本文へ移動します

未来に繋ぐセキュリティ情報発信

CSPM/ASM サービス「クラウドパトロール」の自社導入 ~導入効果と関係者の本音とは!?~

上野 裕介

プロダクトマネジメントグループの上野です。
CSPM/ASM サービス「クラウドパトロール」は、おかげさまでサービス提供開始から一周年を迎えることができました。
クラウドパトロール一周年記念といたしまして、今回は「クラウドパトロール」を自社導入した関係者と対談した内容をブログでご紹介させていただきます。

~対談参加者の紹介~
多賀:クラウドパトロールのプロダクトマネージャー
丸山:CISO 代行。情報セキュリティ最高責任者、CSIRT 責任者、クラウドパトロール自社導入決定者
丸岡:CSIRT メンバー。自社のセキュリティ保全活動を行う中でクラウドパトロールを活用
大月:情報セキュリティ担当者。クラウドパトロールの運用ルール策定やアラート検知時の対応/支援を担当
萬屋:情報システム担当者。クラウドパトロールの導入/運用管理を担当

「クラウドパトロール」の誕生秘話と開発裏話

上野:「クラウドパトロール」を開発することになったきっかけを教えてください。

多賀:お客様の声から Azure や AWS、Google Cloud などのパブリッククラウドに対するセキュリティサービスを検討する中で、市場には高機能だが高価な製品、または安価だが導入や運用に手間がかかる製品が多いことに気付きました。そこで、手軽に使えて安価な CSPM(Cloud Security Posture Management)サービスの構想が始まり、「クラウドパトロール」の誕生へとつながっていきました。

上野:開発にあたってお客様にお話を伺ったそうですが、クラウド環境のリスク対策にどのような課題をお持ちでしたか?

多賀:お客様が抱えていらっしゃる課題は大きく分けて3つありました。
①時間:クラウド環境にリスクがあることは認識していても、情報システム部門はクラウド環境だけでなくオンプレ環境、業務端末、社内インフラなどの管理で忙しく、クラウド環境のリスク対策に時間をかけられていない。
②運用の手間:一般的な製品を導入する検討をしても、高機能だが複雑で使いこなせそうになく、使い方を覚えたとしても運用に手間がかかりそう、大変になりそうである。
③費用:従量課金のライセンス体系サービスが多く、トータルでかかるコストが不明確で予算が取りにくい。

上野:「クラウドパトロール」の機能は、どのような基準で企画開発しているのでしょうか。

多賀:顧客ニーズが高くお客様の運用を軽減できる訴求力がある機能のうち、開発実現性の高いものから優先して開発しています。この基準に照らし合わせ「アタックサーフェス管理」「緊急リスク対策」「ガイドライン監査」の機能を開発しました。

クラウドパトロール自社導入関係者のぶっちゃけトーク!

上野:過去に当社では、運用していたクラウド環境の危険なポート開放などを監視する自社システムを利用していましたが「クラウドパトロール」を導入するに至った経緯や背景を教えてください。

萬屋:実は当社で運用していた自社システムに対して CISO や CSIRT、情報セキュリティ部門からさまざまな機能の要望があったのですが、かなり複雑な作りになっていたため、要望に応えられない状態でした。追加開発をして運用管理を維持していくのは正直厳しいと困っていた時に「クラウドパトロール」の社内導入の話がありました。

上野:「クラウドパトロール」を自社導入してみて、どのような効果を感じられていますか?

大月:自社システムでは監視対象のポートを追加するにも都度開発が必要で、とても効率が悪いと感じていました。「クラウドパトロール」は自分たちで開発する必要もありませんし、現在では自社システムを利用していた頃より監視しているポートも増えており、よりセキュアになっていると感じています。直近でもポートが開いていることや自動的に閉じましたという通知メールが届いているので安心している状況です。

上野:「クラウドパトロール」をスムーズに導入から運用フェーズに入るためのポイントや準備しておいた方が良いことはありますか?

萬屋:どのクラウドをどのようにパトロールさせるか、事前の定義や準備は必要だと感じました。

大月:なので、「①セキュリティポリシー」と「②保護対象とするパブリッククラウド」、この2つを明確にする必要があると思います。「クラウドパトロール」の運用フェーズにおいて、理想としては情報システム部門の手運用が可能な限りなくなると良いなと思っています。

多賀:部門ごとに個別契約しているクラウド環境に対して誰がどのような契約をしているか、クラウド環境の棚卸しはどうしても必要となります。クラウドパトロールは、この棚卸し作業を効率化し、以降の運用を自動化する基盤となります。情報システム部門の手運用をなくしていくという点について、まさに今後クラウドパトロールが目指すべきところで、極力自動化して管理の手間をなくし、かつ、セキュリティは担保できるように考えています。

上野:CSIRT メンバーの立場として「クラウドパトロール」の価値や魅力を教えてください。

丸岡:CSIRT の活動では既存のツールとして他社製品を使っていますが、足りない機能や課題感がたくさんあって、そこにタイミング良く「クラウドパトロール」を使ってみないかという話が来たので、現在は併用している状況です。率直にクラウドパトロールの良い点を挙げると3つあります。
①既存のツールはいろいろと情報を出すものの、不要な情報を消すなどのカスタマイズ性がなく、データを取ってきてデータベースに入れるなど別途開発しなければなりませんでした。「クラウドパトロール」は CSV 形式でレポートを出力できるため、情報のフィルタや加工がしやすく使いやすいです。
②クラウドを監視し、新しいポートが開いたという情報や、 KEV カタログ※1(Known Exploited Vulnerabilities Catalog)にリストアップされている実際に悪用が確認された脆弱性に該当しているかどうかや、今後30日以内に悪用される確率をスコアリングした EPSS※2(Exploit Prediction Scoring System)の情報まで通知してくれる点が、自身で調査する時間の削減や、着目して詳細分析の必要がある脆弱性を見つけるうえで、非常に助かっています。
③既存のツールは監視周期がウィークリーですが、「クラウドパトロール」は常時監視してくれるので、その点も非常に助かっています。

※1:KEV:米国の政府機関CISA(Cybersecurity&Infrastructure Security Agency)が公開している、実際に悪用が確認された脆弱性のリストです。
※2:EPSS:全世界のCSIRT連携組織であるFIRST(Forum of Incident Response and Security Teams)によって脆弱性対応の優先度を判断するための指標として開発されている仕組みで、今後30日以内に脆弱性が悪用される確率を一定の計算式によって算出するものです。

上野:CISO 代行の立場として「クラウドパトロール」の価値や魅力を教えてください。

丸山:CSPM と ASM(Attack Surface Management)が組み合わさっているサービスはあまりないと思いますので、すごく特徴的で良いところだと感じています。今後期待したい部分としては、報告する時に見やすくて分かりやすいグラフがあると良いなと思います。

多賀:今は個々のレポートを充実化させるところに注力しているのですが、今後の計画として誰でもパッと見て分かるレポートに改善していきたいと考えています。他にも、サポートの問い合わせ対応や運用支援など、あらゆる面で生成 AI をフル活用していきたいと考えていますし、グループ企業を持つ企業様向けの統制機能も強化していく予定ですので楽しみにしていてください。

クラウドパトロール "月額5万円" って実際のところ高い?安い?

上野:「クラウドパトロール」は月額5万円のサービスです。クラウドパトロールでできることを人手でやろうとするとリソースもコストもかかると思いますが、クラウドパトロールは安いですか?高いですか?

萬屋:運用している情報システム部門からすると「安い!!」の一言です。社内のクラウド全てをずっと見回っているなんてできませんし。月額5万円で自社システムの開発工数を大幅削減できると考えたら大変お安いですね。

丸岡:リスクアセスメントするのにちょうど良いと思ったのでコンサルのツールとしても活用できると思いました。
お客様が資産や脆弱性を把握できていたとしても、数が多すぎて対応の優先順位を付けられず、お手上げになってしまっている状況もあると思います。それを「外」から見て攻撃者がどこを狙って来るのか簡単に判断することができるので。

丸山:リスク対応の優先度付けや対応計画の作成をしたり、影響範囲を見てもらったり、ここから先に対応した方がいいですよ、この脆弱性はすでに悪用された事例がありますよ、と分かりやすい日本語のレポートで解説してくれるので、セキュリティに詳しくないお客様にとってはすごく助かるでしょうし、重宝されるのではないかと思いました。

萬屋:導入する側からするとリスクアセスメントやってみませんか?と提案されても、大変になるだけですし、問題なく現状を維持できている状態であれば別にやらなくてもよいと思ってしまいがちですが、導入も簡単で月額5万円だったらちょっとやってみるかという気持ちになるので良いなと思います。

丸岡:ISMS(情報セキュリティマネジメントシステム) というか監査視点でいうと、今後はセキュリティリスクの常時監視は常識になっていくと思います。予算のある企業や組織はすでに取り組んでいると思いますが、予算が限られている企業や組織もなるべく頻繁に監視しないとダメだよねというのは分かり切っているはずなので、「クラウドパトロール」は毎日自動的に監視をしてくれる非常に都合の良いサービスだと思います。

上野:セキュリティのサービスを販売されている企業様にとってみると、自社のサービスを組み合わせて販売することができるかもしれませんので、クラウドパトロールの取り扱いをぜひご検討いただきたいですね!また、無償でトライアルができるので、お客様には気軽にお申し込みいただいた上でクラウドパトロールが合う合わないをご判断いただけると嬉しいですね。

今後の展望、野望

上野:最後に「クラウドパトロール」の今後の展望を教えてください。

多賀:これまで「クラウドパトロール」は、一社で使っていただくことを想定した機能に注力して開発してきました。今後はグループ企業を持つ企業様向けに統制管理機能を強化し、数十社のグループ企業を一元管理できる構想やあらゆる面で生成 AI をフル活用していく構想を練っています。
日本の企業が CSPM/ASM サービスを導入する際、一番初めに「クラウドパトロール」を検討し、使っていただけるサービスを目指して今後も開発に取り組んでいきます。

お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください。

セキュリティソリューションに関する資料請求・お問い合わせ

関連製品・サービス

開催中のセミナー

最新トレンドや業務に役立つ知識が得られる SBテクノロジーのセミナー 参加無料 オンデマンド配信あり

ホワイトペーパー

SBT セキュリティサーベイ 2023

ピックアップ

セミナー情報
クラウドエンジニアブログ
NOZ
メールマガジン登録