情報処理安全確保支援士 2025年 秋期 午前2 問15

CSPM(Cloud Security Posture Management)の機能はどれか。【午前2 解説】

要点まとめ

• 結論→CSPMはクラウド環境の設定や構成を継続的に評価し、不適切な設定やコンプライアンス違反を検知して報告します。
• 根拠→CSPMは「設定の健全性」と「ベストプラクティス／規制準拠」を自動チェックするツール群であり、マルウェア検出や遮断は本来の機能外です。
• 差がつくポイント→選択肢に「設定」「構成」「準拠」「継続監視」などの語があるかを確認し、EDR/IPS/バックアップ機能と混同しないことが重要です。

正解の理由

よくある誤解（2〜3 行）

• CSPMはマルウェア対策（EDR）やリアルタイム遮断（IPS/WAF）の代替ではありません。
• バックアップやファイル暗号化はCSPMの目的外で、別製品や機能で実現します。

解法ステップ

1. 問題文のキーワード「CSPM」を確認し、意味を思い出す（Cloud Security Posture Management）。
2. 各選択肢の主題が「設定」「監視」「検知」「遮断」「バックアップ」などどの領域かを分類する。
3. CSPMの主要機能は「設定の継続監視と検知」であることから、それに該当する選択肢を選ぶ。
4. 他の選択肢が示す機能（マルウェア検出、アクセス遮断、バックアップ）はEDR/WAF/バックアップ製品の領域と照合して排除する。
5. 最終的に「イ」がCSPMの定義に一致するため選択する。

選択肢別の誤答解説

• ア: クラウド上のファイルを監視してマルウェアを検知する機能はEDR（Endpoint Detection and Response）やクラウド型マルウェアスキャンの領域であり、CSPMの主要機能ではありません。
• イ: 正解。クラウドサービスの設定を継続的に監視し、不適切な設定（公開ストレージ、過剰な権限など）を検知するのがCSPMの役割です。
• ウ: アクセスを継続監視して不正アクセスを遮断する機能はCASBやWAF、IDS/IPS、クラウドアクセス制御の領域であり、CSPMは遮断を主目的としません。
• エ: 組織のファイルサーバのデータを暗号化してクラウドにバックアップする機能はバックアップ／BaaS（Backup as a Service）の機能で、CSPMとは無関係です。

補足コラム（関連知識など）

• CWPP（Cloud Workload Protection Platform）: 仮想マシンやコンテナのランタイム保護や脆弱性管理を行う。
• CASB（Cloud Access Security Broker）: SaaS利用の可視化・制御・データ保護を行う。
• EDR/AV: エンドポイントでのマルウェア検出や振る舞い検知を行う。
  代表的なCSPM機能としては、設定ベースラインの定義、違反の検出、インベントリと構成ドリフトの追跡、コンプライアンスレポート、修復ガイダンスや自動修復の連携などがあります。AWS ConfigやAzure Security Centerの一部機能はCSPMに相当します。

FAQ