AWS向けクラウドセキュリティ診断プラットフォーム「Cloudbase」ベータ版が提供開始

■事業背景

AWS・GCP・Azureをはじめとしたパブリッククラウドの国内市場規模は1兆円を超え、今もなお急速に拡大を続けており、2025年まで年間約20%の成長が見込まれているという。パブリッククラウドの普及が進むと同時に、クラウドにおけるセキュリティリスクも上昇するため、サービス運営者にとってセキュリティを確保することが今後一層求められる。また、セキュリティ事故は一度発生してしまうと企業に深刻なダメージを与えることが多く、事前に十分な対策を講じる必要がある。情報流出などのサイバーインシデントによる企業へのダメージは甚大であり、事故の発生後に純利益は平均21%減少、株価は平均10%下落すると言われているという。セキュリティ事故は顧客からの訴訟リスクも孕んでおり、莫大な賠償金などによって事業の継続が困難になるといった致命的な状況をも引き起こす可能性があるとのことだ。

■セキュリティインシデントの99%は設定ミス

そのようなクラウドにおけるセキュリティインシデントの原因は、単なる設定ミスであることがほとんどであり、その割合は2020年時点では95%を占め、2025年時点では99%を占めると予想されているという。

出典元：プレスリリース

設定ミスの代表的な例としては、Admin権限でIAMユーザーが作成されていたり、全世界からSSHできるサブネットマスクが設定されたセキュリティグループが存在していたり、検証用リソースが放置されているなどがあり、放置しておくとサービスの運営にとって致命的な支障をきたす事故につながるとのことだ。

出典元：プレスリリース

■課題

設定ミスを原因とするクラウドセキュリティインシデントのリスクがますます高まる一方で、対策が進んでいないのが実態だという。同社によるヒアリングの結果、多くの企業・サービスにおいてセキュリティ管理体制は以下のような状態であることが多く、事故のリスクにさらされていることが判明したとのことだ。
・そもそもクラウドのセキュリティ対策にリソースを割けていない
・専門知識のない社内のエンジニアが自主的にパブリッククラウドの設定をしている
・年一回のペネトレーションテストや脆弱性診断のみの実施

いずれの場合も、ほとんど確実といっていいほど設定ミスがあり、クラウドのセキュリティ管理体制として不十分な状態だという。情報漏洩やサーバー乗っ取りなどの重大なセキュリティインシデントにつながる可能性が高く、セキュリティレベルの確認及び修正が必要な項目の洗い出しを早期にすることが求められるとのことだ。

■サービス概要

「Cloudbase」は、パブリッククラウドにおける数百項目にも及ぶセキュリティリスクの洗い出し・可視化を安全に行うことができるプラットフォームだ。

リソース情報の読み取り権限を持ったIAMユーザーを発行するだけで利用できる。その際に、クラウド構成や設定の変更を必要としないため、企業やチームの大きさに関わらず簡単に導入することができる。読み取り権限を持ったIAMユーザーがアクセスできるのは、クラウド構成のメタ情報のみであるため、同社が機密情報や顧客情報を取得することは不可能だという。

「Cloudbase」では、危険度順に設定ミスを確認することができるため、リスクの高いものから対処することが可能だ。なお、ベータ版ではAWSを対象とした提供となる。

出典元：プレスリリース

■提供価値

・5分で導入可能
読み取り権限のIAMを発行するだけで導入可能だ。

・網羅的なスキャン
従来の手法では網羅できなかった項目まで一括で診断可能だ。ベータ版ではEC2やIAMを始めとした主要なリソースを対象に240項目の診断項目が用意されている。

・本当に解決すべき、危険度の高い設定ミスにフォーカス
危険度が高い設定ミスから優先的に表示させることができるため、数百〜数千に及ぶ数多くの設定ミスが検出される中で、何から解決すべきかを判断することが可能だ。

・定期スキャンで常に安全な状態に
毎日自動でスキャンされるため、アジャイル開発などでクラウドの設計が変わるような場合においても常にリスクを早期発見することが可能。任意のタイミングでもスキャン可能だ。

・豊富なドキュメント
設定ミスがそれぞれどのようなリスクにつながるか、どのように対処すべきかといったドキュメントが用意されている。各項目の内容は平易な日本語で記載されており、非エンジニアでもわかりやすくなっている。