大事な情報が AWS 設定ミスで公開されていませんか? SHIFT SECURITY 中村丈洋 執行役員に聞くクラウドセキュリティの取り組み方 | ScanNetSecurity
2020.04.04(土)

大事な情報が AWS 設定ミスで公開されていませんか? SHIFT SECURITY 中村丈洋 執行役員に聞くクラウドセキュリティの取り組み方

AWS、Azure、GCPはWebブラウザからインフラ周りの設定ができる。便利になった反面、ちょっとしたユーザの設定ミスに起因した大きなセキュリティ上の事故が多数発生している。

製品・サービス・業界動向 新製品・新サービス
株式会社SHIFT SECURITYは、AWSなどのクラウドを対象とした「クラウド診断サービス」を2月1日より提供開始した。設定ミスなどによるクラウドを原因とした情報漏えい事故などが増えている状況に対応する。

新サービス開始を受けSHIFT SECURITYは、パロアルトネットワークス株式会社と共催で、セミナー「クラウドのセキュリティで知っておくべきリスクと対策について」を2月26日に日比谷パークフロント(東京)で開催する。同セミナーに登壇し「インシデント事例からみるクラウドセキュリティの取り組み方」と題した講演を行う、SHIFT SECURITY 執行役員 中村 丈洋 氏(工学博士)に、クラウドの安全運用について話を聞いた。

株式会社 SHIFT SECURITY 執行役員 中村丈洋氏(工学博士)
株式会社SHIFT SECURITY 執行役員 中村 丈洋 氏 (工学博士)

AWS、Azure、GCPといったPaaSを利用すれば、Webブラウザからインフラ周りの設定ができる。便利になった反面、オンプレミス環境時代と同レベルの管理やガバナンスがまだ追いついていない。ちょっとしたユーザの設定ミスに起因した大きなセキュリティ上の事故が多数発生している。本誌がかつて報じた通り2017年5月には、ウォールストリートジャーナルの購読者名簿220万件が想定していないユーザから閲覧可能な状態になっていることが判明している。AWS上で購読者名簿を保有しており、これが非公開の領域に置かれていなかったことが原因だ。

「PaaSでは広範なリソースや機能が提供され、さらに日々アップデートが続けられています。サービス側からベストプラクティスとして利用できるリソースも提供されていますが、それを追いかけ、設定が適切かどうか継続的に管理することは簡単ではありません(中村氏)」

この問題へのアプローチとしてSHIFT SECURITYは、AWS設定のセキュリティ診断を行うサービス「クラウド診断サービス」を2月1日から提供開始した(4月からAzureとGCP対応予定)。クラウド診断サービスの利用プロセスは下記の通り。

・まず同社の提携先の診断ツールを利用して、CISベンチマーク(※1)を満たしていない設定箇所を洗い出す

・続いて、ツールが検知したリスクに対し、診断員がCVSS(※2)に基づいて危険度を数値化する

・顧客は診断員によってリスクのトリアージがなされた診断結果を受け取ることができる。

※1:CISベンチマーク:米国に本拠を置くセキュリティ団体CIS(Center for Internet Security)が提供する、設定のガイドライン。AWSの他にも、さまざまなベンチマークを提供する

※2:CVSS(Common Vulnerability Scoring System):共通脆弱性評価システム。影響の大きさや、攻撃の容易さなどさまざまな基準から、情報システムの脆弱性を評価する

中村氏によれば、脆弱性診断ツールを用いると、通常30~40件のセキュリティリスクが生データに近い形式で提示されるため、いったいどこから手をつけたらいいか判断できなくなるという。SHIFT SECURITY社のクラウド診断サービスでは、リスクごとに重大さを数値化し、修正計画を立案しやすくする。

利用料金は年間30万円の基本料金に加え、1回につき「リソース×単価」の診断費用が発生する。10ワークロードのモデルケースでは、1回の診断にかかる費用はおよそ30万円。また診断報告書の納期は1週間程度。アジャイル開発の工程にクラウド診断を組み込むことも視野に入れる。

SHIFT SECURITYは2016年設立。ソフトウェアテスト大手 株式会社SHIFTが保有するプラットフォームを用いたサービスの標準化によって、品質のバラツキと待ち行列がない脆弱性診断などを提供、2020年1月現在で約120名の脆弱性診断員を直接雇用する業界中堅規模に成長した。

今回提供開始する「クラウド診断サービス」によって同社は、これまでサービスマップから抜けていたクラウドセキュリティ分野に進出する。アプリケーションやネットワークに対する脆弱性診断サービスを補完し、企業全体のセキュリティの診断サービスのカバー範囲をさらに広げる。


セミナー開催情報
クラウドのセキュリティで知っておくべきリスクと対策について
日時:2月26日(水)17時~19時
会場:東京都千代田区内幸町2丁目1-6号 日比谷パークフロント15階
定員:30名
参加費:無料

アジェンダ
・17:00~17:40「クラウドにおけるZero Trustの考え方」
パロアルトネットワークス株式会社 クラウドセキュリティアーキテクト 中村弘毅氏

・17:50~18:30「インシデント事例からみるクラウドセキュリティの取り組み方」
株式会社 SHIFT SECURITY 執行役員 中村丈洋氏(工学博士)

申込:セミナーサイト申し込みフォームから
《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×