「クラウドは人類には早過ぎた」 辻伸弘氏×気鋭エンジニアが語る、リスクの本質：“真のクラウド活用”を軌道に乗せる

日本を覆う閉塞（へいそく）感は、ITの力で打ち破れるはずだ。しかし、クラウドやAIなどによって高度化するITの最前線を追い掛け続けることは容易ではない。脅威からビジネスを守りつつ“攻め”に転じるのも一筋縄ではいかないのが現実だ。企業は「サイバーセキュリティ」を味方に付けられるのか。若手エンジニアが、企業の現在地とセキュリティの最前線を知る有識者を取材する。

PR／ITmedia

PR

　「クラウドは人類には早過ぎた」――セキュリティリサーチャーの辻伸弘氏はこう話す。これは、クラウド利用の課題を問われた際の答えだ。

　問いかけたのは、情報処理推進機構（IPA）から「未踏スーパークリエータ」に認定されたエンジニアの大峠和基氏だ。クラウドがビジネスを加速させる一方で、セキュリティ対策においては理想と現実の間に大きな隔たりがある。「おざなりな権限管理」「数万件に上るアラート対応」「問題解決までの複雑な手順」「外国語で書かれたドキュメントの読み解き」――こうした点が企業のクラウド活用を阻害していると大峠氏は考えている。

　大峠氏は、セキュリティスタートアップのCloudbaseでセキュリティ製品の開発や導入支援を行っている。同社は「国産のクラウドセキュリティ製品を起点として日本企業の挑戦を支えたい」という思いで設立された。スズキや出光興産、中外製薬といった日本を代表する企業が同社のセキュリティツール「Cloudbase」を導入している。

　企業のセキュリティ対策を支援する大峠氏が感じた課題。それを専門家はどう見ているのか。SBテクノロジーに所属し、ポッドキャスト「セキュリティのアレ」を運営するなどセキュリティの専門家である辻氏へのインタビューから、セキュリティ対策アプローチを整理する。

左から辻氏、大峠氏

本編をより理解するための事前情報

　純国産のクラウドセキュリティツール「Cloudbase」。クラウド基盤とその上のワークロードを監視して、設定ミスや脆弱性などのリスクを検出、評価。各種ガイドラインに基づいて対策方法を提示する。「Amazon Web Services」「Microsoft Azure」「Google Cloud」「Oracle Cloud」に対応している。

クラウドのリスクを「見て見ぬふり」したくなる心理

SBテクノロジーの辻伸弘氏（プリンシパルセキュリティリサーチャー）。ペネトレーションテストを支援している他、セキュリティインシデントを調査するリサーチャーとして活躍。その傍らで執筆活動やポッドキャスト「セキュリティのアレ」を運営するなど積極的に情報を発信している。

　大峠氏は「クラウドセキュリティに取り組まなければならないという意識が日本企業にもようやく浸透して来ました。現在の状況について、辻さんの印象はいかがでしょうか」と切り出す。

　「クラウドの利用が拡大し始めた当初は『危ないかも？』という意識がありましたが、いつの間にか普及していますよね。とは言え、大事故を起こしかねないリスクがあるのに、手軽に使い始められるのでルールが整う前に利便性だけが先行してしまった感があります。『交通ルールがないまま無免許で車に乗る』ようなものかもしれません」（辻氏）

　クラウド活用におけるセキュリティ課題が山積する中、ピンポイントの対策ツールは存在するものの網羅的に対策できるツールが少ないという意識があったと辻氏は振り返る。「2023年のイベントでCloudbaseのことを知り、展示ブースで根掘り葉掘り聞いた記憶があります。コンセプトが頭に残っていました」

　大峠氏は、Cloudbaseで機能を開発する際の優先度の付け方として、「リスクが減ること」を最も重視していると述べる。セキュリティツールの性能差をアピールするためには、検出できる脆弱（ぜいじゃく）性の数を増やす手法が簡単ではあるが、本質的に重要なのは「発見されたリスクを確実に解決できるかどうか」だ。やみくもにリスクを見つけ出すことよりも、見つけ出したリスクの解決率をいかに上げられるかを重視すべきという哲学がCloudbaseの下地にある。例えば、リスクの対応手順を提示する方法を取っても、機械的な方法やAIによる方法などで自動生成することに加えて、Cloudbaseのセキュリティリサーチャーが執筆した資料も組み合わせるなど、リスクを解決に導くために複数の手段を用意している。

　辻氏も「リスクの可視化と対策はセットでなければなりません」と同調する。リスク検知と運用の間にはギャップがあり、アラートの説明文に「◯◯を解決するために◯◯の設定を変更する」という指示があったとしても、具体的な操作方法が分からない場合が多い。

　大峠氏は「アクションにつながるからこそ、可視化に意味が生じます」と述べる。過去に支援した企業の中には、数万件から数十万件に上るリスクが可視化されたことで「知らなかったことにしたい」という心理が働き、「あえてセキュリティ製品を入れないことで、見て見ぬふりをしてしまう」といった問題が発生していたケースもあったという。

　「リスクが大量に出てきたとして、やらなあかんのも分かっているし、直さなあかんことも分かっているんです。明示されたらやるしかないが、時間も人員も予算もない。“残業が確定する宣告”みたいなもんですよね」（辻氏）

日本ならではの問題　「役職が高いほど権限も高い」「異動のたびに権限が増える」

　クラウド利用におけるリスクの筆頭が権限管理を巡る問題だ。「クラウドを使わない、役職が高い従業員に特権IDを付与している」「異動のたびに権限が付与されるが削除はされず、気が付いたら強力な権限を有するスーパーユーザーになっていた」などは日本企業の“あるある”だろう。権限管理が弱いところを攻撃されたら目も当てられない結果になる。「そういう偉い人ほどパスワードが弱いんですよね」と辻氏はつぶやく。

Cloudbaseの大峠和基氏（テクノロジー本部 プロダクトマネージャー）。1996年生まれ。YouTube向け動画を自動生成するAIを開発して起業した実績が評価され、IPAから未踏スーパークリエータに認定される

　リスクを意識し過ぎて権限管理を強化した結果、「全ての権限をインフラ部門が管理していて、開発部門には『IAMユーザー』さえ渡さず、インフラ部門が払い出した仮想マシンにSSH接続できるのみ」という極端な例もあると大峠氏は話す。これではオンプレミスの時代と大差なく、クラウドの真価を引き出し切れない。とはいえ、権限の最小化を実践するのは難しい。

　「Cloudbaseは権限管理にも注意を払っています。アカウントの権限や多要素認証の設定状況を管理画面で把握でき、利用状況を踏まえた棚卸しが可能です。日本企業は、セキュリティ基準を示しても、それが実務として反映されるまでに時間がかかることが多い傾向にあります。そこで、まずは管理者への対応、次にIAMユーザーの変更権限を持つ担当者への対応というように段階的に取り組める仕組みにすることで、リスクを着実に取り除ける設計にしています」（大峠氏）

四半期ごとのリスクチェックでは間に合わない

　「クラウドを取り巻く課題に対して、攻撃者視点でリスクを検証する『ペネトレーションテスト』は効果的なのだろうか？」という大峠氏の質問に対して、辻氏は「ペネトレーションテストを実施する間隔が、攻撃者のスピードに追い付けなくなっています」と答える。

　脆弱性のパッチがリリースされてから適用されるまでのN日の間に攻撃を成立させる「Nデイ攻撃」が深刻になっているいま、四半期に1回のペースで実施するペネトレーションテストでは対応し切れないのだ。辻氏によると、2023年には脆弱性の約50％が公表から1カ月以内に悪用されているという。ペネトレーションテストの実施、レポート作成、対策が間に合わないとして「その意味では、ペネトレーションテストは死んだのかもしれない」と話す。

　いつ起こるか分からないセキュリティインシデントに備えるには、脆弱性診断を毎日、毎週の間隔で実施する必要がある。そのような発想が日本企業に根付いていないのが実情だと大峠氏は話す。それを受けた辻氏は次のように強く訴える。

　「セキュリティを特別なものとして扱うこと自体がナンセンスなのかもしれません。セキュリティは事業継続のための手段でしかないのに、別のものとして扱われ続けています。運用や管理におけるサイクルの中にあるべきで、テストや運用に定常的に取り組むことが大切です」

Cloudbaseが提供する実践的な解決策とクラウドセキュリティのあるべき姿

　大峠氏らCloudbaseは、クラウドセキュリティの課題をどのように解決しようとしているのか。大峠氏は「セキュリティを事業継続やビジネス成長のための不可欠な要素として位置付けたいのです」と語り、その考えにのっとってツールを開発していると力説する。

　大峠氏が開いたCloudbaseの管理画面を見て、辻氏が「この文言を書けるのすごいですね」と発した部分がある。網羅的に検知したリスクを対応の優先度で順位付けしたリストの「即時対応リスク」に書かれていた文言だ。

Cloudbaseの画面イメージ（提供：Cloudbase）

　「『全世界に公開』ってめっちゃいいですね。専門家が考えると『SSHポートのアクセス制御不備』と書きたくなりますが、全世界に公開されてしまっていると表現されると対策しなきゃいけないと思いますね」（辻氏）

　事実を述べるだけではなく、「どうしたらユーザーが対処しようと思ってくれるか？」という視点を加えることでアクションにつなげようという意図が伝わる。

　リスクの優先度を判断する際、Cloudbaseは共通脆弱性評価システム「CVSS」（Common Vulnerability Scoring System）のスコアに加えて、脆弱性対策の優先度を判断する指標「SSVC」（Stakeholder-Specific Vulnerability Categorization）を利用している。数万件に上る脆弱性が検知された場合、SSVCを使うことで本当に優先すべき上位数％の脆弱性を絞り込めるのだ。ここに悪用が確認された脆弱性リスト「KEV」（Known Exploited Vulnerabilities Catalog）の情報も加味して対応内容や修復コマンドを具体的に指示できる。

　機能の豊富さや管理画面に映る情報量の多さよりも、分かりやすい説明とアクションにつながる機能を軸にすることで企業のクラウドセキュリティ対策を後押ししたいというCloudbaseの思いが伝わってくる。

「複雑なクラウドを分かりやすく翻訳してほしい」

　辻氏は、セキュリティソリューションに期待することとして「クラウドが高機能かつ複雑になる中で、自分たちが使っているITシステムを分かりやすく目に見える形に翻訳して、自らの手でコントロールできるようにするための支援が求められています」と語る。

　大峠氏は「セキュリティベンダーにいる者として身が引きしまる思いです」と前置きした上で、クラウドを使ってビジネスを加速させるためにはビジネス部門を巻き込んでセキュリティを考えることが大切だと言う。クラウドがビジネスの根幹を支えている現在、IT部門だけで運用・管理すると事業戦略やビジネススピードと乖離（かいり）しかねない。ITツール導入だけで完結するものではなく、運用の仕組み化や組織的な意識変革が大事だと締めくくる。

　辻氏と大峠氏は立場が異なるものの、見つめている将来像は同じようだ。それぞれの立ち位置からできる支援を提供し続けることだろう。

国産クラウドセキュリティツール「Cloudbase」でできること

大峠氏が携わっている「Cloudbase」は、主に3つの機能を備えている。

• 設定ミスなどのリスクを低減する「CSPM」（クラウドセキュリティポスチャマネジメント）
• 脅威や脆弱性から保護する「CWPP」（クラウドワークロード保護プラットフォーム）
• マルチクラウドのID管理が可能な「CIEM」（クラウド インフラストラクチャ権限管理）

クラウド環境を網羅的に監視し、リスクに優先順位を付けた上で解決策と共に提示する。日本企業にとっての使いやすさを第一に考えており、セキュリティの専門家でなくても「リスクの解決」「適切な運用」「工数の削減」を実現可能だ。ビジネス部門に管理画面を見せながら、ビジネスとセキュリティのバランスを検討するといった使い方もできる。

　出光興産やスズキ、中外製薬、NOKなどの企業が導入している。分かりやすい操作でリスクを解消できるCloudbaseはクラウド活用を後押しする存在になると同時に、セキュリティ人材の不足という課題の解決策にもなるだろう。