パブリッククラウドの設定ミスや脆弱性を突いた不正アクセスや情報漏えい事件は依然として大きな脅威であり、クラウドセキュリティーの強化は、企業が取り組むべきセキュリティー対策の重要なテーマとなっている。この課題に対応するため、SBテクノロジー(SBT)では、パブリッククラウド環境の設定不備や脆弱性などの検知といった機能を搭載するCSPM(Cloud Security Posture Management)/ASM(Attack Surface Management)サービス「クラウドパトロール」を提供している。
機能を絞りシンプルな設計にしているほか、競合サービスと比較し価格を抑えたことなどが奏功し、クラウドパトロールの利用企業は増加中という。経済産業省の主導で2026年度中に始まる予定の「サプライチェーン強化に向けたセキュリティ対策評価制度」への対応も進めており、企業のセキュリティー対策強化を支援する。
「OCI」サポートで主要サービスを網羅し、マルチクラウド環境への対応強化
クラウドパトロールは、「ガイドライン監査」「緊急リスク対策」「アタックサーフェス管理(ASM)」の三つを主要機能として搭載し、クラウド環境の継続的な監視を行うサービスだ。これまで「Amazon Web Services」「Microsoft Azure」「Google Cloud」を対象にしてきたが、11月には新たに「Oracle Cloud Infrastructure (OCI) 」への対応を開始し、主要パブリッククラウドを網羅した。マルチクラウド環境を構築する企業が増える中で、幅広いニーズに対応できる基盤を整えた。
クラウドパトロールの特長
ガイドライン監査は、サイバーセキュリティーの専門家や関連組織などで構成される米国の非営利団体、Center for Internet Securityが策定した「CISベンチマーク」の最新基準を用いて、複数のクラウド環境を監査する。項目ごとに対象リソースを一覧化し、リソースごとに準拠・非準拠の状況を判定する。準拠方法をナビゲートするサイトも用意しており、非準拠の場合は対応手順や、準拠作業に必要なページへのリンクなどを掲載することで、ユーザーがすぐに改善に着手できるようにしている。
緊急リスク対策は、高リスクポートの開放、アカウントへの過剰な権限付与、多要素認証の未設定など、インシデントの原因となるリスクを検知、通知する。危険なポート開放など「緊急リスク」の一部は、クラウドパトロールがリスク検知後に自動で修復を行うなど、導入するだけでインシデント発生のおそれを低減できるのが特長だ。また、毎日発行される「パトロール日報」では、セキュリティーリスクに関する情報に加えて、各クラウドサービスの利用料金や、国内・海外リージョンの利用状況などが報告される。クラウドサービスの多くは従量課金制を採用しており、ユーザー企業が想定していない高額課金が発生するケースがあるが、そうしたリスクも抑制できる。
さらに、サイバー攻撃の対象となるIT資産を特定するASM機能を搭載している。経済産業省が示すASMのガイダンスに基づき、インターネットからアクセス可能なクラウド資産を発見し、内部に潜む脆弱性などのリスクを検出することで、「クラウド資産台帳」や「ASM」レポートを作成、攻撃対象となり得る自社の資産を可視化できる。
クラウドパトロールで検知可能なリスクの例
クラウドセキュリティーのニーズの高まりで導入企業が増加
セキュリティ&テクノロジー本部 サービス統括部 企画開発部 プロダクトマネジメントグループの多賀浩司・プリンシパルプロダクトマネージャーは「市場で展開されているCSPMサービスは高機能で、運用するのに技術リソースが必要となる。クラウドパトロールは機能を絞り、使いやすいかたちで提供しているので、技術リソースに制約のある企業でも導入しやすい」と述べる。加えて、利用料を競合より安価という月額5万円に設定することで、価格面でも競争力のあるサービスとしている。
多賀浩司 プリンシパルプロダクトマネージャー
クラウドパトロールは23年8月にサービス提供を開始した。多賀プロダクトマネージャーは「発売当初はクラウドセキュリティーの必要性やCSPMについて説明することが多かったが、最近ではお客様の中でクラウドセキュリティーの必要性が浸透し、(クラウドパトロールへの)関心が上がっている」と傾向を語る。価格の優位性や使いやすさ、レポートの充実などを理由に、メインターゲットとする中堅・中小企業の情報システム部門をはじめ、幅広い企業での採用が増加しており、継続率も高いとする。
「セキュリティ対策評価制度」への対応進める
経済産業省は26年度から「サプライチェーン強化に向けたセキュリティ対策評価制度」を開始する予定だ。現在の制度案では、企業のセキュリティー対策の成熟度を「★3 全てのサプライチェーン企業が最低限実装すべきセキュリティ対策」「★4 サプライチェーン企業等が標準的に目指すべきセキュリティ対策」「★5 サプライチェーン企業等が到達点として目指すべき対策」といったレベルに区分して評価することを想定されている。
★4・★5では原則的に第三者による評価が求められる見込みだが、★3では、企業はセキュリティーレベルを自己評価することになる。その場合、根拠や第三者が評価可能なエビデンスなどが求められる可能性がある。クラウドパトロールでは、制度案を参考に機能強化を図っており、要求事項・評価基準に対して、診断結果に加え裏付けとなるエビデンスなどを示したレポートを発行できるようにしているという。多賀プロダクトマネージャーは「制度内容が固まり次第、機能をアップデートしたい」と展望する。
24年11月には、ソフトクリエイトが自社のナレッジとクラウドパトロールを組み合わせたマネージドサービス「SCSmart クラウド設定監査サービス」を発売するなど、SBテクノロジーのパートナーもクラウドパトロールを用いたサービスを提供している。
クラウドパトロールを軸に、SBテクノロジーでは今後も国産ベンダーの強みを生かして、国内企業のニーズに沿った機能拡充やサポート体制の強化などを図り、企業のセキュリティー対策強化を支援していく。
