皆様こんにちは、Palo Alto Networks®製品担当の寒川（サンガワ）です。

日頃より、弊社ブログをご覧いただきましてありがとうございます。

2025年以降、企業のクラウド環境を脅かすインシデントは、攻撃者による高度なハッキングよりも、SaaSやPaaSの「複雑な仕様」と「人為的な設定ミス」に起因するケースが支配的となっています。

ここでは、企業が直面したクラウドセキュリティインシデントの実例と、それらを踏まえて準拠すべき国内ガイドラインについて解説します。

1-1. 自動化された設定監査があれば防げた事例：企業向けSaaSサービスにおけるACL不備問題（2024-2025年）

１つ目の事例は、日本国内でも利用企業の多い某大手SaaSベンダーにおける、アクセスコントロールリスト（ACL）の設定不備が悪用されたケースです。
ウィジェット等の権限設定において、意図せず未認証のゲストユーザーからのアクセスが許可された状態となり、社内ナレッジや個人情報が外部から閲覧可能となっていました。

SaaSの設定は日々変化するため、外部公開リスクを継続的に監査し、ポリシー違反を即座に検知する仕組みにより、実被害が出る前に是正することが必要となります。

1-2. 統合的な監視が必要となる事例：某ノーコードWeb構築サイトによる情報露出（2024-2025年）

某最大手SaaSベンダーによるノーコードWeb構築サイトにおいても、デフォルト設定や権限付与に対する認識の誤りにより、本来非公開であるべき顧客データテーブルが匿名アクセス可能となる事例が多発しました。
このようなケースでは、単なる設定チェックだけでなく、「誰が」「どのデータに」アクセスできるかという文脈を理解した監視が必要です。

そのため、設定とIDを横断的に分析する統合プラットフォームを活用し、意図しないデータ公開を「危険な組み合わせ」として特定し、早期に防ぐアプローチが不可欠です。

1-3. 準拠すべき国内ガイドライン

こうしたSaaS/PaaSの設定リスクに対し、エンドユーザー企業が準拠すべき基準も「継続的な監視」を前提とした内容へ変化しています。

• 経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」:
  クラウドサービスを含む資産の管理と検知システムの導入が指示事項として挙げており、人手による管理から、自動化ツールを用いた常時監視への移行を強く示唆しています。

• デジタル庁「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」:
  構築時だけでなく運用フェーズにおいても「設定ミスがないかを常時確認する」ことが求められており、次章で解説する具体的なソリューション導入の強力な動機付けとなります。

それでは、このような事例への対応やガイドライン準拠に向けて、どのようなアプローチが必要なのかを解説していきます。

今日のクラウドセキュリティにおいて、上記の課題を解決するソリューションが、CSPM（Cloud Security Posture Management）です。

CSPMは、企業のクラウド環境における「衛生状態（サイバーハイジーン）」を保つための基礎機能であり、以下の役割を担います。

・クラウド設定の監視・可視化

　AWS/Azure/GCP等の「責任共有モデル」において、ユーザーの設定ミス、誤った権限付与などを監視・可視化します。

・コンプライアンスへの準拠

　NISTやCIS Benchmarksといった国際基準に対し、現在の設定が正しいかを継続的に自動評価し、必要に応じて自動修正することも可能です。

これらの機能により、脆弱性に繋がる人為的な設定ミスを未然に防ぎます。

しかし、クラウド利用の高度化に伴い、「設定が正しいか」だけでは判断できない複合的なリスクが増加しています。ここで必要となるのが、CSPMを包含する上位概念であるCNAPPです。

CNAPP（Cloud Native Application Protection Platform）は、CSPMの機能を「廃止」するのではなく、それを「中核」として、以下の領域を統合した包括的なプラットフォームです。

• CSPM (設定管理): クラウドインフラの構成ミスを検知。

• CWPP (ワークロード保護): VM、コンテナ、サーバーレス関数の脆弱性と実行時の保護。

• CIEM (権限管理): IAMロールや特権IDの過剰な権限付与の可視化。

• Code Security: IaCテンプレートなどの開発段階でのスキャン。

CNAPP導入の最大の意義は、これら個別のセキュリティ機能を単一のプラットフォームで運用することで得られる「全体像やコンテキストの理解」にあります。

例えば、CSPM単体では「セキュリティグループが全開放されている」という設定リスクしか検知できません。

しかし、CNAPPとしてCWPPやCIEMと連携することで、「全開放されているそのサーバーには、既知の重大な脆弱性があり（CWPP）、かつ管理者権限を持つIDが付与されている（CIEM）」という、攻撃者にとっての「侵入経路（Attack Path）」が明確に見えるようになります。

これにより、従来クラウド管理を担当するセキュリティ・情報システム部門では、単なるツールの足し算ではなく、「CSPMで基盤を固め、CNAPPでリスクの深刻度を正確に判定し、優先順位をつけて対処する」という、運用の質を一段階引き上げる対策が可能になります。

つまり、CSPMは堅牢なクラウドセキュリティの「土台」であり、CNAPPはその土台の上に成り立つ「統合運用モデル」であると定義することで、その必要性を明確に示すことができます。

前章で解説したCNAPPの概念において、通常静的である設定管理（CSPM）をすり抜け、ランタイム環境で発生する攻撃の「検知と対応」を担うのが、Palo Alto Networks®の「Cortex Cloud™」です。

Cortex Cloud™は、クラウド環境特有のログを分析し、攻撃者の「振る舞い」をリアルタイムで捉えるための機能を揃えたCNAPPソリューションです。

主な機能は以下の通りです。

• 広範なデータ収集 (Ingestion): AWS CloudTrail、Azure Activity Logs、GCP Audit Logs、VPC Flow Logs、コンテナログ等を一元的に収集。

• 行動分析 (Behavioral Analytics): AIがクラウド上の通常動作（ベースライン）を学習し、シグネチャに該当しない未知の異常行動や権限悪用を検知。

• スティッチング(相関分析): 異なるデータソース（ID、IPアドレス、ファイルハッシュ）を自動的に紐づけ、断片的なログを「一連の攻撃ストーリー」として可視化。

また、デフォルトで1,200を超えるクラウドサービス向けのセキュリティポリシーを搭載しておりこれらがCSPMの機能としてCortex Cloud™の上記機能とも連携します。

Cortex Cloud™が選ばれる理由　ー第三者機関により評価された導入効果

Cortex Cloud™を導入する最大の価値は、セキュリティ運用の劇的な効率化と、経営リスクに対する直接的な効果です。
Forrester Consultingによる調査（Total Economic Impact™）(*1)では、以下の導入効果が実証されています。

• 脆弱性・構成ミスの修正にかかる工数を削減:
  組織が導入前に問題を修正しやり直しの必要性を減らし、導入前より60%の工数削減を実現。加えて、より確実にセキュリティインシデントの可能性を排除します。

• 圧倒的な投資対効果 (ROI):
  運用効率化とリスク回避効果により、3年間で264%のROIを達成し、投資回収期間は6ヶ月未満と試算されています。

• 監査対策にかかる時間の大幅短縮:
  コンプライアンスレポートの作成と検証にかかる時間が90%短縮され、監査時間も最大67%短縮されます。セキュリティ専門家に大きな効率をもたらし、コンプライアンスステータスの実証を容易にしました。

このようにCortex Cloud™は、単なる監視ツールではなく、CNAPPの動的防御の中核として、セキュリティ投資をより明確にビジネス価値へと転換します。

(*1) 参考資料:Palo Alto Networks Prisma CloudのTotal Economic Impact™ (TEI) 調査 (Forrester Consulting, 2023)

2026年のクラウドセキュリティにおいて、人為的な設定ミスを防ぐCSPMは、環境の衛生状態を保つために必要な対策です。しかし、膨大なアラートから真のリスクを見抜くには、IDやワークロードの文脈を統合し、優先順位を判断するCNAPPへの連携が不可欠です。

その中で、Cortex Cloud™が選ばれる理由は以下の通りです。

• AI主導の動的検知: 静的な可視化を超え、未知の脅威や異常な振る舞いをリアルタイムで特定し、自動で相関分析を行います。

• 実証されたビジネス価値: 264%の投資対効果（ROI）とMTTRの劇的な短縮により、セキュリティ投資をコストから「競争力」へと転換します。

単なる可視化ツールではなく、攻撃の予兆を捉えて即座に封じ込めるCortex Cloud™は、お客様のクラウド環境を守り抜くために有力な選択肢となり得ます。

ここまでご覧いただきありがとうございました。

製品の取扱についてのお問い合わせは、どうぞお気軽に弊社問い合わせフォームまでご連絡ください。