日本発のCSPMツール Cloudbaseのご紹介

皆さんこんにちは、八木です。

今回は日本発のCSPMツールである、Cloudbaseというサービスについてご紹介します。

CSPMツールとは

そもそもCSPMツールとは何でしょうか？
CSPMというのはCloud Security Posture Managementの略で、日本語で「クラウドセキュリティ態勢管理」や「クラウドセキュリティ状態管理」と訳されたりします。
主にクラウドリソースの設定ミスの検出や、ユーザのオペレーション監視を行うツールのことを指します。
AWSの純正サービスであればAWS Config、サードパーティ製品であればCloudGuard Posture Management（旧称：Dome9）などが該当するでしょう。

なぜCSPMツールは必要なの？

では、なぜCSPMツールは必要なのでしょうか？
その答えはクラウドリソースの設定ミスによる、セキュリティリスクを軽減するためです。
毎年クラウドリソースの設定ミスによる情報の流出事故が起きています。
また、今後もクラウドリソースの設定ミスによるセキュリティインシデントは増加すると予想されており、IT関連のリサーチ・コンサルティングを行うGartner社によると、2025年にはクラウドセキュリティ事故の99%がクラウド利用者の責任になると予想されています。
こういった背景から、リソースの設定ミスによるセキュリティリスクを軽減するために、CSPMツールの必要性が増して来ています。

Cloudbaseとは

今回は、そのようなCSPMツールの1つである、Cloudbaseについてご紹介します。
Cloudbaseは日本のスタートアップ企業が開発をおこなっているサービスで、2022年にリリースされました。
現在はAWSとGCPに対応しており、それぞれのプラットフォームのリソース設定に問題がないか診断することができます。
日本企業が開発していることもあり、サービス内の文言やドキュメントも日本語で書かれているため、導入のハードルが低いです。
また、診断項目をサービス側で用意してくれているため、ユーザーが自身でリストアップする必要はありません。

使ってみた

ということで、早速使ってみました。
AWSとGCPに対応していますが、今回はAWSを利用してみます。

セットアップ

Cloudbaseの導入は非常に簡単で、必要な権限を付与したIAMユーザの情報をCloudbaseに登録するだけです。

まずCloudbaseに登録します。
ログインした後、プロジェクトを作成します。

続いてAWS上でIAMポリシーを作成します。ポリシーの内容はCloudbaseのAWS導入手順書に書いてあります。

さらにIAMユーザを作成し、先ほど作成したIAMポリシーと、AWS管理ポリシーであるSecurityAuditをアタッチします。
また、IAMユーザ作成の際には、アクセスキーを発行するようにします。

最後にCloudbaseでクラウドアカウントの追加を行います。
作成したIAMユーザのアクセスキーIDとシークレットアクセスキーをCloudbaseに登録します。

これで導入は完了です。

診断

AWSアカウントの登録が終わると、スキャンが可能になります。
なおスキャンは私の環境では5分ほどかかりました。

スキャンが終わると、「設定ミス一覧」からスキャン結果が見れるようになります。

スキャン結果の各項目をクリックすることで、「問題のリソース」「理想の状態」「詳しい説明」などを見ることができます。

また各診断項目には危険度が振り分けられており、「CRITICAL」「HIGH」「MEDIUM」「LOW」の４段階になっています。
導入初期は非常に多くの項目が問題として検出されると思うので、「初期はCRITICALとHIGHまで対応しよう」などといったように、危険度を1つの基準として対応することができそうです。

また個人的に非常に良いと思った点なのですが、よく事故が起こる項目や危険度が高い項目に関しては、詳細ドキュメントがついています。 この詳細ドキュメントでは、診断項目によるリスク、実際に起こりうる事故、そして防ぐための対応方法（設定の変更方法）などが画像付きで丁寧に案内されています。
クラウドに移行したばかりのチームであったり、クラウドに詳しいエンジニアがチーム内にいない場合は、非常に役立つのではないでしょうか。

他の項目も見ていくと、よく事故が起こるS3バケットの「パブリックアクセスのブロック」なども検出してくれていました。

ここで紹介したもの以外にも、様々な検出項目があります。

また、診断項目によっては、意図的に対処しないといった判断もあるのではないでしょうか。
例えばS3の「クロスリージョンレプリケーション」では、費用を考慮して、重要でないデータを保存するバケットはレプリケーションをしない、といった判断をする場合もあると思います。
そういった場合は「無視する」という設定で、次回以降のスキャンから診断項目を外すことができます。

この際、無視する診断項目のスコープは「リソース単位」「リージョン単位」「アカウント単位」で選択することができますが、できるだけ小さいスコープにすることが望ましいでしょう。今後追加、変更されるリソースに設定ミスがあった場合、検出しやすくなります。

その他機能

1. 定期実行
   1日1回、自動でスキャンを行なってくれます。毎日スキャンボタンをポチポチする必要はありません。

2. Slack通知
   SlackのIncoming webhooksを設定することで、スキャンが終わるとSlackに通知してくれます。設定も非常に簡単です。
   

3. プロジェクトのメンバー管理
   Cloudbaseのプロジェクトにアクセスできるメンバーを管理できます。権限は現在のところ、「管理者」と「閲覧者」の２種類が用意されています。

現段階ではサポートされていない機能

1. 検出からの自動修正
   AWS Configでは、診断で問題が見つかった場合、SSMと提携して自動修正するといったことができますが、現段階ではCloudbaseにはそういった機能はありません。凝った設定を行いたい場合はAWS Configも併用すると良いでしょう。

2. 検出内容のカスタマイズ
   カスタマイズした検出内容を設定をすることはできません。例えば、セキュリティグループで接続元のIPアドレスを特定のアドレス（例えば会社のIPアドレス）にする、といった設定までは行えません。

最後に

今回は日本発のCSPMツールであるCloudbaseについてご紹介しました。
Cloudbaseはご紹介した通り、クラウド知識が少なくても、問題箇所とその対応方法が非常にわかりやすいサービスです。
また日本発の日本企業に向けたサービスであるため、ドキュメントもわかりやすいです。

今後はますますクラウドセキュリティの重要性が増してきます。セキュリティリスクを減らすためにも、CSPMツールの導入を検討してみてはいかがでしょうか？
現在、個人利用に限り、Cloudbaseを無料で利用することができます。興味を持たれた方は是非お試しください！

参考リンク

https://cloudbase.ink/
https://www.gartner.com/smarterwithgartner/is-the-cloud-secure
https://www.gartner.com/smarterwithgartner/why-cloud-security-is-everyones-business