昨今多くの企業で、急速な環境変化に対応するためのクラウド活用が進み、用途に応じて複数のクラウドサービスを使い分けるマルチクラウド利用が広がっている。一方で、クラウドサービスでは容易にシステムを構築、拡張、変更できることから、様々な部署で多数のクラウドシステムが個別に構築されるようになり、各システムの状態、セキュリティ設定等を全社で統合的に把握、管理するのが難しいという課題が出てきている。
そうした課題を解決し、パブリッククラウドを安全に使うためのアプローチとして、クラウドシステムの設定を常時監視し、セキュリティ設定が正しい状態かどうかポリシーに沿っているかを確認できる仕組み「CSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理)」という概念が注目されている。
株式会社インターネットイニシアティブ(以下、IIJ)は、AWS(Amazon Web Service)やMicrosoft Azure、GCP(Google Cloud Platform)といった各種クラウドサービスで構築した複数のシステムの設定を一元管理し、設定の不備を検出することでクラウド環境のセキュリティリスクを可視化する「IIJ CSPMソリューション」を提供開始した。
同ソリューションはCSPMを提供するソリューションで、米国Palo Alto Networksのクラウドネイティブセキュリティプラットフォーム「Prisma Cloud」を活用してネットワーク構成やストレージ設定、アカウント制御や暗号化設定など各クラウドリソースへのアクセス権限やパラメータ設定を分析し、設定不備による脆弱性を検出するとともに是正策を提示する。詳しい特長は以下の通り。
- API連携のみで容易にマルチクラウドの一元管理を実現
- 問題のある設定を自動で特定し解析、自動修復まで可能
- 技術サポートにより導入後も安心した運用が可能
各クラウドサービスは、APIで連携を行うだけで監視が可能になり、マルチクラウド環境でも容易にリソースの利用状況を可視化し一元管理することができる。監視の際にインスタンスへのアクセスは発生しないため、監視によるシステムへの負荷がかからない。
CISベンチマーク(※1)といったセキュリティ基準や、EUの個人情報保護法「GDPR」、NISTサイバーセキュリティフレームワーク(※2)、PCI-DSS(※3)などのコンプライアンス要件への対応と準拠をチェックし、違反している設定やリスクの高い設定など問題箇所を危険度別に整理して、アラートを通知する。
管理画面では、時系列でアラートの発生状況や関連する設定変更履歴を表示するため、問題箇所を即時に特定、解析することができる。問題箇所を検出した場合は、修正する手順を提示するほか、あらかじめルールを定義しておくことでワンクリックで設定を修復したり、自動修復することも可能だ。
ポリシーチューニングなど初期導入支援に加えて、監視対象のクラウドシステム追加やアカウント追加など運用代行作業もIIJが行う。また様々な部署で利用されるクラウド環境に対して、アップデートされるポリシーを適用するだけで全社一括でセキュリティ基準による運用が可能になる。さらに、AWSやMicrosoft Azureのナレッジも含めた運用監視に関する技術的なサポート窓口を提供するため、導入後も安心して利用できる。
同ソリューションを利用することで、IaaSの設定不備によるシステムへの攻撃やセキュリティ事故の発生抑止につながるとのことだ。
なお、同ソリューションの参考価格として、初期導入支援が3,000,000円~、運用監視が3,600,000円~/年となっており、別途Prisma Cloudのライセンス費用が発生するとのことだ。
※1 CISベンチマーク:米国のセキュリティ組織「CIS(Center For Internet Security)」が策定した、システムを安全に構成するための構成基準およびベストプラクティスが記載されたガイドライン。
※2 NISTサイバーセキュリティフレームワーク:米国の政府機関「米国国立標準研究所(NIST)」が2014年に発行した重要インフラのサイバーセキュリティを向上させるためのフレームワーク。
※3 PCI-DSS:Payment Card Industry Data Security Standardの略で、クレジットカード情報を取り扱う際のグローバルセキュリティ基準。