クラウドの隠れたリスクをゼロにして、安全な運用を可能にする国産セキュリティ「Cloudbase」（ICC KYOTO 2022）

2022年11月7日

ICC KYOTO 2022 STARTUP CATAPULT スタートアップの登竜門に登壇いただき、5位に入賞したLevetty 岩佐晃也さんのプレゼンテーション動画【クラウドの隠れたリスクをゼロにして、安全な運用を可能にする国産セキュリティ「Cloudbase」】の文字起こし版をお届けします。ぜひご覧ください！

ICCサミットは「ともに学び、ともに産業を創る。」ための場です。そして参加者同士が朝から晩まで真剣に議論し、学び合うエクストリーム・カンファレンスです。次回ICCサミット FUKUOKA 2023は、2023年2月13日〜2月16日福岡市での開催を予定しております。参加登録は公式ページをご覧ください。

本セッションのオフィシャルサポーターはノバセルです。

▶【速報】サステナブルビジネスが隆盛！寝具の回収と再生で循環型社会を創る yuni の「susteb（サステブ）」がスタートアップ・カタパルト優勝！（ICC KYOTO 2022）

▼
【登壇者情報】
2022年9月5〜8日開催
ICC KYOTO 2022
Session 1A
STARTUP CATAPULT スタートアップの登竜門
Supported by ノバセル

岩佐晃也
Levetty株式会社
代表取締役社長

1996年愛知生まれ。2019年11月にLevetty株式会社を創業。小学校4年生の時からプログラミングをはじめ、Webサービスの脆弱性を企業に報告したり、バイナリを解析して脆弱性を調査するといった少年時代を過ごす。その後もプログラミングを続け、京都大学工学部情報学科に入学。様々なサービスを提供する中で、小学生時代に見ていたセキュリティリスクが15年後の今でも当然のように残っていることに気づき、今度は自分が守る立場としてセキュリティ領域にコミットすることを決め、クラウドセキュリティサービス「Cloudbase」をリリース。2022年3月のリリース後、金融・IT・メーカーをはじめとした大手企業にサービスを提供している。
▲

岩佐晃也さん　スタートアップ・カタパルト、トップバッターの岩佐です。

膨大なクラウド資産を全て監視、隠れたリスクをゼロにするCloudbaseを提供しています。

皆さんのサービスは、どのクラウドで動いていますか？

ほとんどの場合、AWS（Amazon Web Services）、GCP（Google Cloud Platform）、Azure（Microsoft Azure）などのクラウドで動いていると思います。

そんなクラウドを使うことのリスクを考えたことは、ありますか？

クラウド特有の事故が多発

実は、クラウド特有の事故が存在しています。

ホンダ（Honda Cars India）やセガ（SEGA Europe）で起きていたり、米軍でもクラウド特有の情報漏洩が発生していたりしています。

▶Honda India Left Details of 50,000 Customers Exposed on an AWS S3 Server By Catalin Cimpanu May 30, 2018（Bleeping Computer）
▶SEGA Europe Thoroughly Scrutinizes its Cloud Security（VPN overview）

▶今度は米軍の機密情報が露呈、相次ぐAWSの設定ミス発覚 2017年11月29日（ITmedia NEWS）

こうした事故は、爆発的に増えています。

調査した結果、今日ご参加の、VCを除く審査員の方々20名のうち、少なくとも8名がセキュリティ事故を経験されています。

とても身近な問題です。

クラウド事業者はセキュリティを守ってくれるのか？

よく聞かれることがあります。

「クラウド事業者がセキュリティを守ってくれているのでしょ？」と。

答えは「No」です。

自分たちで守らなければいけません。

クラウドには、「責任共有モデル」という概念があります。

▶責任共有モデル – AWS（Amazon Web Services）

例えば、下2つのオレンジの部分はAWSが守ってくれています。

上4つの部分で、クラウド特有の事故が起きています。

クラウドセキュリティ事故の原因の99％は人為的な設定ミス

ただ、この部分で、なぜ事故が起きてしまうのでしょうか。

実は、「設定ミス」が原因です。

年々、その割合は増えています。

例えば、開発者がデータベースの設定を1つ間違えるだけで、顧客情報が全て流出してしまいます。

増え続けるサーバーやストレージ、それに比例して、掛け算で設定ミスの可能性は大きくなっていきます。

大企業100社以上にヒアリングをしてきましたが、セキュリティ部の方々は、なんと手作業でチェックをしています。

膨大な設定項目を、全くチェックできていません。

サーバーを1台立てるのに、半年間のチェック期間が必要などということも、珍しくありません。

アジャイル（素早さ）を求めてクラウドに移行したのに、これではクラウドの意味がありません。

膨大なクラウド資産をたった5分で診断

Cloudbaseは、この根深い、設定ミスの課題を解決します。

Cloudbaseは、AWS、GCP、Azure、全てを一元管理します。

クラウド内の設定ミスを全て検出し、また、日々発生してしまう設定ミスも即座に検出できます。

導入は、非常にシンプルです。

数クリックで登録が完了します。

接続は30秒で終わります。

認証情報を渡さないため、安全に接続ができます。

今、ちょうどスキャンを開始しました。

サーバーを1台利用するだけで半年間かかっていたチェックが、なんと5分で終わります。

クラウド上のリスクを、網羅的に検出することができます。

詳細を見てみましょう。

クラウド上のリスクが、全て並んでいます。

SSHのポート開放という、サーバー乗っ取りリスクが検出されています。

直し方のドキュメントを用意しているので、情報システム部、SIer、現場の方、どなたでも理解して、直すことができます。

2022年3月のリリースから20社以上の大企業が導入

Cloudbaseは、大企業向けに、年間契約にて提供しています。

クラウド利用量に応じた従量課金であり、クラウドにおけるセコムのような位置付けになっています。

既に、年間契約料が1,000万円を超える会社も存在しています。

その会社では、約40万項目全てを確認する必要がありましたが、人力では到底不可能なものでした。

2022年3月にリリースしたばかりですが、スズキやアイフルをはじめとして、20社以上にご利用いただいています。

▶クラウドのセキュリティ事故の99%は設定ミス。AWS向けクラウドセキュリティ診断プラットフォーム「Cloudbase」ベータ版の提供開始（PR TIMES）

最も有力とされる海外製品と比較されることもあります。

ですが、UI/UXと、運用のしやすさでCloudbaseが選ばれています。

海外製品との比較では、今のところ100%、Cloudbaseが選ばれています。

現在はフェーズ1として、設定ミスの検知をしています。

今後、フェーズ2では、設定ミスの自動修復、フェーズ3では機械学習を用いて脅威を検知します。

Cloudbaseがあれば、皆さんのクラウドは安全です。

そういう世界を実現します。

国内外で注目のクラウドセキュリティ市場

既に大きな日本のクラウド市場は、急速に成長中です。

▶クラウド基盤（IaaS/PaaS）サービス市場に関する調査を実施（2021年）（矢野経済研究所）

大企業は、基幹システムをオンプレミス（※）からクラウドに移すフェーズに来ており、私たちへの相談も増えてきました。

▶編集注：オンプレミスとはクラウドの対義語で、サーバーやソフトウェアなどの情報システムを自社環境で機器を設置し運用すること。

クラウドセキュリティの需要は、確実に高まっています。

2022年7月に、総務省が初めてクラウド設定ミス対策のガイドラインを公開しました。

▶「クラウドサービスの利用・提供における適切な設定のためのガイドライン」（案）に対する意見募集及び取組事例の募集（総務省）

▶総務省が“クラウド設定ミス”対策のガイドライン公開　まずは素案、パブコメも募集 2022年7月25日（ITmedia NEWS）

日本において、1つ目の大きな波です。

ガイドラインでは、Cloudbaseのようなセキュリティサービスの利用が推奨されています（※）。

▶編集注：総務省が公開した「クラウドサービスの利用・提供における適切な設定のためのガイドライン（案）」の「Ⅲ. クラウドサービス利用側に求められる対策」の別紙2の「Ⅲ. 1. 1. 2 【基本】事業部門等が独自に利用する場合のルール形成.」において、ベストプラクティスの1つとしてCSPMなどの監視ツールを併せて使用することが推奨されている。

クラウドセキュリティは、グローバルでは、非常に熱い市場です。