クラウドのセキュリティ事故の99%はただの設定ミス。Cloudbaseは従来より早く、安くリスクを可視化する
公開日
2022/03/02
著者
Cloudbaseは、パブリッククラウドにおける数百項目にも及ぶセキュリティリスクの洗い出し・可視化を安全に行うことができるプラットフォーム。
AWSなどのパブリッククラウドは、導入時点から設定ミスがほぼ確実に生じるという。そこで従来は各社のエンジニアが確認するか、AWSのセキュリティ機能を使って確認するのが一般的だった。しかし、そもそもクラウドのセキュリティ対策にリソースを割けていなかったり、複雑なAWSのセキュリティ機能を使いこなせている人はほとんどいない。
他にも脆弱性診断を年に1〜2回受けるなどの対処法もあるが、その程度のペースでは次の診断を待っている間に新たな脆弱性が生まれてしまう。そもそも、スポットの脆弱性診断では本質的なセキュリティ対策にはなっていない。
さらにセキュリティエンジニアを雇う場合でも、脆弱性診断を行う場合でも、かなりコストがかかるという課題がある。
Cloudbaseは内側からクラウドの構成をスキャンし続けるため、定期的にセキュリティリスクを観測できる。さらにソフトウェアを導入するだけなので、エンジニアを雇ったり脆弱性診断を外注する場合と比べてコストも数分の1になる。
Cloudbaseを利用するには、リソース情報の読み取り権限を持ったIAMユーザー(AWSを利用する際に必要となるユーザー情報)を発行するだけ。その際、クラウド構成や設定の変更を必要としないため、企業やチームの大きさに関わらず簡単に導入することができるのが特徴だ。
また、読み取り権限を持ったIAMユーザーがアクセスできるのはクラウド構成のメタ情報のみなので、Levetty社が機密情報や顧客情報を取得することはできないことも導入の観点から安心できるポイントだろう。
Cloudbaseでは危険度順に設定ミスを確認することができるため、導入後すぐにリスクの高いものから順に排除できる。
スタタイでは、Cloudbaseを運営するLevetty株式会社代表の岩佐氏にインタビューを実施した。
(以下、岩佐氏)
どうやって課題に気づいたか?
もともと、エンジニアがセキュリティを学ぶためのサービス「RedSecurity」を法人向けに提供していました。RedSecurityを導入してくださった某金融機関様が「クラウドのセキュリティも見てくれませんか?」と言ってくれたことがきっかけでした。
セキュリティ市場を調べたときに、クラウドのセキュリティ市場は海外でここ数年非常に伸びていたのでさらにリサーチをしてみることに。すると設定ミスの多さに驚いたんです。
事業が成り立ちそうか、検証はしたか?
今回はMVPは作らずに、トレンドマイクロ、IBM、NTTなどのセキュリティ部門の方を対象に2ヶ月ほどヒアリングさせていただきました。その結果、クラウドセキュリティのニーズの強さを感じました。
「コードを書いてしまうとサンクコストが発生してしまうので、良くないサービスでもピボットしづらくなる。だから調べ尽くしてから取り組む事業を考えた方がいい」と教えていただきました。
とにかく先まで地図を描く。その地図に論理の飛躍がありそうな箇所を見つけたら、そこで初めて仮説検証をすべき。そうではなく、やみくもにコードを書いているだけなら目を瞑ってバットを振っているのと同じだと言われてハッとしまして。そういった経緯で今回はMVPを作らない代わりにとにかくヒアリングをして、地図を描いてから開発に取り組みました。