大事な情報が AWS 設定ミスで公開されていませんか? SHIFT SECURITY 中村丈洋 執行役員に聞くクラウドセキュリティの取り組み方 | ScanNetSecurity
2024.03.29(金)

大事な情報が AWS 設定ミスで公開されていませんか? SHIFT SECURITY 中村丈洋 執行役員に聞くクラウドセキュリティの取り組み方

AWS、Azure、GCPはWebブラウザからインフラ周りの設定ができる。便利になった反面、ちょっとしたユーザの設定ミスに起因した大きなセキュリティ上の事故が多数発生している。

製品・サービス・業界動向 新製品・新サービス
PR
株式会社 SHIFT SECURITY 執行役員 中村丈洋氏(工学博士)
株式会社 SHIFT SECURITY 執行役員 中村丈洋氏(工学博士) 全 1 枚 拡大写真
株式会社SHIFT SECURITYは、AWSなどのクラウドを対象とした「クラウド診断サービス」を2月1日より提供開始した。設定ミスなどによるクラウドを原因とした情報漏えい事故などが増えている状況に対応する。SHIFT SECURITY 執行役員 中村 丈洋 氏(工学博士)に、クラウドの安全運用について話を聞いた。

株式会社 SHIFT SECURITY 執行役員 中村丈洋氏(工学博士)
株式会社SHIFT SECURITY
執行役員 中村 丈洋 氏 (工学博士)

AWS、Azure、GCPといったPaaSを利用すれば、Webブラウザからインフラ周りの設定ができる。便利になった反面、オンプレミス環境時代と同レベルの管理やガバナンスがまだ追いついていない。ちょっとしたユーザの設定ミスに起因した大きなセキュリティ上の事故が多数発生している。本誌がかつて報じた通り2017年5月には、ウォールストリートジャーナルの購読者名簿220万件が想定していないユーザから閲覧可能な状態になっていることが判明している。AWS上で購読者名簿を保有しており、これが非公開の領域に置かれていなかったことが原因だ。

「PaaSでは広範なリソースや機能が提供され、さらに日々アップデートが続けられています。サービス側からベストプラクティスとして利用できるリソースも提供されていますが、それを追いかけ、設定が適切かどうか継続的に管理することは簡単ではありません(中村氏)」

この問題へのアプローチとしてSHIFT SECURITYは、AWS設定のセキュリティ診断を行うサービス「クラウド診断サービス」を2月1日から提供開始した(4月からAzureとGCP対応予定)。クラウド診断サービスの利用プロセスは下記の通り。

・まず同社の提携先の診断ツールを利用して、CISベンチマーク(※1)を満たしていない設定箇所を洗い出す

・続いて、ツールが検知したリスクに対し、診断員がCVSS(※2)に基づいて危険度を数値化する

・顧客は診断員によってリスクのトリアージがなされた診断結果を受け取ることができる。

※1:CISベンチマーク:米国に本拠を置くセキュリティ団体CIS(Center for Internet Security)が提供する、設定のガイドライン。AWSの他にも、さまざまなベンチマークを提供する

※2:CVSS(Common Vulnerability Scoring System):共通脆弱性評価システム。影響の大きさや、攻撃の容易さなどさまざまな基準から、情報システムの脆弱性を評価する

中村氏によれば、脆弱性診断ツールを用いると、通常30~40件のセキュリティリスクが生データに近い形式で提示されるため、いったいどこから手をつけたらいいか判断できなくなるという。SHIFT SECURITY社のクラウド診断サービスでは、リスクごとに重大さを数値化し、修正計画を立案しやすくする。

利用料金は年間30万円の基本料金に加え、1回につき「リソース×単価」の診断費用が発生する。10ワークロードのモデルケースでは、1回の診断にかかる費用はおよそ30万円。また診断報告書の納期は1週間程度。アジャイル開発の工程にクラウド診断を組み込むことも視野に入れる。

SHIFT SECURITYは2016年設立。ソフトウェアテスト大手 株式会社SHIFTが保有するプラットフォームを用いたサービスの標準化によって、品質のバラツキと待ち行列がない脆弱性診断などを提供、2020年1月現在で約120名の脆弱性診断員を直接雇用する業界中堅規模に成長した。

今回提供開始する「クラウド診断サービス」によって同社は、これまでサービスマップから抜けていたクラウドセキュリティ分野に進出する。アプリケーションやネットワークに対する脆弱性診断サービスを補完し、企業全体のセキュリティの診断サービスのカバー範囲をさらに広げる。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  4. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  5. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  6. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  7. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  8. 早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

    早稲田スポーツ新聞会のホームページがウイルス感染、意図せずファイルがダウンロードされる被害

  9. Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

    Meta 社へ申請するも復旧困難と判断、乗っ取り被害の「池袋エリアプラットフォーム」の Facebook ページ削除

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る