クラウドのセキュリティ事故の99%はただの設定ミス。Cloudbaseは従来より早く、安くリスクを可視化する

日付
2022/03/02
 
サマリー
クラウドセキュリティ診断プラットフォーム「Cloudbase」を提供するLevettyは3月1日、AWS向けにベータ版の提供を開始した。3月1日時点で、事前登録している会社はすでに20近くあるとのこと。今年6月にはAWS向けに正式リリースし、年内にはGCP・Azureなど他のクラウドにも順次対応を予定している。
 
 
Cloudbaseは、パブリッククラウドにおける数百項目にも及ぶセキュリティリスクの洗い出し・可視化を安全に行うことができるプラットフォーム。
 
AWSなどのパブリッククラウドは、導入時点から設定ミスがほぼ確実に生じるという。そこで従来は各社のエンジニアが確認するか、AWSのセキュリティ機能を使って確認するのが一般的だった。しかし、そもそもクラウドのセキュリティ対策にリソースを割けていなかったり、複雑なAWSのセキュリティ機能を使いこなせている人はほとんどいない。
 
他にも脆弱性診断を年に1〜2回受けるなどの対処法もあるが、その程度のペースでは次の診断を待っている間に新たな脆弱性が生まれてしまう。そもそも、スポットの脆弱性診断では本質的なセキュリティ対策にはなっていない。
 
さらにセキュリティエンジニアを雇う場合でも、脆弱性診断を行う場合でも、かなりコストがかかるという課題がある。
 
Cloudbaseは内側からクラウドの構成をスキャンし続けるため、定期的にセキュリティリスクを観測できる。さらにソフトウェアを導入するだけなので、エンジニアを雇ったり脆弱性診断を外注する場合と比べてコストも数分の1になる。
 
 
Cloudbaseを利用するには、リソース情報の読み取り権限を持ったIAMユーザー(AWSを利用する際に必要となるユーザー情報)を発行するだけ。その際、クラウド構成や設定の変更を必要としないため、企業やチームの大きさに関わらず簡単に導入することができるのが特徴だ。
 
また、読み取り権限を持ったIAMユーザーがアクセスできるのはクラウド構成のメタ情報のみなので、Levetty社が機密情報や顧客情報を取得することはできないことも導入の観点から安心できるポイントだろう。
 
Cloudbaseでは危険度順に設定ミスを確認することができるため、導入後すぐにリスクの高いものから順に排除できる。
 
Criticalなリスクが30個、Highリスクが130個、Mediumリスクが390個、Lowリスクが130個ある。上から順に危険度の高いリスクが並んでおり、対応すべき順番が一目瞭然
Criticalなリスクが30個、Highリスクが130個、Mediumリスクが390個、Lowリスクが130個ある。上から順に危険度の高いリスクが並んでおり、対応すべき順番が一目瞭然
 
各リスクの詳細を開くと、本来あるべき状態とその説明まで表示される
各リスクの詳細を開くと、本来あるべき状態とその説明まで表示される
 

 
スタタイでは、Cloudbaseを運営するLevetty株式会社代表の岩佐氏にインタビューを実施した。
 
(以下、岩佐氏)
 
どうやって課題に気づいたか?
 
もともと、エンジニアがセキュリティを学ぶためのサービス「RedSecurity」を法人向けに提供していました。RedSecurityを導入してくださった某金融機関様が「クラウドのセキュリティも見てくれませんか?」と言ってくれたことがきっかけでした。
 
セキュリティ市場を調べたときに、クラウドのセキュリティ市場は海外でここ数年非常に伸びていたのでさらにリサーチをしてみることに。すると設定ミスの多さに驚いたんです。
 
事業が成り立ちそうか、検証はしたか?
 
今回はMVPは作らずに、トレンドマイクロ、IBM、NTTなどのセキュリティ部門の方を対象に2ヶ月ほどヒアリングさせていただきました。その結果、クラウドセキュリティのニーズの強さを感じました。
 
今までは「すぐ作ってすぐリリースしてみる」という進め方だったのですが、今回MVPを作らなかったのは、HOKUTO代表の五十嵐北斗さんに「コードは書くな」という話をしていただき、納得したからです。
 
「コードを書いてしまうとサンクコストが発生してしまうので、良くないサービスでもピボットしづらくなる。だから調べ尽くしてから取り組む事業を考えた方がいい」と教えていただきました。
 
とにかく先まで地図を描く。その地図に論理の飛躍がありそうな箇所を見つけたら、そこで初めて仮説検証をすべき。そうではなく、やみくもにコードを書いているだけなら目を瞑ってバットを振っているのと同じだと言われてハッとしまして。そういった経緯で今回はMVPを作らない代わりにとにかくヒアリングをして、地図を描いてから開発に取り組みました。
 

 
AWSを利用中で、セキュリティリスクに少しでも不安のある企業やエンジニアは、以下のリンクから直接日程を設定すると、代表の岩佐氏から説明していただけるようだ。(岩佐氏のTwitterはこちら