AWS向けクラウドセキュリティ診断プラットフォーム「Cloudbase」ベータ版が提供開始
2022/3/2
Levetty株式会社は2022年3月1日にクラウドセキュリティ診断プラットフォーム「Cloudbase」ベータ版の提供を開始すると発表した。
Contents
■事業背景
■セキュリティインシデントの99%は設定ミス
■課題
・そもそもクラウドのセキュリティ対策にリソースを割けていない
・専門知識のない社内のエンジニアが自主的にパブリッククラウドの設定をしている
・年一回のペネトレーションテストや脆弱性診断のみの実施
いずれの場合も、ほとんど確実といっていいほど設定ミスがあり、クラウドのセキュリティ管理体制として不十分な状態だという。情報漏洩やサーバー乗っ取りなどの重大なセキュリティインシデントにつながる可能性が高く、セキュリティレベルの確認及び修正が必要な項目の洗い出しを早期にすることが求められるとのことだ。
■サービス概要
リソース情報の読み取り権限を持ったIAMユーザーを発行するだけで利用できる。その際に、クラウド構成や設定の変更を必要としないため、企業やチームの大きさに関わらず簡単に導入することができる。読み取り権限を持ったIAMユーザーがアクセスできるのは、クラウド構成のメタ情報のみであるため、同社が機密情報や顧客情報を取得することは不可能だという。
「Cloudbase」では、危険度順に設定ミスを確認することができるため、リスクの高いものから対処することが可能だ。なお、ベータ版ではAWSを対象とした提供となる。
■提供価値
読み取り権限のIAMを発行するだけで導入可能だ。
・網羅的なスキャン
従来の手法では網羅できなかった項目まで一括で診断可能だ。ベータ版ではEC2やIAMを始めとした主要なリソースを対象に240項目の診断項目が用意されている。
・本当に解決すべき、危険度の高い設定ミスにフォーカス
危険度が高い設定ミスから優先的に表示させることができるため、数百〜数千に及ぶ数多くの設定ミスが検出される中で、何から解決すべきかを判断することが可能だ。
・定期スキャンで常に安全な状態に
毎日自動でスキャンされるため、アジャイル開発などでクラウドの設計が変わるような場合においても常にリスクを早期発見することが可能。任意のタイミングでもスキャン可能だ。
・豊富なドキュメント
設定ミスがそれぞれどのようなリスクにつながるか、どのように対処すべきかといったドキュメントが用意されている。各項目の内容は平易な日本語で記載されており、非エンジニアでもわかりやすくなっている。