AWSやGoogle Cloudの設定ミスによる情報漏洩、防げてますか？ クラウドの膨大な設定リスクを一覧表示、詳しく説明してくれる新サービス「Shisho Cloud」［PR］

AWSに代表されるパブリッククラウドは、コンピュート、ストレージ、ネットワーク、セキュリティなどシステム構築に必要な全ての要素を網羅しているために、例えばユーザーのアクセス権、オブジェクトストレージの公開設定、ネットワークやVPNの構成、APIの公開範囲など、膨大な設定項目があります。

もしもこれらの設定が間違っていた場合、たとえアプリケーションのコードから脆弱性を排除できたとしても、設定ミスから脆弱性が入り込んでしまう可能性があります。

事実、クラウドの設定ミスによって機密情報が第三者に公開されてしまうようなインシデントは、さまざまな企業や組織で毎月のように起きているのです。

一方で、クラウドを活用すればするほど、増大するクラウドの設定を全て正しく行うのは、たとえクラウドに詳しいエンジニアであっても難しくなります。

現実にはクラウドの構成や設定は、必ずしもクラウドインフラ全体に詳しいとはいえない開発エンジニアに任されていることが少なくありません。そのため、複雑化するクラウドの設定を間違いなく行うには、何らかの支援が必要でしょう。

クラウドの設定ミスそのものを未然に防ぐ

もちろん、クラウドの設定ミスなどに起因する情報漏洩などを防ぐために、侵入防御や侵入検知のためのシステムはすでに存在し、それらを活用することでインシデントの発生のリスクを抑えることも期待できます。

しかし、より本質的な解決方法として、クラウドの設定ミスそのものを未然に防止するサービスが登場しました。

サイバーセキュリティ事業を展開する株式会社Flatt Securityの「Shisho Cloud」（シショウクラウド）です。

Shisho CloudはAWSやGoogle Cloudの膨大な設定をセキュリティ面について自動的に検査し、発見したリスクをダッシュボードで一覧表示。それぞれのリスクについての説明と業界標準に基づく推奨設定を日本語で分かりやすく解説してくれるサービスです。

検査ロジックは自社に合うようにコードでカスタマイズでき、定期的な検査の設定によって新たなリスクが発見された場合にはSlackでの通知も可能です。

これによりクラウドのセキュリティに詳しいエンジニアがいない開発や運用の現場でも、あるいは大規模なシステムに対して少数エンジニアの体制でも、継続的に適切なクラウドの設定が実現できるようになります。

設定全体のリスクを把握できるダッシュボード

Shisho Cloudの具体的な機能を見ていきましょう。

Shsho CloudはSaaSとして提供されているため、指定された手順に従って簡単に導入が可能です。

導入するとユーザーが行っている設定全体に対して検査が開始され、下記のようなダッシュボードが表示されます。

ダッシュボードには大きく3種類の情報が示されています。

画面上部に表示されているのは、全体の中でリスクの重大さごとに分類された設定の数です。上の画面では「Critical」が6、「High」が48、「Medium」が114と表示されています。

重大さは次の5つに分かれています。公開設定の誤りなどすでに侵害を引き起こしている可能性が高い「Critical」、緩いネットワーク設定などによって攻撃される可能性が高い「High」、侵害時の影響が大きいことなどが考えられる「Medium」、保護不足と見なされる「Low」、より強固な環境を目指す上で参考となるであろう「Info」です。

その下の画面左側には（上の画面）、Amazon S3やAmazon EC2、Amazon EBSなどリスクのある設定が発見されたリソースごとの一覧が表示され、右側には問題点が多いポリシーの一覧が表示されています。

リスクのある設定毎に日本語で詳細な解説を表示

全体を把握するダッシュボードとは別に、リソースごとにリスクを把握できる「リソース」画面があります。

ここではAmazon S3などのリソースの種類を絞り込み、一覧表示可能。

例えば、左に並んでいるリソース名をクリックすると、そのリソースでリスクがあると見られる設定と、その解説が表示されます。

設定ごとに解説が用意されており、その内容やリスク、業界標準として推奨される設定がどのようなものか、などを学べます。

この解説を作成しているShisho Cloud開発元であるFlatt Securityは、すでに多くの国内企業に対してセキュリティ診断サービスを提供し、セキュアコーディングを独習できる学習プラットフォーム「KENRO」を公開するなど、高い実績を持つ企業です。

これらの実績を基に、すべての解説が日本語で分かりやすく書かれています。

この解説がクラウドの正しい設定を理解するガイドとなっていると同時に、クラウドのセキュリティの推奨設定や間違った場合のリスクなどが学べる優れた教材になっています。

リスクの対応状況についてステータスやメモを共有

ユーザーは解説を読みながら、リスクがあるとされた設定の修正を行うことができますが、もちろんその場で修正する場合もあれば、後で対応することもあるでしょう。

Shisho Cloudの画面では、設定にそれぞれ、要対応とするか、いつまでに対応するか、あるいはリスクを受け入れるか、といったステータスを設定し、チームで共有できるメモを残すことが可能です。

検査ロジックから通知内容まで、全てをカスタマイズ可能

Shisho Cloudの検査対象、項目、ロジック、通知内容などはすべてコードで記述されています。

そしてユーザーは自社のポリシーに合わせてこのコードのカスタマイズを行えます。

例えば、特定のタグが付いているリソースについては公開設定を最初から許容するなど自由なカスタマイズが可能です。

また、コードによるカスタマイズは検査ロジックだけでなく、cronによる検査のタイミングの設定、リスクを発見したときの通知など、さまざまな動作に及んでいます。

これにより、ユーザーは不要な検知を減らすことができ、自社のクラウド運用のかゆいところまで手が届く検査の運用が可能です。

エンジニアを育成し、形骸化した運用を立て直す

このようにShisho Cloudはクラウドの設定ミスなどによるリスクが現実となる前に検出し、セキュリティに詳しくないエンジニアであってもその内容やリスクを解説によって理解できます。

そしてShsiho Cloudを使い続け、さまざまな解説を基に対応を続けていくことでセキュリティについて学び、正しい知識と経験を身につけていくことになるでしょう。

Flatt Securityが実施したクラウドセキュリティに関する悩みを持つ企業40社企業を対象としたアンケート調査結果を見ると、クラウドセキュリティ人材の不足、クラウドのセキュリティ機能が発する警告内容や設定などのチェックが十分にできていないクラウドセキュリティ運用体制の形骸化などが大きな課題とされています。

Shisho Cloudはこうした課題に対して、セキュリティ人材の育成に役立ち、形骸化されたセキュリティの運用体制を実質的なものに立て直すことを可能にするサービスだといえるでしょう。

Shisho Cloudは現時点でAWSとGoogle Cloudに対応。月額基本利用料2万2500円から。無料トライアルも用意されています。

詳細はぜひ公式Webサイトからご覧ください。

≫Shisho Cloud公式サイト

（本記事はFlatt Security提供のタイアップ記事です）