執行役員 中村 丈洋 氏 (工学博士)
AWS、Azure、GCPといったPaaSを利用すれば、Webブラウザからインフラ周りの設定ができる。便利になった反面、オンプレミス環境時代と同レベルの管理やガバナンスがまだ追いついていない。ちょっとしたユーザの設定ミスに起因した大きなセキュリティ上の事故が多数発生している。本誌がかつて報じた通り2017年5月には、ウォールストリートジャーナルの購読者名簿220万件が想定していないユーザから閲覧可能な状態になっていることが判明している。AWS上で購読者名簿を保有しており、これが非公開の領域に置かれていなかったことが原因だ。
「PaaSでは広範なリソースや機能が提供され、さらに日々アップデートが続けられています。サービス側からベストプラクティスとして利用できるリソースも提供されていますが、それを追いかけ、設定が適切かどうか継続的に管理することは簡単ではありません(中村氏)」
この問題へのアプローチとしてSHIFT SECURITYは、AWS設定のセキュリティ診断を行うサービス「クラウド診断サービス」を2月1日から提供開始した(4月からAzureとGCP対応予定)。クラウド診断サービスの利用プロセスは下記の通り。
・まず同社の提携先の診断ツールを利用して、CISベンチマーク(※1)を満たしていない設定箇所を洗い出す
・続いて、ツールが検知したリスクに対し、診断員がCVSS(※2)に基づいて危険度を数値化する
・顧客は診断員によってリスクのトリアージがなされた診断結果を受け取ることができる。
※1:CISベンチマーク:米国に本拠を置くセキュリティ団体CIS(Center for Internet Security)が提供する、設定のガイドライン。AWSの他にも、さまざまなベンチマークを提供する
※2:CVSS(Common Vulnerability Scoring System):共通脆弱性評価システム。影響の大きさや、攻撃の容易さなどさまざまな基準から、情報システムの脆弱性を評価する
中村氏によれば、脆弱性診断ツールを用いると、通常30~40件のセキュリティリスクが生データに近い形式で提示されるため、いったいどこから手をつけたらいいか判断できなくなるという。SHIFT SECURITY社のクラウド診断サービスでは、リスクごとに重大さを数値化し、修正計画を立案しやすくする。
利用料金は年間30万円の基本料金に加え、1回につき「リソース×単価」の診断費用が発生する。10ワークロードのモデルケースでは、1回の診断にかかる費用はおよそ30万円。また診断報告書の納期は1週間程度。アジャイル開発の工程にクラウド診断を組み込むことも視野に入れる。
SHIFT SECURITYは2016年設立。ソフトウェアテスト大手 株式会社SHIFTが保有するプラットフォームを用いたサービスの標準化によって、品質のバラツキと待ち行列がない脆弱性診断などを提供、2020年1月現在で約120名の脆弱性診断員を直接雇用する業界中堅規模に成長した。
今回提供開始する「クラウド診断サービス」によって同社は、これまでサービスマップから抜けていたクラウドセキュリティ分野に進出する。アプリケーションやネットワークに対する脆弱性診断サービスを補完し、企業全体のセキュリティの診断サービスのカバー範囲をさらに広げる。
