新たなサイバーリスク、クラウド設定不備 ～“鍵がかかっていない扉”の存在気づかせる「クラウドセキュリティ診断サービス」

　コロナ禍によるテレワークなどのワークスタイル変革や、運用コスト軽減などを目的として、企業のクラウドサービスの利用が普及している。しかしこれに伴い、クラウドサービスの設定不備を原因とする情報漏えいが国内外で次々と報じられている。

　2020年12月、クラウドCRMサービス大手は、同社サービス上の情報の一部が、第三者から閲覧できる事象が発生しているとアナウンスした。2021年1月29日には、内閣サイバーセキュリティセンター（NISC）も注意喚起を公開。流出した可能性のある個人情報が数百万件に及ぶ例も存在した。

　こうした状況を受け、クラウドの設定に関するセキュリティ評価とコンプライアンスの監視を行い、セキュリティ保護を強化するクラウドセキュリティポスチャ管理（Cloud Security Posture Management：CSPM）に注目が集まり、クラウドセキュリティリスクを特定する診断サービスの需要が高まった。

　この領域で、グローバルセキュリティエキスパート株式会社（GSX）が新しいサービスとして提供するのが「クラウドセキュリティ診断サービス」だ。類似サービスも多いが、設定値も含めてレビューする機能を提供するものはこれまで少なく、あわせて完全な自動化を打ち出している点に特徴がある。

このサービスの開発に携わったのがGSX ITソリューション事業本部 副本部長 インフラ事業部 事業部長の後藤 慶氏、同事業本部 ソリューション開発事業部 事業部長の西野哲生氏、そして、同事業本部 開発チーム システムエンジニアのウィリアム・ハンファリー氏の3名だ。

クラウドの設定不備の確認をオートメーションで行うツール

　サービスは2020年に後藤氏によって企画され、西野氏とウイリアム氏が開発を進めた。ITソリューション事業部は「サイバーセキュリティ教育カンパニー」を標榜するGSXの中でも、“尖った”独自性のある事業部だ。GSXと同じく、株式会社ビジネスブレイン太田昭和（BBS）のグループ会社である、株式会社EPコンサルティングサービス（EPCS）のITソリューション事業部が2020年、GSXにジョインして誕生した。

　これまでは顧客の需要に基づいた開発が多かったが、今回は市場に対してなんらかのメッセージを打ち出すようなサービスを作ろうと後藤は考えた。そのアイデアのひとつがクラウドの設定不備を監査するツールだった。

　「クラウドはその特性上、日々機能を追加し変化している。機能追加のタイミングで設定項目の評価を行い、必要に応じた変更を柔軟に行うことが必要」と後藤は考え、開発当初からフルオートメーションによるサービスが構想された。

　しかし、開発に立ちはだかったのが「英語の壁」だ。まず対象となるクラウドアプリケーションのセキュリティ基準となる、CISのベンチマークなどの項目を参照するのだが、約80項目あるCISベンチマークには、決して「Microsoft365はこう設定すべし」などと具体的に記載されてはいない。内容を読み込んで、クラウドサービスと対照し、解釈する必要があった。

　しかし、GSX ITソリューション事業部のほとんどが外国籍のメンバーである。しかも、単に複数カ国語を話せるのではなく、海外と日本のビジネス習慣や日本の業務上のプロトコルに精通している。こうしたバイリンガル開発体制の強みをフルに生かしてプロジェクトは進められた。

　クラウドの設定情報を自動で抽出、収集する際にAPIを利用する。「APIで設定情報を取得し、それをCIS ベンチマークと対照比較して、問題があればアラートを出す」これ自体は、原理的には決して難しい開発ではない。しかし、設定情報の中には、APIが公開されていないものもあり、英語ネイティブの技術者にとってすら、深く潜って集中が必要とされる作業だった。そこで設定情報の抽出を自動化するために、PowerShellなどのスクリプトを開発して対応した部分もあったという。

　もっとも苦労したのは Microsoft 365が毎日のように機能追加されていく点だったという。動いているものの絵を描くような開発である。完全網羅するまで約半年の時間がかかった。Microsoft365側の機能追加へのキャッチアップは今も続いている。

「カギが空いている」というのを気づかせることが重要

　「クラウドセキュリティ診断サービス」の概要は次のとおりだ。企業や組織が利用するクラウドサービスのセキュリティについて、管理系と技術系に分けてセキュリティ対策の有効性を監査する。管理系は、SaaS型のクラウドサービスなどを対象に、サービス事業リスクを評価し、サービス合意の見直しや社内のサービス運用保守管理について有効性を確認する。

　技術系は、サービス提供に必要なクラウド基盤技術（仮想化ソフトウェア、仮想マシンなど）やアプリケーションに対する脅威への対応状況を確認する。また、サーバーを設置している施設、サービスの運用に必要な設備に関わる情報やセキュリティ上の脅威への対応状況の確認を加え、セキュリティ管理の有効性を確認する。

　「クラウドCRMサービスの件も、システム上、ドア以外の勝手口があることを知らずに使っていたようなものだ（後藤）」

　安全に関する考え方の違いかもしれないが、多くの日本企業のユーザーは、ドアを取りつけた時点で既にカギがかっていると勘違いしている。そこで「カギが開いている」ことを気づかせることが重要だと後藤は述べる。

　「Microsoft 365」へ移行する際は、業務上重要度が高いメールなどに重点が置かれることが多い。しかし1年後には、設定がどうなっているかわからない。クラウドサービス側の機能追加もあるが、 ユーザーによるさまざまなアプリの連携許可もリスクとなるため、クラウドサービスに鍵をかけていても、連携したアプリ側で鍵をかけられていなければ、中のデータを意図せず公開してしまうケースがあるという。

　クラウドセキュリティ診断サービスによって、今ある課題を整理して、追加のセキュリティ対策強化や、運用体制の見直しにつなげていくことができる。

セキュリティソリューションも「DevSecOps」の時代

　最後に、意外に知られていないのだが、セキュリティソリューションやソフトウェアは基本的に、セキュリティ企業によって直接開発されることはとても少ない。もちろんグランドデザインなどはするし進行の管理も行われるが、数十万行、数百万行のコードを全て内製でコーディングしたら事業が成り立たないという理由で、多くはオフショアなどに外注される。

　一方で、セキュリティ企業によって作られたセキュリティソフトが数少ないながら存在する。その一つが、以前紹介した脆弱性診断士が作った診断ツール「Vex」のようなソフトウェアだ。「一度仕様を決めたソフトウェアなど誰が作ろうと同じ」というのは開発やコーディングに携わったことがない人の言葉だ。当初の設計思想がより正確に反映されるし、運用開始後のフィードバックによって改善改良を行う際のスピードも的確で早い。日々機能が変化するクラウドと対峙するような「クラウドセキュリティ診断サービス」のようなサービスにこそ、その真価が発揮される。

　加えてノウハウや知見が開発側に蓄積する。開発チームが成長し、新しく追加された機能によって顧客がより安全になる。ソリューションやツールを通じて企業も顧客も成長する正のライフサイクルに乗ることができる。セキュリティソリューションこそ「DevSecOps」の時代だ。それはみんなわかっているのだが、それをまじめにやろうとするのはかなりしんどい。だから誰も言い出さない。だからユーザー企業はその価値を知ることはない。

小回りの利く、変化に強いソリューションをスピーディに提供していくのが、「クラウドセキュリティ診断サービス」の独自価値の一つだ。

　「Microsoft 365」を導入して一定期間経ったが、果たして自社のクラウドサービスが今適切に設定されているかどうか──、そんな不安をすぐに解消したい需要にぴったりのサービスがGSXのIT ソリューション事業部が提供する「クラウドセキュリティ診断サービス」であるといえよう。