同サービスは、2022年の事前登録開始時からコンセプトを一新し、クラウドセキュリティの継続運用のサポートに特化した機能を搭載。クラウドセキュリティ運用体制の構築や負担軽減、運用フローのさらなる効率化を支援します。
クラウド利用にはセキュリティの継続運用が必須
AWSやGoogle Cloudなどのパブリッククラウドにおいては、クラウド運営企業とユーザーの責任範囲について「責任共有モデル」という形で定義。データの管理や保護、アクセス権限の適正化などのセキュリティやコンプライアンスに関するトピックはユーザーの責任範囲となっています。そのため、クラウドを利用する企業にとって、クラウドセキュリティの継続的な運用は必要不可欠なのです。
クラウドセキュリティ運用にける課題
しかし、クラウドセキュリティ人材の不足をはじめ、さまざまな課題があります。例えば、クラウドセキュリティに対するチェックが第三者監査などの特定のタイミングでのみ行われ、運用チームへの早期フィードバックが実現できていないこと。この場合、クラウド運用が安定するまで検査が行われないことも多く、対応が後手に回ることもあるようです。
また、パブリッククラウドのセキュリティ機能を有効化しているものの、警告内容や設定などのチェックが十分にできていないという課題も。このケースでは、クラウドセキュリティにかけるコストに対して得られるセキュリティ改善が小さいことも課題となっています。
リスクを自動的に検査、要因や対応策なども確認可能
これらの課題解決をサポートするために開発されたのが、「Shisho Cloud」正式版です。同サービスでは、AWS・Google Cloudのリスクを自動的・継続的に検査し、検出したリスクをリアルタイムで通知。Slackと連携すれば、Slackでも検出結果をリアルタイムに確認できます。
ダッシュボードでは検出結果のハイライト、検出されたリスクの説明、リスクの生まれた背景、リスクに対応する推奨設定、対応状況などを確認でき、クラウドセキュリティチームのノウハウ共有やタスク管理にも活用できます。
同サービスでは、導入開始から継続的な活用まで、株式会社Flatt Securityの専門チームが伴走型でサポートします。
高いカスタマイズ性でPolicy as Codeの実現をサポート
「Shisho Cloud」正式版には、セキュリティポリシー(セキュリティのルールや設定)をコードで記述し運用する“Policy as Code”の実現をサポートする各種機能を搭載しました。セキュリティ診断の対象・ロジック・タイミングや通知内容・タイミングを、Regoなどの言語でカスタマイズ可能。
また、PCI DSSなどの事業ドメインから来る制約や組織の規模・成熟度にあわせてカスタマイズすることもできるため、多様な業界・組織のニーズにあわせたクラウドセキュリティ施策の実現を後押しします。
さらに、セキュリティポリシーのコードをGitHubで管理することも可能。これにより、ポリシーのバージョン管理などをエンジニアが慣れ親しんだソフトウェア開発プロセス同様に実施できるでしょう。
そして、GitHub Actionsを利用することで、ポリシーの変更を即座に自社ガバナンスに活かす継続的デプロイメント(Continuous Deployment)も実現可能です。
今後の展開
株式会社Flatt Securityは、今後、GitHubに格納されたデータに対するセキュリティ診断を実施する機能の実装も検討。現在、GitHub組織・リポジトリの設定を対象としたセキュリティ診断実施機能を試験提供しています。また、AWS・Google Cloudのセキュリティに関する機能拡充を進めるとともに、クラウド上のアプリや、AWS・Google Cloud以外のプラットフォームを対象としたセキュリティ診断ができるよう、サービス拡充を進めていく予定です。
参考元:https://prtimes.jp/main/html/rd/p/000000044.000027502.html
(文・Higuchi)