CSPM(Cloud Security Posture Management)|科目A-1 令和7年 秋期午前試験 問42
出典:令和7年秋期 午前 問42
分野:セキュリティ / 情報セキュリティ対策
CSPM(Cloud Security Posture Management)はどれか。
- ア:クラウドサービスにおける情報漏えいなどのリスクを低減するために,設定の監視を行ったり,自動的に不備を修正したりするサービス
- イ:従業員からの情報セキュリティマネジメントシステムに関する問合せに応じ,必要な支援を行うクラウドサービス
- ウ:従業員によるインターネット上のSaaSの利用状況を可視化することによって,ポリシー違反を検出し,接続制限を行うサービス
- エ:ファイアウォール,マルウェア検知などのセキュリティ機能を統合し,パッケージとして提供するクラウドサービス
TSUNAGARU-ADVICE
まず押さえたいこと
CSPMは、クラウド環境の設定状態を継続的に監視し、設定ミスやポリシー違反を見つけて、情報漏えいなどのリスクを低減する仕組みです。単なる監視だけでなく、不備を自動修正する機能をもつ場合もあります。クラウド設定の安全性を管理すると押さえましょう。
迷ったときの判断軸
SaaSの利用状況を可視化して制御するのはCASB寄り、複数のセキュリティ機能を統合して提供するのはSASEやセキュリティサービス群の説明に近いです。CSPMでは「クラウドサービスの設定」「設定不備の検出」「自動修正」というキーワードに注目すると判断しやすくなります。
科目Bにつなげるために
特に情報処理安全確保支援士試験合格を目指す方は、CSPMをクラウド環境における設定ミス対策として理解しておくと有効です。公開ストレージ・過剰な権限・暗号化未設定・ログ取得不足などを検出し、クラウドセキュリティの運用管理につなげる視点が重要です。
CSPMは、Cloud Security Posture Managementの略で、クラウド環境の設定状態を継続的に監視し、セキュリティ上の不備を検出・修正するための仕組みです。
クラウドサービスでは、公開設定・アクセス権限・暗号化設定・ログ設定などの誤りによって、情報漏えいや不正アクセスのリスクが高まることがあります。CSPMは、このような設定ミスやポリシー違反を検出し、必要に応じて自動修正することで、クラウド環境の安全な状態を維持します。
したがって、アが適切です。
❌他選択肢が誤りの理由イ:従業員からの情報セキュリティマネジメントシステムに関する問合せに応じ,必要な支援を行うクラウドサービス
⇒これは、問合せ対応やヘルプデスクのような支援サービスの説明です。CSPMは、従業員からの問合せ対応ではなく、クラウド環境の設定状態を監視し、リスクのある設定を検出・修正する仕組みです。
ウ:従業員によるインターネット上のSaaSの利用状況を可視化することによって,ポリシー違反を検出し,接続制限を行うサービス
⇒これは、CASBの説明に近い内容です。CASBは、クラウドサービス利用の可視化・制御・データ保護などを行います。CSPMは、クラウド基盤やクラウドリソースの設定不備を管理する点が中心です。
エ:ファイアウォール,マルウェア検知などのセキュリティ機能を統合し,パッケージとして提供するクラウドサービス
⇒これは、複数のセキュリティ機能を統合して提供するセキュリティサービスの説明です。CSPMは、防御機能をまとめて提供することよりも、クラウド環境の設定状態を評価し、不備を検出・是正することに重点があります。