AWS、Azure 等のクラウドサービスのセキュリティ管理や監視を行うプラットフォーム「Cloudbase」は、同カテゴリの海外製品と比較して一頭地を抜くわかりやすさ・使いやすさ・運用のしやすさで、すでにスズキ、パナソニック、出光興産など名だたる大企業が相次いで採用している。
この Cloudbase を開発したのが、京都大学の学生が 2019 年11月に創業した設立 4 年ほどのベンチャー企業であることは驚きである。
東京駅南口から(信号が青なら)徒歩 30 秒の KITTE で 3 月に開催される Security Days Spring 2024 で、「クラウドセキュリティの最前線:効率的なリスク対策と運用」と題した講演を行う、Cloudbase株式会社 COO 小川 竜馬(おがわ りょうま)氏に話を聞いた。
--
── Cloudbase 開発のきっかけを教えて下さい
創業者の岩佐が、「セキュリティの世界で僕たちが何をすると一番世の中に大きな価値を提供できるか」という問いを立てて、いろんな人に会ったり、情報収集をしたり、もがいて悩んだ結果たどりついたのが、クラウドセキュリティの領域でした。
── Cloudbase は具体的にどんなことができるサービスですか?
シンプルにお伝えすると、企業が利用する AWS、Azure、Google Cloud などのパブリッククラウドのセキュリティリスクを見つけて、直していくところまでを一貫して行うプラットフォームが Cloudbase です。
── Cloudbase はクラウドの設定ミスを見つける CSPM(Cloud Security Posture Management)と、クラウドで展開するワークロードを保護する CWPP(Cloud Workload Protection Platform)を併せ持つ CNAPP(Cloud Native Application Protection Platform)のカテゴリに入る製品ですが、たとえば Palo の Prisma のような製品と比較して Cloudbase の一番の特長はなんですか?
競合の海外製品は、アメリカの大きな企業のセキュリティエンジニア向けに作られています。アメリカの大企業には弊社代表の岩佐みたいなエンジニアが一社に 100人 ぐらい在籍して、高い給与をもらって働いています。そういったエンジニア向けに作られているため、たとえば画面がコードで埋め尽くされて黒くて、データも洪水のようにたくさん出てきます。これはアメリカの大企業のセキュリティエンジニアからしたらとても嬉しいことです。たくさんの情報を分析して結論を出せますから。
一方で、基本的に日本の大企業には、楽天やリクルートなどごく一部を除いて、「セキュリティ担当者」はいても「セキュリティエンジニア」は在籍していないケースが多いです。Cloudbase はそういった専門性が決して高くない「日本の大企業のセキュリティ担当者」に向けたプロダクトであり、そもそも海外製品とはターゲットが全然違っており、この点が特長のひとつだと思っています。
また Cloudbase は、検知したリスクの個々の深刻度の情報だけでなく、全体を俯瞰して、たとえば「設定ミスA」と「設定ミスB」と「サーバの脆弱性C」が組み合わさることで「サイバー攻撃D」が成立し、「重要情報E」に到達されてしまうといった、いつ攻撃が来てもおかしくないリスクを図で示して提供します。Cloudbase では「即時対応が必要なリスク」と呼んでいます。このように、即時に対応が必要なリスクへすぐにアプローチできる点が Cloudbase の最大の特長です。
近年は DX が進むことで事業部門の方がサービス開発を行うケースも増えています。Cloudbase はこうした現業部門の担当者を「第二のユーザー」としてとらえて、次のような取り組みを行なっています。
・スクリーンキャプチャを使用した、AWS の操作手順に関する説明
・企業名を開示した被害事例の提供(サイバーインシデントへ起因した攻撃事例を含む)
・担当者が一番気にしている、サービス停止の有無に関わる情報の提供
このような情報を提供する際に使用しているコンテンツは、社内のエンジニアメンバーがお客様のニーズにあわせてゼロから作成しています。
── 日本企業の風土に合わせて運用を重視した CNAPP が Cloudbase ということですね。その他に Cloudbase のメリットはありますか?
Cloudbase は日本人が日本企業のために作っている製品です。私たちは、お問い合わせの返信や必要な対応は、即時または当日の実施を原則としていますが、外資系製品ではあまり例のないことです。そのため、この点も Cloudbase をご利用いただく際のメリットとなると考えます。
── ありがとうございました
--
日本におけるサイバーセキュリティ産業とは、脆弱性診断やコンサルなどのサービスか、(多くは海外製の)セキュリティ製品導入やインテグレーション、あるいは運用や管理などの SOC やマネージドサービスがほとんど全てで、ごく一部の例外を除けば、独自製品をスクラッチで作るような骨太の志を持つ会社は滅多にない(編集部註:サービスや SI、海外製品、MSS などが良くないと言っているものでは全くございません 念のため)。
そんな現代の日本で、20 歳代の若者達が経営する企業が、サイバー攻撃の脅威から日本の経済や利益を守るために独自製品を開発して世に問うという、そんな王道のアプローチに果敢に挑戦しているというだけですでに少し泣けてくるものがあるが、それだけでなくこうして実績をも挙げつつあるのはもはや感動的である。
いまのうちに COO の小川氏と会場で名刺交換をしておいて損はないし、志のある大企業の管理者は、日本の未来のために Cloudbase のユーザーになって、ひとつこの若い製品を「育てて」みてはいかがだろうか。「払った金額分、あるいはそれ以上のメリットをきっちり納品させる」「ソフトウェア企業はできるだけ搾取する」、新自由主義経済以降、そんなマインドセットを持つ事が日本のビジネスパーソンの義務となったが、果たして良い国産セキュリティプロダクトがそんな態度で育つだろうか。余談が長くなったが、この期待を集めるクリエイティブな若い企業と製品 Cloudbase は要注目である、ということです。
Security Days Spring 2024
3.15(金) 11:30-12:10 | RoomA
「クラウドセキュリティの最前線:効率的なリスク対策と運用」
