「Shisho Cloud」正式版は、2022年の事前登録開始時からコンセプトを一新し、AWS・Google Cloudのセキュリティ診断の自動化や、クラウドセキュリティの継続運用のサポートに特化した機能を備えています。活用いただくことで、クラウドセキュリティ運用体制の構築や負担軽減、運用フローのさらなる効率化を実現することが可能です。
また、新たなセキュリティトレンドであるPolicy as Codeにも対応しており、クラウドセキュリティの先進的取組を始めたいチームの第一歩を後押しします。
情報システム部門やセキュリティ部門はもちろんのこと、開発部門や SRE 部門など、企業でクラウド構築・運用時のセキュリティを担う幅広いチームの負荷を軽減します。
-
企業のクラウドセキュリティを取り巻く環境
近年、企業においてはプロダクトの内製開発化や社内インフラのクラウドへの移行が進み、プロダクト開発基盤・社内インフラとしてクラウドを利用することは一般的になっています。
AWSやGoogle Cloudなどのパブリッククラウドを運営している事業者は、クラウド運営企業とユーザーの責任範囲について「責任共有モデル」という形で定義づけています。
責任共有モデルでは、データの管理や保護、アクセス権限の適正化などのセキュリティやコンプライアンスに関するトピックはユーザーの責任範囲と定義づけられています。そのため、クラウド上の資産を守るための体制を構築しクラウドセキュリティの継続的な運用を行っていくことは、クラウドを利用する企業にとって必要不可欠となっています。
-
クラウドセキュリティにおける課題
しかし、クラウドセキュリティの継続的な運用や、それを担う体制の構築は多くの企業にとって悩みの種になっています。
Flatt Securityは、クラウドセキュリティに関する悩みを持つ企業40社企業を対象としたアンケート調査を2023年1月〜3月にかけて実施しました。その結果、クラウドセキュリティにおける課題は、大きく以下の3つのパターンに分類できることがわかりました。
(1)クラウドセキュリティ人材の不足
クラウド上での開発・運用に携わるエンジニアは年々増加していますが、クラウドセキュリティの知見を持った技術者は依然として限られています。組織内でクラウドセキュリティに対するイニシアティブを取ることができる人材が不足しているケースは少なくありません。
(2)クラウドセキュリティの運用体制の形骸化
AWSやGoogle Cloudなどのパブリッククラウドのセキュリティ機能を有効化しているものの、警告内容や設定などのチェックが十分にできていないケースです。このケースでは、クラウドセキュリティにかけるコストに対して得られるセキュリティ改善が小さいことも課題となっています。
(3)クラウドセキュリティのチェック頻度の不足
クラウドセキュリティに対するチェックが第三者監査等の特定のタイミングでのみ行われ、開発・運用チームへの早期フィードバックが実現できていないケースです。このケースでは、クラウド運用が安定したタイミングになるまで検査が行われないことも多く、エンジニアが対応を後手に回してしまいがちなのが課題となっています。
-
提供開始の背景
これらの課題解決をサポートするために、Flatt SecurityはセキュリティSaaS「Shisho Cloud」正式版の提供を開始することといたしました。
セキュリティ診断の診断メニュー「AWS・Google Cloud・Azure診断」(URL:https://flatt.tech/assessment/cloud_platform)の提供を通じて得た技術力と、様々なクラウド利用企業へのサポートを通じて得た知見・ノウハウを掛け合わせ、企業におけるクラウドセキュリティの継続的な運用や運用体制の構築をサポートします。
-
「Shisho Cloud」の特徴
■クラウドのセキュリティリスクを自動的かつ継続的に検査
AWS・Google Cloudのリスクを自動的・継続的に検査します。検出されたリスクはリアルタイムで通知されます。
■様々な業界・規模の組織に対応可能な高いカスタマイズ性で、Policy as Codeの実現をサポート
セキュリティポリシー(セキュリティのルールや設定)をコードで記述し運用する、Policy as Codeの実現をサポートする各種機能を備えています。
セキュリティ診断の対象・ロジック・タイミングから、通知内容・タイミングに至るまで、Rego等の言語でカスタマイズが可能となっており、組織に合わせたクラウドセキュリティ運用を実現することが可能です。PCI DSSなどの事業ドメインから来る制約や組織の規模・成熟度にあわせてカスタマイズすることもできるため、多様な業界・組織のニーズにあわせたクラウドセキュリティ施策の実現を後押しします。
■GitHubとの連携で、ソフトウェア開発と同じ感覚でPolicy as Codeの運用が可能に
GitHubと連携し、セキュリティポリシーのコードをGitHubで管理することも可能です。これにより、ポリシーのバージョン管理や変更のピアレビュー等を、ソフトウェアエンジニアが慣れ親しんだモダンなソフトウェア開発プロセス同様に実施することができます。また、GitHub Actions を利用することで、ポリシーの変更を即座に自社ガバナンスに活かす継続的デプロイメント(Continuous Deployment)も実現可能です。
■シンプルで直感的に操作しやすいUI・ダッシュボード
シンプルで直感的に操作しやすいUIを採用しているため、見たい情報が一目でわかります。ダッシュボードでは、検出されたリスクへの対応状況や、検出結果のハイライトなどを確認することが可能です。
■リスクの背景や対処法も丁寧に解説した、わかりやすいレポートを提供
検出されたリスクの説明だけでなく、リスクの生まれた背景についても丁寧に解説したレポートを提供します。また、それぞれのリスクに対応する、業界標準に基づく推奨設定もわかりやすく提案します。
■検出されたリスクに対する対応方針や判断、進捗などの記録が可能
検出された個々のリスクを「Shisho Cloud」上で管理することが可能です。また、検出された各リスクに対しては「対応ステータス」「リスク判断」「対応方針」などの記録ができるようになっており、クラウドセキュリティを担うチームのノウハウ共有やタスク管理に活用いただけます。
■Slack連携で検出結果のリアルタイム通知が可能
Slackと連携することで、検出結果をリアルタイムでSlackに通知することが可能です。
■セキュリティの専門家による伴走型の導入・運用サポート
セキュリティ分野で多数の実績を残してきたFlatt Secutrityの専門チームが、導入開始から継続的な活用までを伴走型でサポートします。各企業のニーズに応じた活用方法の提案や、検出結果に対するアドバイスなどを通じて、クラウドセキュリティの継続的運用を支援いたします。
■GitHub組織・リポジトリの設定を対象としたセキュリティ診断機能の試験提供も実施
今後、GitHubに格納されたデータに対するセキュリティ診断を実施する機能の実装も検討しており、現在、GitHub組織・リポジトリの設定を対象としたセキュリティ診断実施機能を試験提供しています。
■より幅広い範囲のリスク管理が可能になる機能拡充を予定
今後は、AWS・Google Cloudのセキュリティに関する機能拡充を進めるのに加え、クラウド上のアプリケーションや、AWS・Google Cloud以外のプラットフォームを対象としたセキュリティ診断ができるよう、サービス拡充を進めていく予定です。クラウドに関するあらゆるセキュリティリスクを一括で検出・管理できるサービスを目指します。
-
アーリーアクセス利用企業の活用事例
正式版提供開始に先駆け、正式版のアーリーアクセス利用を行った株式会社ヤプリ、Ubie株式会社、株式会社ログラスの3社に、活用事例や利用したご感想についてお話を伺いました。
■株式会社ヤプリ(URL:https://shisho.dev/ja/cases/yappli)
開発3部・部長 望月真仁さん
「Shisho CloudはSREとセキュリティエンジニアのギャップを埋めるコミュニケーションツールとしても機能しています。」
■Ubie株式会社(URL:https://shisho.dev/ja/cases/ubie)
セキュリティエンジニア 水谷正慶さん
「リスク判断や対応方針の記録なども、このプロダクトだけで完結できます。他社プロダクトにはない強みで、私たちセキュリティチームの負担軽減にもつながるのではないかと感じました。」
■株式会社ログラス(URL:https://shisho.dev/ja/cases/loglass)
エンジニア 原旅人さん
「Shisho Cloudでは、検出結果そのものだけでなく、その背景や対処法についても丁寧に解説しています。いずれも実務に根ざした納得感のある説明で、中には今までにはない気づきもあり、大変勉強になりました。」
-
株式会社Flatt Securityについて
Flatt Securityは2019年のセキュリティ事業開始以来、「開発者のための次世代セキュリティサービスを届け、世界中のプロダクト開発を加速する」をコーポレートキャッチとして、Webプロダクト開発組織に向けた各種セキュリティ事業を展開しています。
●セキュリティプロダクト事業:セキュリティ対策の自動化を促進するソリューション
・AWS/Google Cloudのセキュリティ診断を行い、プロダクト開発・運用を担う開発者やSREチーム、CCoEチームのクラウドセキュリティを支えるSaaS「Shisho Cloud」(URL: https://shisho.dev/ja)
●プロフェッショナルサービス事業:高度な技術力を有する専門家によるセキュリティ支援
・開発者に寄り添ったセキュリティエンジニアによる脆弱性調査・分析サービス「セキュリティ診断」(URL:https://flatt.tech/assessment/detail )
・クラウド型セキュアコーディング学習プラットフォーム「KENRO」(URL: https://flatt.tech/kenro )
-
会社情報
社名 :株式会社Flatt Security(フラットセキュリティ)
代表者 :代表取締役社長 井手康貴
所在地 :〒113-0033 東京都文京区本郷3丁目43−16 コア本郷ビル 2A
設立 :2017年5月23日
事業内容 :サイバーセキュリティ関連サービス
Webサイト: https://flatt.tech
※ 記載されている会社名及び製品名は、各社の商標または登録商標です。