最終更新日:2022-08-22
クラウドサービス利用時のセキュリティリスク管理を徹底したい方へ。専門家のノウハウのもと、正確で漏れのないセキュリティチェックを効率化するクラウドリスク評価サービスのタイプやおすすめのサービスを紹介していきます。
クラウドリスク評価サービスとは、自社で導入しているクラウドサービスの利用状況を可視化したり、クラウドのセキュリティ上の設定状況を確認したり、クラウド導入時のセキュリティの確認作業を支援したりすることで、クラウドの安全な利用を支援するサービスです。
物理的なサーバーやメンテナンスが不要で、初期費用も抑えられることから導入する企業が急速に増えたクラウドサービス。一方で、オンプレ型に比べると、重要な情報の盗用や漏えい、不正アクセスなど、セキュリティ面での懸念が。また、近年では、企業の管理下にないクラウドサービスを従業員が許可なく利用してしまう“シャドーIT”と呼ばれる問題もあります。
「セキュリティ・ポリシーを定める」、「セキュリティ・チェックシートによる確認作業を義務付ける」、などで対応する方法もありますが、依頼や回答の確認が大変でサービスの導入まで時間がかかってしまうこともあります。
クラウドリスク評価サービスでは、セキュリティ専門家や専用機能による効果的かつ効率的なセキュリティチェックが可能なため、導入時だけでなく、導入後も安全にクラウドサービスを利用できるようになります。
クラウドリスク評価サービスは大まかに4つのタイプに分けることができます。それぞれのタイプごとの特徴や適性を紹介します。
各クラウドサービスに関するリスク評価情報がデータベースに蓄積されているタイプ。専門家によるセキュリティリスク評価情報が集約されているため、サービス導入検討の際に一つひとつ自社で調査・確認する手間が不要となり、セキュリティチェック業務を効率化できます。
たとえば「Assured」は、セキュリティ専門家がクラウドサービスの評価を行い、総合評価点や懸念点、利用時の注意点などの評価結果をデータベースに格納。データベース上で簡単にリスク評価情報を確認できます。
ユーザーとクラウドサービスの間に設置されるセキュリティ・ポイントが利用状況を常に教えてくれるタイプ。通信状況などから利用状況を可視化し、独自の安全評価基準でリスクを評価します。会社で認められているクラウドサービスのみの使用を許可したり、データの不正な送受信を防止したりと、画一的なセキュリティ管理が可能になります。
たとえば、「Netskope」ではCCI(Cloud Confidence Index)という評価基準を採用。約40,000種類のクラウドサービスに関するデータベースに基づき「準拠するセキュリティ基準」「顧客データの保護方針」「脆弱性&セキュリティインシデント有無」などをスコア化し、瞬時にクラウドサービスの安全性を把握できます。
企業がクラウドサービスをどのように利用しているかをコンサルタントが調査・分析し、報告書にまとめるタイプ。クラウドサービスの利用状況や運用体制などを確認した上で、チェックリストを作成。調査結果をもとにリスクを洗い出し、対策方法を提供してくれます。
セコムの「クラウドセキュリティ評価サービス」はこのリスク診断型で、セコム独自の知見や第三者機関発行ベンチマーク(CIS等)、経産省ガイドラインをもとに調査を行います。対策方法に優先順位をつけて提示してくれるため、スムーズに対策を始めることができます。
専門家がクラウド環境のセキュリティ設定を確認してくれるタイプ。上記のリスク診断型が利用状況を調査するのに対し、クラウド設定評価型はパッチ適用状況、ポリシーの設定やログ設定を調査し、脆弱性がないかを評価します。クラウド環境の設定ミスは情報漏洩などの事故につながりやすいため、定期的な設定の確認が必要となります。
NRIセキュアの「クラウド設定評価サービス」では、アカウントの設定状況、ネットワークセキュリティ(インスタンスの公開設定や通信の強化状況)、セキュリティグループの設定などを確認。結果報告後の質問回答も受けてくれます。
まず、評価情報を集約したデータベースを活用するタイプのサービスをご紹介します。なお、料金については、要件により大幅に異なるため、見積が必要となります。各社へお問合せください。
(出所:Assured公式Webサイト)
CISA(システム監査法人)などの資格を持つセキュリティの専門家がクラウドサービスのセキュリティリスクを調査し、データベース化した評価情報を閲覧できるサービス。必要な情報が集約されているため、これまでのセキュリティ・チェックシートや公開情報を用いた情報収集など、一連の業務負荷を大幅に削減できる。
データベースでは、対策状況や設問の重要度でフィルタリングをかけてクラウドサービスの検索が可能。クラウドサービスごとのリスクは100点満点でスコアリングされていたり、専門家のコメントがあったりと、わかりやすくまとめられている。また、更新通知機能もあるため、常に最新の評価を確認できる。
クラウドサービスの利用状況の可視化に強みのあるサービスを3つご紹介します。
(出所:Netskope公式Webサイト)
WebアクセスやIaaS環境の監視・制御、SaaS・IaaS・オンプレミス環境へのセキュアなアクセスなど、インターネット利用の様々な問題を単一のプラットフォームで保護できるサービス。そのサービスの一環でクラウドリスクアセスメントサービスを提供している。
自社で利用中のすべてのクラウドサービス、IaaS、Webサービスを検出・可視化し、Netskope社独自の安全評価基準に基づくリスク評価を数値で提示。クラウドサービス上でのデータのアップロードやダウンロードなどのユーザーの動きを詳細に可視化する。更に、アクセスしている場所やアクティビティの内容に基づき、通信のブロックやアラート通知などのコントロールも可能だ。
(出所:Cloud Security Gateway公式Webサイト)
150カ国以上、14,500社以上で利用されている国際的なサービス。1つのプラットフォームでクラウドセキュリティを一元管理できるため、複数サービスの運用ルールを可視化して複雑化を解消する。
アクセス制御に強みがあり、アプリ単位での指定も可能。ファイルや画像、テキスト内のデータ漏洩をブロックし、デバイスやブラウザからマルウェアを阻止する機能も搭載している。
社内、リモートアクセス問わずすべてのユーザーがクラウドサービスに安全にアクセスできるよう保護。ユーザーがクラウドサービスやWebへ不正にデータを送信しようとしたり、個人と会社のクラウドアカウント間でデータ転送しようとしたりするのをブロックできる。
(出所:Oracle Cloud Access Security Broker公式Webサイト)
Oracle社が提供する「Oracle Cloud Infrastructure(OCI)」と連携して、クラウドサービスの利用状況の可視化、コンプライアンス対応、セキュリティ脅威からの防御、データセキュリティなどを実行するクラウドベースのソフトウェア。OCI以外のIaaS、PaaS、SaaSなどすべてのクラウドサービスにも同じ機能を適用できる。
特徴的なのが、機械学習に基づく行動分析。アクセスパターン、権限を持つユーザーの行動、アクセスするデバイスの特性など幅広い項目からリスクをリアルタイムで評価し、特にリスクの高いユーザーを監視し、アクセス拒否することもできる。
リスク対策を提示してくれる、リスク診断型のサービスを2つご紹介します。
(出所:クラウドセキュリティ評価サービス公式Webサイト)
警備サービス会社のセコムが提供するサービス。利用者への教育体制や委託先管理などクラウドの利用環境を調査した上で、セコム独自の知見や経産省のガイドラインなどに基づいたチェックリストでセキュリティリスクを評価してくれる。
リスク評価後は、経営に影響を及ぼすような重大なリスクを特定し、対応策を検討。リスク評価報告書として提出してくれる。一連のチェックはツールではなく、クラウドの専門知識を有し、サイバー攻撃対策を熟知したコンサルタントが調査してくれるため、信頼性が高いといえる。
(出所:クラウドセキュリティ評価・監査サービス公式Webサイト)
200社以上の情報セキュリティに関する監査実績のもと、クラウド環境におけるセキュリティ対策状況について評価・監査を行うサービス。特に、クラウドサービスの運用状況を専門的な知識を持つ第三者から評価・監査してもらうことで、セキュリティを強化したいクラウドサービス事業者におすすめ。
具体的な流れは、まず企業のICT環境、セキュリティ・ポリシーを調査し、同社の情報セキュリティ評価ノウハウをベースに課題を可視化。その課題を整理し、「クラウドセキュリティ導入ガイドライン」が作成される。そしてそのガイドラインをもとにセキュリティポリシーや運用ルールが作成・修正される。
料金は200万円〜(参考価格)。
最後に、クラウド基盤の設定を評価して、セキュリティリスク発生を未然に防ぐのに有効なサービスを3つご紹介します。
(出所:クラウド設定評価サービス公式Webサイト)
豊富な実績と経験を持つ専門家が、「Prisma Cloud」を用いてクラウド基盤のセキュリティ設定をチェック、評価するサービス。様々な観点からリスクを見つけ、早急な対策実施を支援してくれる。
「Prisma Cloud」は、クラウドセキュリティを包括的に管理できるプラットフォームで、クラウド設定評価サービスではセキュリティ態勢管理の機能を利用している。具体的な診断項目は、不要な通信の許可、アカウントやアクセスキーの情報流出や盗難の通知方法、プライベートクラウドの設定、認証・認可の設定など。抽出された問題点は対策方法とともに報告書にまとめられ、その後3カ月間のサポートを受けることもできる。
(出所:クラウドセキュリティ設定診断公式Webサイト)
短期間かつスポットでクラウドサービスのセキュリティ診断をしたい企業におすすめのサービス。診断からわずか10営業日前後で結果が得られる。AWSやMicrosoft Azureなど主要なクラウド環境の診断に対応しており、クラウドによって適切な診断項目が設定される。
利用にあたって行うことは、問診票の記入と読み取り権限を付与した診断用アカウントを作成するだけとシンプル。診断自体は脆弱性診断ツールによって行われ、診断後は検出された問題点の評価や対策がレポート形式で報告される。すべてリモートで完結するため、手軽に利用可能だ。
(出所:Orcaクラウドセキュリティプラットフォーム公式Webサイト)
独自のテクノロジー「SideScanning」が特徴的なサービス。クラウド資産の棚卸しとセキュリティリスクの可視化を実現している。「SideScanning」は特別なプログラムをインストールする必要なく、Web上でクラウド環境のスキャンができるツール。スキャン実行から短時間で危険度のアラートがダッシュボードに表示され、セキュリティリスクの詳細情報を確認できる。
アラート情報からはパッチ未適用や設定ミスをしているホストやOS、Webサービスを把握できる。更に、検出されたセキュリティリスクから一元管理で対策もでき、他のユーザーと共有しながらステータス管理も可能。定期的にスキャンをかけることで、セキュリティリスクの軽減とコンプライアンス管理を継続的に行うことができる。
現在、クラウドサービスを利用している日本企業の割合は約7割にも上っており、今後も利用社数は増加していくでしょう。一方で、情報漏洩、不正アクセス、データ消失などリスクは多く、セキュリティ面の整備は今後の大きな課題となっています。
クラウド評価サービスを導入することで、セキュリティリスクの高いサービスを避けたり、使用中のクラウドサービスが安全に作動しているかを確認したりできます。利用状況、避けたいリスクなどから適切なクラウド評価サービスのタイプを選び、セキュリティを強固にしていきましょう。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
サービスの導入検討状況を教えてください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。