ビジネスにおいて、クラウドは“使って当たり前”の存在になりつつある。総務省の「令和6年 通信利用動向調査報告書(企業編)」によると、企業の約80%がクラウドを利用。俊敏性や拡張性の高さから業務システムや自社サービスの基盤にIaaSやPaaSを選ぶ企業が増えている。加えて、生成AIの活用が強く求められるようになったことで、AIによる業務システムや自社サービスの高度化、付加価値向上を図ってクラウドを使う動きが広がっている。
クラウドを選ぶ理由として「安心して使える信頼性の高さ」を挙げる企業は少なくない。ハイパースケーラーが提供するクラウドサービスは、可用性や運用体制の面で高い水準を維持しており、多くの企業が基盤として採用している。
さて、「千丈の堤も蟻の穴から崩れる」ということわざがある。「どれほど堅固な堤でもアリの穴が原因で崩壊することがある」という意味で、小さな油断が大事を引き起こす例えだ。クラウドのセキュリティ対策も同様で、設定ミスなどの“小さな穴”があると、重大なインシデントにつながる恐れがある。一方で、リソースの管理や設定の点検に割ける時間や人手は限られている。
そこで注目を集めているのが、IaaSやPaaSの設定ミスや脆弱(ぜいじゃく)性を監視・評価して修復方法を提案するソリューション「CSPM」(Cloud Security Posture Management)と、クラウド環境を包括的に管理・保護できるプラットフォーム「CNAPP」(Cloud Native Application Protection Platform)だ。
国内でもCSPMやCNAPPの導入が広がっている。純国産のCSPMソリューション「クラウドパトロール」を開発するSBテクノロジーと、いま世間で大きな注目を集めるCNAPPベンダーWizのソリューションを国内展開するソフトバンクの両社は、安全なクラウド利用を支えるため先進的なセキュリティ対策を提供。顧客のAX(AIトランスフォーメーション)をセキュリティ面から支えるために、ソフトバンクがSBテクノロジーを完全子会社化(2024年9月)して、支援体制をより強固なものにしている。
CSPMやCNAPPはクラウドセキュリティをどのように高度化させるのか。今回は、この2社にクラウドセキュリティを高度化するうえで何が求められているのかを聞いた。
「設定一つ」で大規模漏えいに クラウド特有のセキュリティリスクとは
「企業のクラウド採用が加速する中、セキュリティの考え方も大きく変わろうとしています」――ソフトバンクの西村亮氏はこう語る。クラウドはインターネットとつながることが前提のオープンな環境であり、サーバなどのリソースが利用状況に応じて増えたり減ったりするのが特徴だ。 そのため、これまでの『決まった範囲を守ればいい』という常識が通用しない。『守るべき境界線が常に変化し続ける』ということを前提に、セキュリティを設計する必要がある。
「クラウド利用においては設定ミスが命取りになります。大手自動車メーカーがアクセスキーの無効化を忘れた事例では、約215万人分の顧客データが約10年にわたって外部からアクセスできる状態でした。インシデントを防ぐ観点からクラウドセキュリティの関心が高まっています」
スマートフォンゲームなどを運営する企業は、クラウドに保存した個人情報ファイル約94万件の閲覧権限を「このリンクを知っているインターネット上の全員が閲覧できる」という設定にしていた。導入を検討していたセキュリティ製品の検証レポートを確認したところ判明したという。
情報処理推進機構(IPA)の「コンピュータウイルス・不正アクセスの届出状況」によると、2024年に届け出があった不正アクセス事案の原因は主に「古いバージョンの利用や修正プログラム・必要なプラグイン等の未導入によるもの」「設定の不備」「ID、パスワード管理の不備」だった。同データにはクラウド以外のITシステムも含まれているが、脆弱性や設定ミス、アカウント管理の穴がインシデントにつながるということがよく分かる結果だ。
SBテクノロジーの多賀浩司氏は「リスクは情報漏えいだけではありません」と語る。「ある企業で、パブリッククラウドのリスク分析ツールを毎日のように使っていたところ、従量課金制だったため約2300万円の請求が届いたという話がありました。この事案を受けて、意識して使うだけでは足りず、クラウドのリスクを仕組みで解決する必要があると思いました」
乱立するクラウドアカウントを正しく管理できますか?
設定ミスや脆弱性はなぜなくならないのか。オンプレミスのIT環境であれば、事業部門が利用内容を台帳に記載して、情報システム(情シス)部門の許可を得た範囲で使う仕組みがあった。しかし、クラウド利用においては、柔軟さ迅速さを生かすため「事業部門がクラウドを積極的に使い、情シス部門やIT部門がセキュリティ対策に奔走する」という構図が出来上がり、社内のクラウド利用を管理し切れていないと多賀氏は指摘する。
ソフトバンクの小林哲氏もこれに同意して「組織内に数百と乱立したクラウドアカウントを正しく管理できますか」と問いかける。人手で網羅的に管理するのは限界があることから、「適切なソリューションを使おう」という機運が広がっている。
「クラウドセキュリティ対策の基本方針や標準規格などのベースラインを参考にできるものの、『セキュアな構成設定が分からない』『多くのクラウドリソースの中から脆弱性をリストアップするのが困難』という課題に直面する企業があります。そのため標準規格に応じた監査や資産管理ができるツールが求められています」(小林氏)
総務省の「クラウドサービス利用・提供における適切な設定のためのガイドライン」でも、「安心安全なクラウドサービスの利用」を実現するために「支援ツール等の活用」「定期チェック・監査」が重要だとしている。こうした背景からCSPMとCNAPPに関心が集まっているのだ。
CSPMで「緊急度が高い“弱点”を優先的に取り除く」
CSPMは、IaaSやPaaSなどのパブリッククラウドを監視して「リソースの公開範囲は適切か」「過剰なアクセス権限が付与されたアカウントはないか」「セキュリティパッチが未適用のリソースはないか」などの設定ミスや脆弱性を検出して通知。リスクの危険度に応じた対応の優先度付けや修正方法の提示といった機能も備わっている。CSPMを発展させたものがCNAPPだ。
CSPMやCNAPPのソリューションの多くはリスクを視覚的に把握できるダッシュボードを有しており、企業の情シス部門やIT部門が「自走」しやすい。セキュリティベンダーに依頼しなくても自分たちで設定ミスのチェックや脆弱性の修正が可能だ。リスクの件数や内容などを可視化でき、事業部門でも理解できるように作られていることが多いため「情シス任せになっていたセキュリティを事業部門も意識でき、やがて『セキュリティの民主化』につながる」(西村氏)というメリットがある。
「『EDR製品を入れる』『ネットワークを守る』といった対策に加え、クラウド環境全体を監視して緊急度が高い“弱点”を優先的に取り除くという考え方が広がっています。『理想はCNAPPの導入』という企業が多い印象ですが、現場のリソースやコスト面を鑑みてまずはCSPMから始めるケースも見られます」(西村氏)
CSPMソリューションを選ぶ判断基準として「手間」「価格」が挙がりやすいと多賀氏は説明する。高機能なソリューションを使いこなすためには人手や知識が要求される。また、リソース数に応じた従量課金のサービスが多く、全社展開でいくらかかるか分からないため、必要な機能を備えたシンプルで手頃な価格のものが選ばれる傾向にあるという。
そのニーズを満たす選択肢の一つがSBテクノロジーのクラウドパトロールだ。機能を絞ることで初期費用無料かつ月額5万円からという低価格を実現。3つの機能――クラウドの利用状況が「CISベンチマーク」に準拠しているかどうかチェックする「ガイドライン監査」、インシデントにつながる可能性が高い設定ミスなどを通知する「緊急リスク対策」、意図せず外部に公開されているリソースを発見できる「アタックサーフェス管理」を備えている。
「AWSの『S3バケット』を大量に使っている企業に『月額5万円で公開状態のリソースを見つけられる』という理由で契約していただきました。他にも『年1回のCIS監査がゴールになっていたが、セルフチェックツールとして継続的に取り組める』『これまで手作業だったグループ企業のクラウド資産台帳を毎月、自動で作成する』などの用途で情報・通信だけでなく、製造や金融業の企業にも使われています」(多賀氏)
定期的に発行される「パトロール日報」でリスクや当月の利用料金などを確認できる。国産かつ自社開発という強みを生かし、2026年度運用開始予定の経済産業省「サプライチェーン強化に向けたセキュリティ対策評価制度」案に即した評価レポートを発行するなど、顧客のフィードバックを受けて新機能を毎月リリースしていることもポイントだ。
CNAPPでクラウドセキュリティのサイロ化を防ぐ
CSPMよりも一歩進んだセキュリティ対策を実現したいならCNAPPが適当だ。CSPM、クラウドワークロードを保護する「CWPP」、ID管理を強化する「CIEM」などのツールを統合したセキュリティプラットフォームで、クラウドネイティブなアプリケーションの開発から運用まで保護できる。
CNAPPの市場でWizが一目置かれている理由として、小林氏は「他CNAPP製品は企業買収から後付けで機能拡張している中、Wizは各機能が統合されており、情報を組み合わせ分析することに強みがある製品です」と語る。
CSPM単体では見抜けないリスクも、ワークロードの挙動やアカウントの権限といった情報を組み合わせることで発見できるのがWizの強みだ。複数のリスクのつながりが「セキュリティグラフ」としてダッシュボードで可視化され、「なぜ危険なのか」「どのように悪用されるのか」といったコンテキストを確認できる。「クラウドセキュリティをWizに一本化することでソリューションのサイロ化を防ぎ、担当者の“アラート疲れ”に終止符を打てます」(西村氏)
セキュリティグラフは、セキュリティの専門家でなくてもクラウド環境の現状を把握できるように設計されている。生成AIが搭載されたチャット画面で、「このアラートは何を意味しているのか」「どのように修復すればよいか」などと自然言語で聞けばAIが解説してくれる。担当者の業務負荷を下げると同時に、西村氏は「情シス任せのセキュリティ対策から脱却し、全従業員で取り組む“チームプレー”にするための文化醸成を後押しできます」と期待を寄せる。
無料トライアルで「自社に適したクラウドセキュリティ」を見つける
クラウドセキュリティは、クラウド環境の規模や複雑さによって採るべき戦略が異なる。「自社のクラウド資産やリスクを把握したい」「スモールスタートしたい」という企業はCSPMを、「大規模なクラウド環境を包括的に守りたい」という企業はCNAPPを検討するとよいだろう。両者を併用して「クラウドパトロールでクラウド環境全体をチェックし、特に重要な部分はWizで詳細に監視する」といった事例もある。
クラウドパトロールには「無料トライアル」が用意されているため、試してみるのがお勧めだ。Wizを導入する場合は、ソフトバンクが要件定義や導入作業を支援するので心強い。「CNAPP製品を長年扱ってきた実績と知見があります。お客さまのクラウドジャーニーを加速させられる価値を提供します」(小林氏)
クラウド環境が複雑化する中、セキュリティ対策を効果的に運用するには人手だけでは賄い切れない。CSPMやCNAPPというソリューションを賢く使うことが肝心だ。そんな取り組みを後押しするため、ソフトバンクはSBテクノロジーを完全子会社化し、顧客のAXをセキュリティ面からより強固に支援する体制を整えている。自社のビジネス環境に課題を抱えている企業にとって、両社の知見とサポートは心強い味方になるはずだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連リンク
提供:ソフトバンク株式会社、SBテクノロジー株式会社
アイティメディア営業企画/制作:ITmedia NEWS編集部/掲載内容有効期限:2025年12月18日
