• トップ
  • リリース
  • クラウドのセキュリティ事故の99%は設定ミス。AWS向けクラウドセキュリティ診断プラットフォーム「Cloudbase」ベータ版の提供開始

プレスリリース

  • 記事画像1
  • 記事画像2
  • 記事画像3
  • 記事画像4
  • 記事画像5

クラウドのセキュリティ事故の99%は設定ミス。AWS向けクラウドセキュリティ診断プラットフォーム「Cloudbase」ベータ版の提供開始

(PR TIMES) 2022年03月02日(水)13時40分配信 PR TIMES

〜5分で導入可能。数百〜数千のセキュリティリスクを即検出〜

Levetty株式会社(東京都港区、代表取締役 岩佐 晃也)は本日3月1日にクラウドセキュリティ診断プラットフォーム「Cloudbase」ベータ版(https://cloudbase.ink/)の提供を開始いたします
■ 事業背景
AWS・GCP・Azureをはじめとしたパブリッククラウドの国内市場規模は1兆円を超え、今もなお急速に拡大を続けており、2025年まで年間約20%の成長が見込まれています。

パブリッククラウドの普及が進むと同時に、クラウドにおけるセキュリティリスクも上昇するため、サービス運営者にとってセキュリティを確保することが今後一層求められます。
また、セキュリティ事故は一度発生してしまうと企業に深刻なダメージを与えることが多く、事前に十分な対策を講じる必要があります。

情報流出などのサイバーインシデントによる企業へのダメージは甚大であり、事故の発生後に純利益は平均21%減少、株価は平均10%下落すると言われております。(※注1)
セキュリティ事故は顧客からの訴訟リスクも孕んでおり、莫大な賠償金などによって事業の継続が困難になるといった致命的な状況をも引き起こす可能性があります。


■ セキュリティインシデントの99%は設定ミス
そんなクラウドにおけるセキュリティインシデントの原因は、単なる設定ミスであることがほとんどであり、その割合は2020年時点では95%を占め、2025年時点では99%を占めると予想されております。(※注2)

[画像1: https://prtimes.jp/i/56572/14/resize/d56572-14-f4536c19e0e0db2c494a-2.png ]

設定ミスの代表的な例としては、Admin権限でIAMユーザーが作成されていたり、全世界からSSHできるサブネットマスクが設定されたセキュリティグループが存在していたり、検証用リソースが放置されているなどがあり、放置しておくとサービスの運営にとって致命的な支障をきたす事故につながります。

[画像2: https://prtimes.jp/i/56572/14/resize/d56572-14-a375abe80fdb3db2d758-4.png ]



■ 課題
設定ミスを原因とするクラウドセキュリティインシデントのリスクがますます高まる一方で、対策が進んでいないのが実態です。
弊社によるヒアリングの結果、多くの企業・サービスにおいてセキュリティ管理体制は以下のような状態であることが多く、事故のリスクにさらされていることが判明しました。

そもそもクラウドのセキュリティ対策にリソースを割けていない
専門知識のない社内のエンジニアが自主的にパブリッククラウドの設定をしている
年一回のペネトレーションテストや脆弱性診断のみの実施

いずれの場合も、ほとんど確実といっていいほど設定ミスがあり、クラウドのセキュリティ管理体制として不十分な状態です。
情報漏洩やサーバー乗っ取りなどの重大なセキュリティインシデントにつながる可能性が高く、セキュリティレベルの確認及び修正が必要な項目の洗い出しを早期にすることが求められます。


■ サービス概要
「Cloudbase」は、パブリッククラウドにおける数百項目にも及ぶセキュリティリスクの洗い出し・可視化を安全に行うことができるプラットフォームです。

リソース情報の読み取り権限を持ったIAMユーザーを発行していただくだけでご利用できます。その際に、クラウド構成や設定の変更を必要としないため、企業やチームの大きさに関わらず簡単に導入することができます。
読み取り権限を持ったIAMユーザーがアクセスできるのは、クラウド構成のメタ情報のみであるため、弊社が機密情報や顧客情報を取得することは不可能です。

「Cloudbase」では、危険度順に設定ミスを確認することができるため、リスクの高いものから対処することが可能です。なお、ベータ版ではAWSを対象とした提供となります。


[画像3: https://prtimes.jp/i/56572/14/resize/d56572-14-dba2185180d440f09c6c-7.png ]

[画像4: https://prtimes.jp/i/56572/14/resize/d56572-14-29613f6f1d687fef3aff-8.png ]



■ 提供価値


5分で導入可能

読み取り権限のIAMを発行するだけで導入可能です。


網羅的なスキャン

従来の手法では網羅できなかった項目まで一括で診断可能です。ベータ版ではEC2やIAMを始めとした主要なリソースを対象に240項目の診断項目を用意しております。(6月の正式版では400項目を予定)


本当に解決すべき、危険度の高い設定ミスにフォーカス

危険度が高い設定ミスから優先的に表示させることができるため、数百~数千に及ぶ数多くの設定ミスが検出される中で、何から解決すべきかを判断することが可能です。


定期スキャンで常に安全な状態に

毎日自動でスキャンされるため、アジャイル開発などでクラウドの設計が変わるような場合においても常にリスクを早期発見することが可能です。任意のタイミングでもスキャン可能です。


豊富なドキュメント

設定ミスがそれぞれどのようなリスクにつながるか、どのように対処すべきかといったドキュメントを用意しております。各項目の内容は平易な日本語で記載されており、非エンジニアの方でもわかりやすくなっております。


■ ベータ版をご利用予定のお客様の声

「過去に設定ミスが原因で事故が起きたことがあり、Cloudbaseのようなサービスに投資すべきだと感じている」

「AWSの設定をエンジニア1人で行っていたがセキュリティ対策には自信がなく、まさにCloudbaseのようなサービスを利用したい」

「多くのセキュリティリスクがある中で、手動ですべてを見ることには限界があり、システムで解決する必要性を感じていた」

「取引先からサービスの安全性について尋ねられることがあるが、Cloudbaseのようなサービスを導入していることで自信をもって回答できるようになる」

「年間数百万円のコストをかけて、脆弱性診断やペネトレーションテストなどをスポットの診断の形で利用しているが、Cloudbaseを使ってより監視に近い形で継続的にセキュリティを担保したい」

「ミスが大量に表示されても何から手をつけるべきかがわからないため、ネクストアクションを明確にしてくれることが大変助かる」


「クラウドに関する潜在的な脆弱性を洗い出し、アプリケーションに集中して開発をしたい」


■ 今後の展開
・6月中にCloudbase正式版をリリース(AWSの対応)
  CIS, PCI DSS, HIPAAなどの主要なガイドラインの対応
  アラートにおける危険度の精緻化
・GCP・Azure・さくらのクラウドといった他のパブリッククラウドへの対応
・コンテナやEC2の脆弱性スキャン
・Kubernetesの対応
・人事・労務などのクラウドサービスとの連携
・各種SaaSを対象とした設定ミスの検知サービス
・プライバシーマークの取得(申請準備中)


■ 基本情報
「Cloudbase」のご利用やご相談について
以下のURLからお問い合わせください。ご連絡いただいた企業様にデモなどのサービスの詳細や料金体系を30分ほどの面談でご案内いたします。
https://cloudbase.ink/
AWSをご利用中で、セキュリティリスクに少しでも不安のある企業様・担当エンジニアの皆様はぜひお問い合わせください。

Levetty株式会社について
・社名:Levetty株式会社
・所在地:東京都港区六本木4-2-45 高會堂ビル 2階
・代表者名:代表取締役 岩佐 晃也
・事業内容:クラウドセキュリティ診断プラットフォーム「Cloudbase」の企画・開発・運営
・設立:2019年11月5日
・企業URL:https://levetty.co.jp/

本リリースに関するお問合せ先
Levetty株式会社 岩佐宛
E-mail:contact@levetty.co.jp

注1:JCIC(Japan Cybersecurity Innovation Committee)より引用。純利益への影響は証券取引所へセキュリティ事故の「適時開示」を行った16社において、前年度に対する被害発生年度の純利益変動率。株価の影響は証券取引所へインシデントの「適時開示」を行った上場企業18社において、開示日より10日前から開示後50日後までの株価変動率(日経平均株価の変動分を調整済み)
注2:ガートナー社によるクラウドセキュリティインシデントの発生原因予測より引用



プレスリリース提供:PR TIMES

このページの先頭へ戻る