DX（デジタルトランスフォーメーション）の推進や、ITを軸とした新規事業立ち上げなどに、ハードウェアの調達が不要でITリソースをスピーディーに柔軟に使うことができるクラウド環境の利用は効率的なソリューションです。その導入のしやすさから、事業部門が独自のサービスやシステムを構築するために契約して運用するという例も増えてきています。

　ところが、一般的に全社的なITガバナンスを統括し、セキュリティマネジメントを行う情報システム部門から見れば、このように部門独自に使われるクラウド環境は、自分たちの管理の外側となってしまうため、管理を行うことができません。

　特にセキュリティマネジメントの観点で言えば、AWS ^＊ やAzureといった大手のクラウドサービスでも、適切なセキュリティ対策を実施しない限りセキュリティ事故が起こる可能性は高いままとなってしまいます。

　例えば、クラウド環境のアカウント管理がしっかり行われていなかったことにより、インスタンスが仮想通貨の計算に使われていたとか、検証環境のセキュリティ設定の甘さから、クラウド上の仮想マシンに侵入され、サイバー攻撃の踏み台にされてしまうといったことが起こりうるわけです。

　したがって、大手のクラウドサービスだからといって、安心することなくしっかり情報システム部門が目を光らせておく必要があります。このようにクラウド環境上の仮想リソースのセキュリティ設定の状態を監視して管理を行うことをCSPM（Cloud Security Posture Management：クラウドセキュリティ態勢管理）と呼びます。

＊AWS：Amazon Web Services

　先に述べたような、セキュリティ設定の甘さによるセキュリティ事故の発生を防止するために重要となるのが、仮想リソースの可視化です。社内で部門ごとにIaaS/PaaS環境が乱立してしまうと、情報システム部門がお目付け役としてそれらを監視・管理することは困難と言えるでしょう。しかしそのような状態では、各リソースのセキュリティ設定に問題がないかの確認を十分に行うことができません。社内で利用している仮想リソースに対し、セキュリティを確保するためにも、まずは仮想リソースの可視化が必須といっても過言ではありません。