク管理

Alibaba Cloudセキュリティのベストプラクティス: セキュリティ、NoSQLデータベース、ストレージ、エラスティックコンピューティング、リレーショナルデータベース、データウェアハウス、コンテナとミドルウェア、ネットワーク、ビッグデータ、DevOpsと管理、データベース管理ツール。

  • 最良のセキュリティプラクティスは、データとビジネスのセキュリティを最大化するために、クラウドサービスプロバイダーによって長年にわたって蓄積されているセキュリティ対策とソリューションです。

  • Security Centerは、ビジネスシステムのセキュリティ構成、コードの脆弱性、およびログ設定をチェックし、さまざまなクラウドサービスプロバイダのベストセキュリティプラクティスに基づいて、クラウドプラットフォーム上の潜在的な構成エラーを特定します。 これにより、データとビジネスのセキュリティを最大化できます。

AWSセキュリティのベストプラクティス: コンピューティング、データベース、分析、ストレージ、ネットワーキングとコンテンツの配信、コンテナ。

Azureセキュリティのベストプラクティス: ネットワーク、コンピューティング、コンテナー、ストレージ、データベース、セキュリティ、モニター。

Tencent Cloudセキュリティのベストプラクティス: ネットワーク、リレーショナルデータベース、NoSQLデータベース、ストレージ、コンテナとミドルウェア、ビッグデータ、セキュリティ、コンピューティング。

コンプライアンスリスク管理

国際的に合意されたセキュリティのベストプラクティス: Alibaba Cloudプラットフォームのベースライン、およびAWSプラットフォームのベースライン。

  • 国際的に合意されたセキュリティのベストプラクティスは、ITシステムとデータをサイバー攻撃から守るためのセキュリティ基準です。

  • Security Centerは、クラウドプラットフォームのコンプライアンスリスクを包括的にチェックおよび管理し、セキュリティ基準を満たしていない弱い設定を特定します。 これにより、弱い構成をできるだけ早く処理し、データとビジネスのセキュリティを最大化することができます。

PCIデータセキュリティ標準: Alibaba Cloud PCI DSS。

  • PCI DSS (Payment Card Industry Data Security Standard) は、クレジットカード情報を扱う企業が安全な環境を維持することを保証するために設計された一連のセキュリティ標準です。 情報セキュリティ管理システム、ネットワークセキュリティ、物理セキュリティ、データ暗号化をカバーし、包括的なセキュリティベースラインを設定します。

  • Security Centerは、PCI DSSに基づくさまざまな脅威検出サービスを提供し、ネットワークセキュリティ構成、潜在的な脆弱性、アクセス制御対策、ログ監査追跡、暗号化された送信、およびマルウェア保護の検出、評価、および管理をサポートします。 これにより、企業はPCI DSS要件を満たし、支払いカード情報を保護できます。

MLPS 2.0標準: Alibaba Cloud MLPSレベル3。

  • 2019年12月1日以降、「情報セキュリティ技術-サイバーセキュリティの分類保護のベースライン」 (GB/T 22239-2019) が正式に導入されました。 この機密保護フレームワークを実装することは、すべての企業と組織にとって基本的な義務です。

  • Security Centerは、機密保護のコンプライアンスチェック機能を提供し、ネットワーク構成の包括的なセキュリティ検出、ホストの脆弱性管理、およびデータ管理をサポートします。 これにより、サイバーセキュリティの機密保護フレームワークを迅速、効率的、継続的に実装し、クラウド上でのビジネスの保護を強化できます。

ISO国際標準: Alibaba Cloud ISO 27001

  • ISO 27001は、情報セキュリティ管理のグローバル標準です。 ISO 27001認証を取得した企業は、安全で信頼性の高い情報サービスを提供する能力が認められており、情報セキュリティシステムは国際的な権威ある組織によって認められています。

  • Security Centerは、ISO 27001コンプライアンスチェックを提供します。これは、エンタープライズ資産システムが、資産管理、アクセス制御、暗号化、運用セキュリティなどの分野でISO 27001認証要件に適合しているかどうかを評価します。 このプロセスは、企業情報資産の包括的なリスク評価の実施、潜在的なセキュリティの脅威と脆弱性の特定、および企業がISO 27001認証を取得するのに役立つリスク管理の推奨事項の提供に役立ちます。

サポートされているクラウドサービス

Security Centerを使用すると、Alibaba cloudが提供するクラウドサービスと、Tencent Cloud、Azure、Amazon Web services (AWS) などのサードパーティのクラウドサービスプロバイダーを追加できます。 サポートされているクラウドサービスは、Security Centerコンソールで表示できます。 詳細については、「クラウドサービスの追加」をご参照ください。

リスクレベルの評価

CSPM機能は、主にリスクの重大度と適用シナリオに基づいてリスクを分類します。

リスクレベル

説明

修正提案

ハイリスク

リスクの高い項目には、侵入やデータの公開のリスクを大幅に高める問題が含まれます。 これらには、公開された管理ポートと重要なサービス、オリジンサーバーバイパス、資格情報の漏洩、不正アクセス、認証バイパス、および無効にされていない特権アカウントが含まれる場合があります。

即時の修復が推奨されます。

中リスク

これらのアイテムは、高リスクとして分類されませんが、悪用される可能性のある潜在的な構成の弱点に対処するため、データセキュリティを向上させるために重要です。

タイムリーな修復が推奨されるか、特定の条件に応じて処理します。

低リスク

ログ監査やセキュリティガバナンスのリマインダーなど、中リスクまたは高リスクに分類されていない項目を確認します。

これらは通常無視できますが、コンプライアンスなどの理由で必要な場合は修正を実装する必要があります。

クラウドサービスの設定リスクを修正

Security Centerは、クラウドリソースをより適切に管理し、運用セキュリティを確保するために、リスク項目ごとに最適化の提案とソリューションを提供します。

  • 手動修正: 修正を実行する前に、チェック結果から脅威の影響とソリューションを確認して、クラウドサービスへのリスクの影響を確認します。

  • ワンクリック修正: Security Centerは、100を超えるチェック項目のワンクリック修正を可能にする機能を提供します。 これにより、Security Centerコンソールから関連するクラウドサービスインスタンスの構成を簡単に修正できます。

    Security Centerコンソールでは、Security Centerコンソールですばやく修正できるチェック項目を表示できます。 詳細については、「手順3: チェック結果の表示」をご参照ください。

    インスタンスのリスクが修正されるたびに、CSPMの残りのクォータの1つを消費します。

課金

課金ルール

各クラウドサービスインスタンスで実行される各チェック項目のクォータに基づいて、CSPM機能に対して課金されます。 課金式は、CSPM料金=単価 × クォータです。

  • 単価: 単価は課金方法によって異なります。 詳細については、「課金方法」をご参照ください。

  • クォータ: 各クラウドサービスインスタンスで実行された各チェック項目のスキャン、検証、および修正の総数。

    クォータ=スキャンカウント + 検証カウント + 成功修正カウント

    クラウドサービスインスタンスとは、OSS (Object Storage service) バケットやECS (Elastic Compute Service) セキュリティグループなど、特定のアプリケーションまたはネットワークデバイスのインスタンスを指します。

    クラウドサービスインスタンスの数を表示する方法

    Security Centerコンソールの左側のナビゲーションウィンドウで アセットセンター > クラウドプロダクト を選択し、Alibaba Cloudアカウント内のクラウドサービスインスタンスの数を表示できます。 .

    image.png

    CSPMを有効にすると、システムは構成チェックを実行するたびにスキャン回数を計算します。

    各スキャンタスクの総スキャン数=スキャンされたインスタンスの総数 × 選択されたチェック項目の数

    たとえば、合計10のクラウドサービスがあり、各サービスに15のインスタンスがあり、スキャンタスクで5つのチェック項目を選択した場合 (各インスタンスが5つのチェック項目に対してスキャンされます) 、スキャンタスクの合計スキャン数は次のように計算されます。

    10 (クラウドサービス) × 15 (サービスあたりのインスタンス) × 5 (インスタンスあたりのチェック項目)=合計750スキャン。

課金方法

CSPM機能は、サブスクリプションと従量課金の課金方法をサポートします。 この機能の無料版も提供されています。 無料版は特定のチェック項目のみをサポートしていますが、有料版はすべてのチェック項目をサポートしています。

重要
  • Alibaba Cloudアカウントは、一度に1つの課金方法しか選択できません。

    たとえば、CSPM機能のサブスクリプションを有効にした場合、従量課金モードに切り替える前に、サービスの有効期限が切れるまで待つか、機能をダウングレードして無効にする必要があります。 詳細については、このトピックの「サブスクリプションから従量課金への切り替え」をご参照ください。

  • サブスクリプション従量課金の両方の課金方法で、課金ロジックはAntivirusAdvancedEnterprise、およびUltimateエディションで一貫しています。

  • 従量課金またはサブスクリプションの課金方法に基づいてCSPM機能を購入した後、無料および請求可能のチェックアイテムを含むすべてのチェックアイテムを使用できます。 この場合、CSPMチェックを実行するときに次の項目に注意してください。

    • 購入したCSPMのクォータを消費しない、スキャンと検証のみを含む無料チェック項目に対しては課金されません。 あなたは、クォータを消費するリスクの正常な修正を伴う無料のチェック項目。

    • 請求可能なチェックアイテムは、各チェックアイテムが各クラウドサービスインスタンスのスキャンに使用された回数に基づいて課金されます。

無料使用

特定のチェック項目を使用して、クラウドサービスインスタンスを無制限に無料でスキャンおよび検証できます。 リスクを修正する必要がある場合は、従量課金またはサブスクリプションの課金方法に基づいてCSPM機能を購入する必要があります。

重要

Security Centerコンソールの左側のナビゲーションペインでリスクガバナンス > 設定アセスメントを選択すると、サポートされている無料チェック項目が表示されます。

  • 従量課金またはサブスクリプションの課金方法に基づいてCSPM機能を購入しておらず、その機能のクォータを購入していない場合は、この機能によって提供される70を超えるチェックアイテムを無料で使用できます。

  • 无料で利用できるチェック项目の数は、Security Centerのエディションによって异なります。 2023年7月7日より前にCSPM機能を有効にした場合、Security Centerのサブスクリプションが期限切れになるまで、次の数のチェック項目を無料で使用できます。 Security Centerの有効期限が切れる前にサブスクリプションを更新した場合は、引き続きチェック項目を無料で使用できます。

    • 基本アンチウイルス: 70以上

    • 高度: 90以上

    • エンタープライズ究極: 250以上

より多くのチェック項目がCSPM機能によって提供されます。 より多くのチェックアイテムを使用する場合は、従量課金またはサブスクリプションの課金方法に基づいてCSPM機能を購入できます。 詳細については、このトピックの「承認と購入」セクションをご参照ください。 この機能を購入した後、すべてのチェックアイテムを使用できます。 履歴スキャンデータは保持されます。 すべてのチェック項目を表示し、設定チェックのチェック項目を選択できます。

サブスクリプション

  • 式: 単価 × クラウドプラットフォーム設定チェックのスキャン回数 × サブスクリプション期間 (セキュリティセンターのサブスクリプション期間) 。

    クラウドプラットフォーム設定チェックのスキャン回数

    料金 (

    USD /時間)

    0 ~ 100,000

    0.0009

    100,001 ~ 500,000

    0.00069

    500,000 超

    0.000625

  • オフセットルール: 55,000単位で少なくとも15,000のCSPMのクォータを購入する必要があります。 構成チェックを実行するたびに、残りのクォータは、スキャン回数、検証回数、および修正回数に基づいて消費されます。

    説明

    残りのクォータが構成チェックの料金を相殺するのに不十分な場合、クォータでカバーできないチェック項目は、構成チェックでインスタンスのスキャン、検証、および修正に使用されません。 スキャン結果を表示して、設定チェックの詳細を確認できます。

従量課金

  • 式: 単価 × CSPMのクォータ (当日のスキャン、検証、および修正の合計数)

    カレンダーの日付ごとに、段階的価格設定モードで消費されたCSPMのクォータに基づいて課金されます。

    CSPMの消費クォータ

    料金 (

    USD /時間)

    0 ~ 100,000

    0.0009

    100,001 ~ 500,000

    0.0007

    500,000 超

    0.00045

  • CSPM機能の請求書を表示する方法の詳細については、

    請求の詳細

承認と購入

CSPM機能を初めて使用する場合は、クラウドリソースへのアクセスをSecurity Centerに許可する必要があります。

  1. セキュリティセンターにクラウドリソースへのアクセスを許可します。

    1. Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。

    2. 左側のナビゲーションウィンドウで、リスクガバナンス > 設定アセスメント.

    3. 設定アセスメントページで、今すぐ権限付与 をクリックします。 CSPM機能を初めて使用するときは、この操作を実行する必要があります。

      承認が完了すると、AliyunServiceRoleForSasCspmという名前のサービスにリンクされたロールが作成され、現在のアカウント内のクラウドサービスのリソースにアクセスして変更できます。 次に、CSPM機能を使用して、クラウドサービスのID認証、ネットワークアクセス制御、データセキュリティ、ログ監査、および基本保護の設定を確認できます。 これにより、セキュリティ設定を強化し、クラウドサービスの設定エラーによって引き起こされるリスクを軽減できます。 AliyunServiceRoleForSasCspmサービスにリンクされたロールの詳細については、「Security Centerのサービスにリンクされたロール」をご参照ください。

  2. 機能を購入するための課金方法を選択します。

    従量課金

    1. 承認が完了したら、設定アセスメント ページで 今すぐ有効にする をクリックします。

    2. 表示されるダイアログボックスで、[セキュリティセンター (従量課金) 利用規約] を参照して選択し、今すぐ有効にする をクリックします。

    CSPM機能を購入した後、設定アセスメント > 設定のチェック タブで構成チェックによって消費されたクォータを表示できます。

    従量課金方法の無効化

    CSPM機能の従量課金方法を無効にするには、使用されたライセンス数 を見つけ、使用を停止する をクリックします。

    説明

    サブスクリプションの課金方法を有効にするには、従量課金の課金方法を無効にします。

    サブスクリプション

    をご覧ください。

    Security Centerの購入ページを選択し、クラウドプラットフォーム設定チェックのスキャン回数と期間のパラメーターを設定します。 詳細については、「セキュリティセンターの購入」をご参照ください。

    説明

    クラウドサービスインスタンスの数の20倍のクォータを購入することを推奨します。 クォータが不十分な場合は、インスタンスを再スキャンする必要があります。 たとえば、合計10のクラウドサービスを追加し、各クラウドサービスに15のインスタンスがある場合、3,000のクォータを購入することを推奨します。 この値は、10 × 15 × 20 = 3,000の式を用いて計算される。

    CSPM機能を購入した後、設定アセスメント > 設定のチェックタブで構成チェックで消費できる残りのクォータを表示できます。

    Security Centerのアップグレード、ダウングレード、または更新

    残りのクォータが不足しているか、Security Centerのサブスクリプションが期限切れになって構成チェックを実行できない場合は、スケールアウト をクリックしてクォータを購入するか、[注文のアップグレード] タブでSecurity Centerのサブスクリプションを更新します。 ビジネス要件に基づいて、[注文のダウングレード] タブでクォータを減らすこともできます。

    課金方法をサブスクリプションから従量課金に変更する

    サブスクリプションの課金方法に基づいてCSPMのクォータを購入した後、課金方法を従量課金に直接変更することはできません。 従量課金方法に基づいて機能を有効にする前に、Security Centerをダウングレードするか、Security Centerの払い戻しをリクエストできます。

機能を使用する

  1. クラウドサービスの追加: サポートされているクラウドサービスを表示し、設定を確認するクラウドサービスをSecurity Centerに追加します。 Alibaba Cloudサービスとサードパーティのクラウドサービスがサポートされています

  2. CSPM機能の使用: チェックポリシーを設定し、チェック結果を表示し、検出されたリスク項目を処理します。

  3. 攻撃パス分析機能の使用: Alibaba Cloudサービス間のアクセスパスを徹底的にスキャンして分析し、相互接続と潜在的なリスク領域を把握します。 このプロセスは、冗長な直接アクセス許可を検出し、潜在的な脆弱性を明らかにするのに役立ちます。

よくある質問