最小工数で誰もが
クラウドの
リスク対処を
可能にする方法

ここ数年、急速に利用が拡大したパブリッククラウドサービスだが、注意すべきポイントもある。それはクラウドならではのセキュリティーをいかに担保するかという点だ。最近ではクラウドを狙った攻撃が相次いでおり、システムへの不正アクセスや情報漏えいなどの被害も数多く報告されている。しかも「ユーザーのちょっとした過失」が、こうした攻撃の原因となっているケースが少なくないのである。

「例えば、データストレージの公開設定ミスなどもその1つです。実際に直近でも、うっかり設定を間違えてしまったばかりに、本来は外部公開すべきでない情報をインターネット上に晒してしまった事案が発生しています」とCloudbaseの大峠 和基氏は警鐘を鳴らす。

さらに問題を難しくしているのが、クラウドのメリットでもある手軽さだ。事業部門側でも簡単に利用を開始できるため、情シス部門も把握していない「シャドウIT」があちこちにまん延するおそれがある。しかも、いくら本社内の管理を強化しても、子会社や取引先の企業のクラウド管理にまではなかなか目が行き届かないのが実情だ。

また、たとえ首尾よく自社のクラウド利用状況を把握できたとしても、それだけでは問題は解決しない。なぜなら、検出されたリスクには、必ず誰かが対応する必要があるからだ。しかしセキュリティー人材は慢性的に不足しており、おいそれと確保できるものではない。また、情報システム部門も日々の運用に忙殺されており、迅速な対応はなかなか望めない。利用者である事業部門側が、自前でリスク対応するのもハードルが高すぎる。

「だからといってオンプレミス時代のようなインフラ管理に膨大なコストをかける状態に逆戻りしたのでは、クラウドのメリットを最大限に生かせません。最小限のリソースで、誰もが簡単に、的確な対応を行えるようにすることが、クラウドセキュリティーの問題を解決するカギといえます」と大峠氏は説く。

Cloudbaseでは、こうしたクラウドセキュリティーの課題を解決するCNAPP（Cloud Native Application Protection Platform：クラウドで利用するアプリケーションのセキュリティーを担保するプラットフォーム）ソリューションを提供。資産の可視化や設定ミスの検出を行う「CSPM（Cloud Security Posture Management）」、ワークロードの保護や脆弱性検出を行う「CWPP（Cloud Workload Protection Platforms）」、IDや権限の管理を行う「CIEM（Cloud Infrastructure Entitlement Management）」の3つの要素を一体で提供し、安全なクラウド活用を支援している（図1）。

「クラウドセキュリティーを守るためには、まず自社の保有する資産を検出・可視化した上で、そこに含まれるリスクを適切に評価。さらに、優先順位の高いものから、順番に対処していく必要があります。この『検出』『トリアージ（優先順位付け）』『リスク解決』の3つのプロセスを、トータルにサポートできるのが当社ソリューションの大きな特長です」と大峠氏は説明する。

例えば検出のプロセスでは、AWS、Microsoft Azure、GCP（Google Cloud Platform）、OCI（Oracle Cloud Infrastructure）などの主要クラウドにすべて対応することで、自社が保有する資産を漏れなく一覧化する。シャドウITを見逃さないためには、このようにマルチクラウド対応であることが非常に重要だ。また、エージェントレスでの高速導入が可能なため、監視対象が大規模環境であっても全く問題はない。実際にCloudbaseのユーザー企業には、パナソニック、スズキ、ダイキン工業、中外製薬など国内大手企業が数多く名を連ねている。

また、トリアージのプロセスでは、検出・可視化されたリスクを「CRITICAL」「HIGH」「MEDIUM」「LOW」の4段階で評価してユーザーに提示。さらに「即時対応が必要なリスク」をピックアップしてくれる。これにより、優先的に対処すべきリスクを素早く、的確に把握することができるわけだ（図2）。

「検出されたアラートをそのままの形で提示されても、ユーザーとしてはどれに対処すれば良いのか分かりません。その点、当社ソリューションは、単なるパラメータのオン／オフで判断するのではなく、そのサーバーがどのような環境に置かれているのか、ネットワークはどうつながっているのかといったことまで考慮してリスク評価を行います。このため、大量の誤検知・過検知で疲弊させられる心配もありません」と大峠氏は話す。

さらに、同社が最も注力しているのが、最後のリスク解決プロセスだ。「クラウドセキュリティー製品の中には、前段の検出～評価までのプロセスに力点を置いているものも少なくありません。この部分のカバレッジや適用範囲を広げた方が、製品選定に悩まれているお客様にアピールしやすいからです。しかし、明らかになったリスクをきちんと修復できないのでは、対策の意味がありません。当社では、このリスク解決の部分こそ本質だと考えています」と大峠氏は強調する。

その方法も非常に簡単だ。Cloudbaseでは、検出されたリスクに対処するための作業手順を画面上で詳細に提案。その内容を確認し、コマンドをコピー＆ペーストするだけで、誰にでも修復作業が行えるのだ。対処方法が複数考えられる場合には、それぞれのパターンを示した上でレコメンドも行う（図3）。

「例えば、インターネット上に公開されている資産があった場合、その資産に対するファイアウオールを強化するのか、外部公開を辞めて社内からのみアクセスできるよう制限するのか、それとも資産ごと削除するのか、いろいろな対応策が考えられます。こうした場合はそれぞれのパターンを列挙し、この対処方法がおすすめですとご提示できます」と大峠氏は説明する。

このように見ていけば分かるように、Cloudbaseは冒頭に挙げたクラウドセキュリティーの課題をすべて網羅できるように設計されている。自社のクラウド利用状況を可視化することで、シャドウITのまん延を回避。脆弱性や各種設定、権限管理などのリスクも適切に管理できる。しかも、特別なセキュリティー知識を持たない事業部側のユーザーであっても、検出されたリスクに簡単に対処することができるわけだ。

こうしたことが評価され、多くの企業に導入されている。例えばある大手製造業では、Cloudbaseを活用することで数百人分のアカウントをMFA（多要素認証）化することに成功。「元々、このお客様はユーザー認証の強化を検討されていましたが、どのように進めれば良いのかで悩まれていました。そこで、当社のご支援のもと、まずは現環境の調査とインベントリ化を実施。重要性の高いアカウントからMFA化していくことで、早期に成果を上げることができました」と大峠氏は説明する。この取り組みがうまくいったことから、ほかのリスク分野へも適用を検討しているという。

なぜこうしたソリューションや支援を同社が展開できるのか。それはネットサービス企業で働いていたクラウドネイティブなエンジニアが数多く在籍しているからだ。このため、自らの経験を踏まえたユーザー視点でソリューション開発や伴走支援も提供できるわけだ。「例えば、アラートに関する質問や疑問があった場合は、開発に携わったエンジニアが直接ご回答することもできます」と大峠氏は話す。

クラウドのメリットを最大限に発揮するためには、安全性・堅ろう性と開発生産性を高いレベルで両立させていくことが必要になる。こうした観点から同社では今後も日本企業の成長に貢献すべく、さらなる機能強化を図っていく考えだ。