大事な情報が AWS 設定ミスで公開されていませんか? SHIFT SECURITY 中村丈洋 執行役員に聞くクラウドセキュリティの取り組み方 | ScanNetSecurity
2020.04.06(月)

大事な情報が AWS 設定ミスで公開されていませんか? SHIFT SECURITY 中村丈洋 執行役員に聞くクラウドセキュリティの取り組み方

AWS、Azure、GCPはWebブラウザからインフラ周りの設定ができる。便利になった反面、ちょっとしたユーザの設定ミスに起因した大きなセキュリティ上の事故が多数発生している。

製品・サービス・業界動向 新製品・新サービス
株式会社 SHIFT SECURITY 執行役員 中村丈洋氏(工学博士)
株式会社 SHIFT SECURITY 執行役員 中村丈洋氏(工学博士) 全 1 枚 拡大写真
株式会社SHIFT SECURITYは、AWSなどのクラウドを対象とした「クラウド診断サービス」を2月1日より提供開始した。設定ミスなどによるクラウドを原因とした情報漏えい事故などが増えている状況に対応する。

新サービス開始を受けSHIFT SECURITYは、パロアルトネットワークス株式会社と共催で、セミナー「クラウドのセキュリティで知っておくべきリスクと対策について」を2月26日に日比谷パークフロント(東京)で開催する。同セミナーに登壇し「インシデント事例からみるクラウドセキュリティの取り組み方」と題した講演を行う、SHIFT SECURITY 執行役員 中村 丈洋 氏(工学博士)に、クラウドの安全運用について話を聞いた。

株式会社 SHIFT SECURITY 執行役員 中村丈洋氏(工学博士)
株式会社SHIFT SECURITY 執行役員 中村 丈洋 氏 (工学博士)

AWS、Azure、GCPといったPaaSを利用すれば、Webブラウザからインフラ周りの設定ができる。便利になった反面、オンプレミス環境時代と同レベルの管理やガバナンスがまだ追いついていない。ちょっとしたユーザの設定ミスに起因した大きなセキュリティ上の事故が多数発生している。本誌がかつて報じた通り2017年5月には、ウォールストリートジャーナルの購読者名簿220万件が想定していないユーザから閲覧可能な状態になっていることが判明している。AWS上で購読者名簿を保有しており、これが非公開の領域に置かれていなかったことが原因だ。

「PaaSでは広範なリソースや機能が提供され、さらに日々アップデートが続けられています。サービス側からベストプラクティスとして利用できるリソースも提供されていますが、それを追いかけ、設定が適切かどうか継続的に管理することは簡単ではありません(中村氏)」

この問題へのアプローチとしてSHIFT SECURITYは、AWS設定のセキュリティ診断を行うサービス「クラウド診断サービス」を2月1日から提供開始した(4月からAzureとGCP対応予定)。クラウド診断サービスの利用プロセスは下記の通り。

・まず同社の提携先の診断ツールを利用して、CISベンチマーク(※1)を満たしていない設定箇所を洗い出す

・続いて、ツールが検知したリスクに対し、診断員がCVSS(※2)に基づいて危険度を数値化する

・顧客は診断員によってリスクのトリアージがなされた診断結果を受け取ることができる。

※1:CISベンチマーク:米国に本拠を置くセキュリティ団体CIS(Center for Internet Security)が提供する、設定のガイドライン。AWSの他にも、さまざまなベンチマークを提供する

※2:CVSS(Common Vulnerability Scoring System):共通脆弱性評価システム。影響の大きさや、攻撃の容易さなどさまざまな基準から、情報システムの脆弱性を評価する

中村氏によれば、脆弱性診断ツールを用いると、通常30~40件のセキュリティリスクが生データに近い形式で提示されるため、いったいどこから手をつけたらいいか判断できなくなるという。SHIFT SECURITY社のクラウド診断サービスでは、リスクごとに重大さを数値化し、修正計画を立案しやすくする。

利用料金は年間30万円の基本料金に加え、1回につき「リソース×単価」の診断費用が発生する。10ワークロードのモデルケースでは、1回の診断にかかる費用はおよそ30万円。また診断報告書の納期は1週間程度。アジャイル開発の工程にクラウド診断を組み込むことも視野に入れる。

SHIFT SECURITYは2016年設立。ソフトウェアテスト大手 株式会社SHIFTが保有するプラットフォームを用いたサービスの標準化によって、品質のバラツキと待ち行列がない脆弱性診断などを提供、2020年1月現在で約120名の脆弱性診断員を直接雇用する業界中堅規模に成長した。

今回提供開始する「クラウド診断サービス」によって同社は、これまでサービスマップから抜けていたクラウドセキュリティ分野に進出する。アプリケーションやネットワークに対する脆弱性診断サービスを補完し、企業全体のセキュリティの診断サービスのカバー範囲をさらに広げる。


セミナー開催情報
クラウドのセキュリティで知っておくべきリスクと対策について
日時:2月26日(水)17時~19時
会場:東京都千代田区内幸町2丁目1-6号 日比谷パークフロント15階
定員:30名
参加費:無料

アジェンダ
・17:00~17:40「クラウドにおけるZero Trustの考え方」
パロアルトネットワークス株式会社 クラウドセキュリティアーキテクト 中村弘毅氏

・17:50~18:30「インシデント事例からみるクラウドセキュリティの取り組み方」
株式会社 SHIFT SECURITY 執行役員 中村丈洋氏(工学博士)

申込:セミナーサイト申し込みフォームから

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. オフィシャルサイトが改ざん被害で公開停止、原因解明中(ソニー・ミュージック)

    オフィシャルサイトが改ざん被害で公開停止、原因解明中(ソニー・ミュージック)

  2. 全国手話検定試験受験者の個人情報記録、USBメモリ紛失(全国手話研修センター全国手話検定試験事務局)

    全国手話検定試験受験者の個人情報記録、USBメモリ紛失(全国手話研修センター全国手話検定試験事務局)

  3. 最強のバイリンガルエンジニア集団が開く、グローバルセキュリティエキスパートの東南アジア進出

    最強のバイリンガルエンジニア集団が開く、グローバルセキュリティエキスパートの東南アジア進出PR

  4. 従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

    従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

  5. 成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)

    成人向け動画にログインすると別人アカウントに切り替わり、購入・視聴履歴等 閲覧可能に(ソフト・オン・デマンド)

  6. セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)

    セキュリティ・キャンプ修了生が起業した AI セキュリティ企業が資金調達(ChillStack)

  7. メール誤送信による情報漏えい、事故原因の分析と対策の手がかり

    メール誤送信による情報漏えい、事故原因の分析と対策の手がかり

  8. iPS 細胞研究所の非常勤職員を懲戒解雇、機密書類スキャンや教授宛メール盗み見(京都大学)

    iPS 細胞研究所の非常勤職員を懲戒解雇、機密書類スキャンや教授宛メール盗み見(京都大学)

  9. 成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

    成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

  10. セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)

    セーブデータの改造ツール提供の法人ら、技術的制限の不正回避で摘発(ACCS)

ランキングをもっと見る