プロジェクトオーガナイザの吉田聖書です。
先月、8月25日にアメリカのVMware社が、クラウド環境の設定ミスをチェックできるツール「CloudHealth Secure State」を無償で提供すると公式ブログで発表しました。
ヴイエムウェア、パブリッククラウドのセキュリティサービスを無償で提供(2022/8/25 VMware Japan Blog)
これは何かというと、これまで、様々な企業がクラウド環境の設定ミスによって、個人情報のような外部に公開してはいけない情報が丸見えになっていたという事故を起こしていまして、そういう事故が起きないように設定ミスを見つけてくれる機能を持っているということです。こういう機能のことを専門用語で「クラウドセキュリティポスチャー管理(CSPM=Cloud Security Posture Management)」機能と呼びます。ちなみに私は今回初めて知りました。
いやいや、第一線でクラウド環境の構築を担当されている方々にとっては当たり前の用語だろうと思います。今回、VMware社が有償で提供しているCSPMツールの機能を限定した無料プランが提供開始されたということです。VMware社のツールで対応しているクラウドサービスはAWS、Azure、GCP、Kubernetesだそうです。今回の記事はVMware社ですが、調べてみると他にも似たような製品が様々な会社から提供されていますね。
こういう製品って必要だと思うし、セキュリティの会社が提供するというのも分かるんですよ。でもよく考えたら変な話ですよね。そういう機能は本来クラウドサービスにこそ備わっているべきだと思いませんか。
もちろん各クラウドサービスにはセキュリティ設定の機能がありますから、それを知識のある人が適切に設定すれば良いというのはその通りであります。ただ、そういったセキュリティ設定が適切になされているかの点検を、時間をかければできますというのではちょっと不親切じゃないかなと思います。点検する人が、設定した人と同じ画面を1つずつ見ていってチェックしなければならないとしたら、時間がかかり過ぎるし現実的ではありません。
点検する人向けの機能として、セキュリティ設定を一覧などのパッと分かるような形式で表示する機能が必要です。そういう機能があれば点検に係る工数が下がりますから、近年発生しているようなクラウドの設定ミスによる情報漏洩はそこまで発生していなかったと思うんですよ。そしてVMware社などのベンダ各社が提供しているのはまさにそのような機能です。冒頭のブログ記事に掲載されている画像を見る限り、グラフィカルなダッシュボードはかなり見やすい印象を受けました。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
実はこれらのCSPMソリューションも完全ではありません。そもそも対応しているクラウドサービスが限定されています。いくつかの会社の製品を見てみましたが、基本はAWS、Azure、GCPの3つです。製品によっては他にもいくつかのクラウドサービスに対応しているものもありますが、いずれもマイナーではないSFDCには対応していません。理由は分かりませんが、おそらく、Salesforce社のポリシーなのでしょう。
SFDCの設定ミスによるセキュリティ事故はニュースにもなりましたから、ここはSFDCにCSPMのダッシュボードを搭載するか、外部のサービスに対応できるようにしてもらいたいところですよね。ただ、もう何年も私自身はSFDCに触れていないので、既に実装されていたら申し訳ありません。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。