99%のインシデント要因とされるユーザ不備による脆弱性を検出──運用型のCSPMとしては国内初、OCI (Oracle Cloud Infrastructure)セキュリティ診断機能の提供を開始
Cloudbase
日本発のクラウドセキュリティ企業、Cloudbase株式会社(本社:東京都港区、代表:岩佐晃也、以下Cloudbase)は、Cloud Security Posture Management(以下CSPM)機能を内包しているクラウドセキュリティプラットフォーム「Cloudbase」の新サービスとして、Oracle Cloud Infrastructure(以下OCI)のセキュリティ診断機能の提供を開始したことをご報告いたします。
※運用型CSPMとは:ユーザーがリスクを解決する運用プロセスに特化したCSPM
クラウドセキュリティの現状と課題|セキュリティインシデントの99%はユーザーの責任範囲
AWS・Microsoft Azure・Google Cloudをはじめとした日本のパブリッククラウド(以下クラウド)の国内市場規模は2兆円を超え*1、今も急速に拡大を続けています。日本の大企業においても8割以上が全社的にクラウドを導入*2しています。
一方で、クラウド利用におけるセキュリティ事故は後を絶たず、大企業では大規模な情報漏洩や不正アクセスといった問題が絶えず発生しています。
このようなセキュリティ事故の要因として、クラウド上の構成ミスや構成不備に起因する脆弱性が挙げられますが、日本国内では社内に専門人材が不足*3しており、有効な対策が実施されていません。
他にも以下のような課題が存在します。
- セキュリティ部門や情報システム部門といった専門チームが、社内の各事業部のクラウド利用の実態を監視できていない。
- 事業部によってセキュリティ対策の濃淡が存在している。
- 導入時、設計段階のレビューのみでセキュリティシステムが運用されており、定期的なアップデートがなされていない。
このような課題を放置すると情報漏洩やサーバの乗っ取りといった重大なセキュリティインシデントに繋がります。実際に、クラウドにおけるセキュリティインシデントの99%がクラウドを利活用するユーザーの責任によって引き起こされるものになるという予測*4が発表されています。
以上の背景から、セキュリティ状態の確認及び必要な対策項目の洗い出しを早期に実施することが求められます。
*5
開発概要と背景|運用型CSPMとしては国内初!OCIへの対応開始で更なるセキュリティ領域の拡充へ
これまで「Cloudbase」では、AWS・Microsoft Azure・Google Cloudといったパブリッククラウドの利用企業を対象にセキュリティサービスを提供してきましたが、今回OCIのセキュリティ診断機能の提供を開始することで、より多くのクラウド利用時に発生する企業の課題へ向き合うことができるようになりました。(対応項目は以下の図を参照)
現在、OCIのセキュリティ診断に対応しているCSPMは、国内市場の中でも少数となっており、運用型CSPMのOCI対応機能としては今回が国内初の取り組み*6です。
クラウドセキュリティプラットフォーム「Cloudbase」とは|日本企業のセキュリティ戦略推進をサポートするプラットフォーム
企業の安全なクラウド運用を実現するセキュリティプラットフォーム「Cloudbase」
「Cloudbase」は、今回サービス提供が開始されたOCIはもちろん、AWS・Microsoft Azure・Google Cloudといったパブリッククラウドを利用する際に発生する設定ミスや、サーバーやコンテナの脆弱性といった様々なクラウド上のリスクを、統合的に可視化し、対策項目の優先順位付けと実施・管理までを一貫して行うセキュリティプラットフォームです。
「Cloudbase 」の特徴 とは
1. エージェントレススキャン
各企業の既存環境に影響を与えることなく、全社のクラウドリスクを可視化します。
専用のソフトウエアのインストールを必要としないエージェントレスのスキャン技術により、既存環境に影響を与えることなくスキャンを実施することができます。
これにより、インストールの手間やサービス負荷を気にせずAWS・Microsoft Azure・Google Cloud・OCIを一元的に監視することが可能になります。
2. トリアージ
「Cloudbase」は、クラウド上の構成ミス(ポート開放、パブリック公開など)や脆弱性(Log4Shellに代表されるCVEで管理されるもの)を統合的に検出することができます。
検知される膨大なリスクから、クラウドの構成情報や設定ミスの組み合わせを独自に評価することで、ハッカーによる攻撃経路が存在しているものや情報漏洩が発生しているものなど、緊急度の高いリスクを優先的にアラート表示します。
3. 充実した日本語の直し方ドキュメント
クラウド上の構成ミス(ポート開放、パブリック公開など)や脆弱性(Log4Shellに代表されるCVEで管理されるもの)を統合的に検出後、それぞれのリスクへの対処方法を記した直し方ドキュメントを「Cloudbase」上で提供しています。
ドキュメントは現在340件ほどのリスクへ対応しており、各企業のセキュリティ担当者の迅速な対処をアシストしている他、セキュリティ対応に関する学習や人材育成にも活用できると、お客様からご好評をいただいております。
「導入して終わり」ではなく、本質的な運用まで徹底サポート
クラウドセキュリティは、製品を入れて終わりではなく全社でリスク対応を継続的に実施することが重要です。
企業が全社でセキュリティ戦略を推進できるよう、説明会、定例会、ルール策定をはじめとした、多くの関係者にとって分かりやすいユーザー体験やサポートを提供しております。
※上記でご紹介した機能について、OCIでは一部機能が実装されています。
「Cloudbase」は、日本を代表する多くの企業の皆さまにご利用いただいております。
サービス利用にご興味のある企業様や、クラウドのセキュリティについてご相談されたい企業様は、下記の専用ページよりお気軽にお問い合わせください。
お問い合わせ先:https://cloudbase.ink/contact
Cloudbase株式会社 概要
【Cloudbase株式会社】
エンジニアとしてのバックグラウンドを持つ代表岩佐が2019年に創業したスタートアップ企業です。AWS・Microsoft Azure・Google Cloud・Oracle Cloudといったクラウド利用時におけるリスクを統合的に監視・管理ができるセキュリティプラットフォーム「Cloudbase」を提供しています。
【会社概要】
社名:Cloudbase株式会社
本社所在地:東京都港区三田3-2-8 THE PORTAL MITA 2F
代表取締役:岩佐晃也
設立: 2019年11月
資本金:13億9,219万円(資本準備金を含む)
HP:https://cloudbase.co.jp/
(出典 / 注釈)
*1 総務省(2023年)「令和5年版情報通信白書」
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r05/pdf/n4800000.pdf
*2 総務省(2023年)「令和4年通信利用動向調査」
https://www.soumu.go.jp/johotsusintokei/statistics/statistics05.html
*3 NRIセキュアテクノロジーズ株式会社(2022年) ニュースリリース「NRIセキュア、日・米・豪の3か国で「企業における情報セキュリティ実態調査2022」を実施」
https://www.nri.com/jp/news/newsrelease/lst/2022/cc/1213_2
*4 Gartner(2019年)「Is the Cloud Secure?」
https://www.gartner.com/smarterwithgartner/is-the-cloud-secure
*5 一般社団法人日本サイバーセキュリティ・イノベーション委員会(JCIC)シンクタンクレポート(2018年)「取締役会で議論するためのサイバーリスクの数値化モデル」
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_keiei/pdf/003_04_00.pdf
*6 2024年5月自社調べ。日本国内における運用型のCSPMとして
※運用型CSPMとは:ユーザーがリスクを解決する運用プロセスに特化したCSPM