●はじめに
前回の記事では、クラウド特有のリスクと、クラウドセキュリティは運用が肝要であるというお話をしました。今回は、後者の「運用」について皆さんと一緒に深ぼりしていきたいと思います。
●セキュリティあるあるの課題。運用が回らずリスクが放置されがち
大企業のセキュリティ担当者様や、友人のセキュリティエンジニアからよく言われることが、「ツールを導入したがリスクはほとんど解決されていない」という実態です。
実はクラウドセキュリティの世界でも同じことが起こっています。AWS や Microsoft Azure を使用していて、セキュリティ面を担保するために CNAPP や CSPMツールを導入したものの、スキャンの結果リスクが何万件も検出され、リスクの内容や解決方法がわからないため、結局リスクの解決がなされずに放置されているというケースが多いようです。
※ 大前提、ツールを入れてリスクの可視化をするということ自体に大きな価値があり、そこまで実行されている担当者の皆様は大変素敵なお仕事をされていると思っています。
一方で、クラウドセキュリティにおける 1 つのゴールは「リスク解決」であること、これは間違いないと言えるでしょう。ゴールであるリスク解決をするための新しいの運用形態を我々は模索する必要があります。
リスク解決が難しい背景には様々な要因があります。よくあるケースとしては、リスクの数が多すぎる、何を本当に対処すべきかわからない、対処しようにもクラウドの知見が豊富ではないため自信を持って進めることが難しい、あるいはシンプルに時間が足りない、などです。
さらにその裏側には、日本のセキュリティやクラウド人材の不足が重くのしかかっていると考えられます。多くの大企業の皆様が「とにかく人・スキルが足りない」とお話されています。我々は、「そうですよね、色々足りないですよね」ではなく、「その状況から、どのようにすればより安全でスピーディなクラウドの利活用を皆様と実現できるか」を目指して、真っ向から課題解決をしていきたいと考えています。
●リスクを解決できる運用フローの構築に向けて
クラウドセキュリティの課題である「リスク解決までの運用が回らないこと」に対して、我々は「最小の運用工数」で、「誰もがリスクの解決ができる」ことを実現することで日本企業の課題を皆様と一緒に解決していきたいと考えています。
リスクが多く検知されているから全て解決してください、という方法は有効でない場合が多く、いかに運用工数の負荷を削減することができるかは常に向き合い続けるべき論点だと信じています。リスク調査の工数や、解決するための工数、あるいは社内のコミュニケーションの工数をできるだけ簡潔にしていくことが重要です。
また、クラウドセキュリティにおいて、リスクを理解することや解決することは決して簡単ではありません。対処をするためにはクラウドの知識やセキュリティの知識が十分に必要であり、また設定の変更を行うことでシステムに影響が及ぶ場合もあるからです。だからこそ、リスク理解やリスク解決をスムーズに行えるようにすることに価値があります。弊社では、誰もがリスクを理解し解決できるようなプロダクトづくり、サポート体制を強く意識しています。
上記の「最小の運用工数」で「誰もがリスクの解決ができる」状態を作るために弊社がサポートしている、クラウドセキュリティの運用フローの 3 ステップをご紹介させて頂きます。
1. リスクの検出
・まずはリスクを可視化することから全ては始まります。ここは弊社も同じ考えです。クラウド特有の、あるいは影響の度合いが大きいリスクである設定ミスや脆弱性を網羅的に検出することが重要です。CIS のフレームワークや各クラウドベンダーのベストプラクティスなどのリファレンスを活用して、リスクの洗い出しを行うことが可能です。
2. トリアージ
・「最小の運用工数」を実現するためのキーパーツです。リスクは数千から、環境の規模によっては数十万件のオーダーで検出されます。このすべてに対応することは不可能です。どのリスクが自社のビジネスにとってインパクトが強いのか、本当に「危険な」リスクは何であるのかをトリアージすることで、解決すべきリスクの数を対応可能なレベルに絞り込むことが重要です。
・Cloudbase では、設定ミスや脆弱性に対して、ネットワークのつながりや、権限の付与状況など、クラウド特有の考慮点を踏まえてシステムをマッピングします。そして、攻撃者が今にも攻撃可能な経路を特定し、本当に今対応すべきリスクの絞り込みを行います。
3. リスク解決
・当然のことながら、リスク解決までやり切ることでリスクは初めて削減されます。一方で、このリスク解決は難易度も高く、ガイドなしでは難しい場合も多いです。
・Cloudbase では、検出したリスク対応に関する豊富なドキュメントや情報をプロダクト上で提供しています。あるリスクに対して、どのように画面を操作すれば、またどのようなコマンドを打てば解決するか、まで丁寧に案内をしています。これによってクラウドを活用しているどんな方でもリスクを理解し、解決することを可能にしています。またリスクを解決するにあたっての人的なサポートも重視しており、ラストワンマイルのお困りごとを解決するために、プロダクトを最前線で開発しているエンジニアが技術的な質問へ回答し、課題の解決をサポートしています。
こうした運用が実現され始めると、大企業の中でクラウド利用を始めた事業部の方々や、その環境のセキュリティリスクをなんとかしたい IT部門・セキュリティ部の皆様が比較的簡単に成果を出せるようになります。事実、日々お客様とお話をさせていただく中でも、大きな負荷を必要とせずに、事業部門とセキュリティ部門が一丸となってクラウドのリスク解決運用を実現されているケースが生まれており、非常に嬉しい限りです。
次回からは、リスク解決にコミットした弊社のプロダクトやサポート組織についてご紹介する予定です。
今後も Cloudbase は日本企業の皆様のためにプロダクトを進化させ、サポート体制を磨いていきます。皆様と共に、本質的なクラウドセキュリティ運用を実現していくことを楽しみにしています。
