2023/2/15

これまでβ版として提供していたクラウドインフラの設定不備によるセキュリティリスクの自動検知・管理機能（CSPM／Cloud Security Posture Management）の正式販売を2月15日より開始します。トライアル期間中にいただいたフィードバックを踏まえ、より多くの企業様にご利用いただけるよう、AWSに加えAzureにも対応、5月にはGoogle Cloud対応も完了し、3大クラウドの設定不備を検知・管理することが可能になります。

グローバル基準で策定されているCIS Benchmarkや提供事業者毎のベストプラクティスルール集をベースに、ルールセットを網羅的にデータベース化。クロスプラットフォーム環境で同一基準の検査を行い、ルールデータベースと突合することで設定不備を自動検知します。検知結果は緊急度に応じて分類されるため、対応フローが容易に構築可能です。また、対応ステータスの管理が可能なほか、リソース状態を可視化し、対応済みのものと新たに検知したものが分かりやすく表示されるため、対応の抜け漏れを防止します。

日本語による対応手順やガイドが充実しており、検知結果だけでなく、修正方法も日本語でナビゲートされます。専門知識がなくても理解しやすく、エンジニア以外の方でも修正対応が可能です。

yamoryを活用することで、組織全体のクラウドインフラの一元管理が可能となります。また、yamoryがこれまで提供してきたソフトウェアの脆弱性管理、セキュリティ診断に加え、クラウド設定管理（CSPM）を活用することで、ITシステムに必要なリスク管理をオールインワンで実現します。

当社には複数の子会社があり、AWSはそれぞれの子会社で運用管理をしています。親会社であるマイクロアドでは、ヒアリングベースで各子会社のセキュリティ状況を把握していますが、ヒアリングベースでは常に最新の情報を取得できるわけではないため、実態と乖離している可能性があり、セキュリティリスクとして課題がありました。

yamoryが提供するCSPM機能では、子会社からIAMロールを提供してもらうことで常に最新のセキュリティ状況を把握できるほか、Slackへの通知機能を利用してセキュリティメンバーへの共有もシームレスに実現できています。検知されたリスクへの対応についても、管理画面で詳細を確認することができるため、AWSコンソールを操作したことがあれば対応可能でした。検索には「アカウントタグ」があり、任意の単位でグルーピングすることができるため、見たい情報をまとめられる点もメリットに感じました。

近年、クラウドサービスを利用する事業者において、設定不備によるセキュリティ事故が急増しています。クラウドストレージの設定不備による情報漏えいや、権限・認証の設定不備によるアカウントの乗っ取りなど、その多くがクラウド設定不備に起因するもので、社会的にも大きな影響を与えかねません。

クラウドサービスには「責任共有モデル」という考えがあり、提供事業者と利用者の責任範囲が定められています。クラウドサービス利用時には、その範囲を確認し適切に運用する必要がありますが、複雑かつ変化の多い領域であるため、利用者が全てを把握することは困難です。そこで、クラウドインフラの設定不備によるセキュリティリスクの自動検知を行うCSPM機能に注目が集まっています。世界における市場規模は2022年の42億ドルから、2027年までの間に86億ドルへ達すると予測されるなど、大きな成長が見込まれています（※）。日本においても、政府が対策を進めるなど今後の成長が期待される市場です。クラウド設定不備によるセキュリティ事故を防ぎ、統合的な脆弱性管理を実現するべく、この度クラウド設定管理（CSPM）の提供を開始しました。

yamoryは今後も、安心してテクノロジーを活用できる未来を実現するべく、サービス向上に努めてまいります。

※参照：株式会社グローバルインフォメーション「クラウドセキュリティポスチャ管理の世界市場」