事業を支える基幹系システムのクラウドシフトや、データ基盤を活用したデジタルトランスフォーメーション(DX)の増加に比例して、クラウド環境の設定ミスや脆弱性を突いた不正アクセスや情報漏えいも増えている。
しかし、それを防ぐセキュリティ人材は不足しているのが現状だ。この課題に対し、2025年の3月11日から14日にかけて東京・JPタワーで開催された「Security Days Spring 2025」にて、Cloudbaseのマーケティング担当である早坂淳氏(写真)が講演を行った。
クラウド環境を取り巻くリスクと人材不足
IDC Japanの調査によると日本国内のパブリッククラウド市場は年々拡大しており、2024年には約4,000億円規模に達した。一方でクラウド環境を取り巻くリスクも顕在化している。クラウド上の設定ミスや脆弱性は攻撃者にとっての「狩り場」であり、IPAが毎年まとめている「10大脅威」でも「不注意による情報漏洩等の被害」が継続的にランクインしている。
対策にはセキュリティ人材の力が不可欠だが、ISC2の調査によれば2024年でもなお約17万人が不足している。問題は、セキュリティ担当者自身もスキルギャップを感じていることだ。早坂氏は「中でも30%が、クラウドコンピューティングに関するスキルギャップを訴えている。長年ネットワークやアプライアンスを扱ってきた専門家にとって、クラウドはややハードルが高い」と指摘する。
クラウドは企業の変革を推進する存在だが、誰もが簡単に利用できるがゆえに、管理やガバナンスに苦労している。
導入しやすく、誰でも使いやすく、ガバナンス向上も狙える国産CNAPP
Cloudbaseはこうした現状の打破を目指して設立された、日本発のスタートアップだ。セキュリティリスクを排除し、日本の企業がクラウドネイティブな開発をスピーディーに行えるように支援している。
そのCloudbaseが提供するソリューション「Cloudbase」は、CNAPP(Cloud Native Application Protection Platform)と呼ばれる製品の一つだ。AWSやAzure、Google Cloudなどのマルチクラウド環境に対応し、CSPM(Cloud Security Posture Management:クラウド環境の設定ミスを検知)、CWPP(Cloud Workload Protection Platforms:クラウド上のワークロードの脆弱性を検出)、CIEM(Cloud Infrastructure Entitlement Management:クラウド利用時のIDやロールを適切に管理)の3機能を通してクラウド環境におけるリスク把握・修正を可能にする。
Cloudbaseはスタートアップにもかかわらず、製造業や医療、金融など幅広い業界の大手企業で採用されている。その理由は主に3つあるという。1つ目は導入のしやすさだ。「Cloudbaseはエージェントレスでの導入が可能で、実行環境に影響を与えずに3ステップで一括監視をスタートできる」と早坂氏は説明する。
2つ目の理由は、専門家でなくても容易にリスクを修復できることだ。一般にこの手のツールでスキャンをかけると数千、数万単位のアラートが出てきてしまう。対してCloudbaseは即時対応が必要なリスクをまず抽出し、根拠とともに優先順位を示すため、担当者の負荷を軽減できる。さらに、検出したリスクの修正方法についても、顧客環境に合わせた具体的な作業手順が提案されるため、コピー&ペーストするだけで修正が可能だ。これにより、セキュリティ部門と運用部門のコミュニケーションが改善され、現場主導の修復が実現する。この過程は人材育成にもつながり、「AWSを使える人材が増えた」という声もあるという。
そして3つ目は、ガバナンス向上だ。クラウドは手軽に利用できるため、テスト用に作ったアカウントが放置されるケースは少なくない。Cloudbaseではそうしたユーザーやロールを洗い出し、必要以上の権限が付与されていないかを確認できる。また、「次の更新で対応」といった判断の経緯もログとして残し、説明可能なリスク管理を支援する。
2つの新機能発表 海外製品に肩を並べる国産セキュリティ製品を目指す
CNAPPの領域で培ったリスク修復体験をさらに広範囲へ提供すべく、Cloudbaseは講演内で2つの新機能を発表した。
1つは「脆弱性管理」機能だ。この数年でクラウドシフトが進んだとはいえ、まだオンプレミス環境に残るリソースも多い。そこで、クラウド上のリソースだけでなく、オンプレミス環境の資産もまとめて一元的に把握し、脆弱性を管理する狙いだ。これを可能にするのが「Cloudbase Sensor」で、システムに負荷を与えずにスキャンを行い、最小限の情報を収集してCloudbaseの「再構成サーバ」で環境を復元、SBOM情報を抽出する。
この機能ではCVSSスコアによる機械的な評価に代わり、悪用の有無やインターネットへの露出状況などから優先順位付けを行う「SSVC」を採用している。「とあるユーザーの環境で実験したところ、即時対応が求められる脆弱性を全体の0.02%まで絞り込むことに成功した」と早坂氏は振り返る。
もう1つは「ASM」機能だ。調査したいドメイン名を入力すると、関連するサブドメインやIPアドレスを探索し、稼働しているクラウドやソフトウェア、ミドルウェアを特定、さらには設定ミスや脆弱性を抽出していく。「ASMは外からの簡易検査であり、CNAPPは内側からの精密検査だ。どちらか一方ではなく、両方を組み合わせて使うことを推奨している」(早坂氏)
Cloudbaseはクラウド環境を精密検査するCNAPPから出発し、インターネット側から検査を行うASM、コンピュータの中を検査するSensorなどにソリューションを広げつつ、リスク修復体験プラットフォームを拡張してきた。今後も「検知し、トリアージし、リスクを解決する運用を回していくためのプロダクトを提供していく」と早坂氏は意気込みを語る。「将来的には一連のセキュリティ領域を統合し、国産唯一のCTEM(Continuous Threat Exposure Management)として展開していく計画だ。アメリカやイスラエルといった海外製品に肩を並べる国産セキュリティ製品にしていきたい」(早坂氏)
