米Sonrai Securityが2日、Amazon Web Services（AWS）、Microsoft Azure、Google Cloud環境向けセキュリティツール「Cloud Permissions Firewall」（クラウド権限ファイアウォール）をリリースした。パブリッククラウドの真の境界とされる、ID、権限、アクセス権の保護を支援する製品だ。

従来型のクラウドファイアウォールは、ネットワークトラフィックを監視・制御しつつ、クラウド上にあるプラットフォーム、インフラ、アプリケーションをすべて囲む障壁として機能する。悪質なトラフィックの可能性があるものをフィルタリングして排除することが目的だ。

これに対し、Cloud Permissions Firewallでは、すべての権限の使用状況を監視し、使われていない権限、ID、サービス、リージョンを排除する。「悪意の行為者がクラウド内に足場を作り、ラテラルムーブメントや権限昇格による攻撃を実行する際の障壁として機能します」とBrendan Hannigan（ブレンダン・ハニガン）CEOがSDxCentralの取材で語った。

所要時間とセキュリティリスクを低減

具体的には、クラウド権限に関する攻撃対象領域を92％削減、クラウドネイティブツールを使用した場合との比較で、最小特権の原則を適用するための所要時間を97％削減することが可能だ。

異なる種類のクラウドネイティブツールを複数使用する環境では、最小特権ポリシーを作成し、全IDに適用するに当たって手作業による手間がかかる。企業のクラウド環境には通常、ユーザーまたは機器のIDが合計で35,000個以上存在する上、「クラウドには変化が激しいという性質があり、新しいIDが常に作成され、その全てにポリシー設定が必要」だという。

同製品ではワンクリックで単一のポリシーを一元的に展開し、全IDに最小特権を適用することができる。また、「デフォルト拒否」のファイアウォールとなっており、新しいIDはすべて自動的に最小特権で作成される。「Permissions on Demand」（オンデマンド権限付与）と呼ばれるプロセスを利用すれば、ものの数分で権限制限を適用したり、開発者の業務が中断されるのを防いだりすることも可能だ。

医療向けソリューションを提供する米Eye Care Leaders（アイ・ケア・リーダーズ）でCISO（最高情報セキュリティ責任者）を務めるPreetam Sirur（プリータム・シルル）氏は、次のように述べている。「使われていないIDを削除したり、最小権限にするよう徹底するのがなぜ難しいかというと、それが「正しい」ことだというのは誰もが分かっていながら、何かが動かなくなったり、開発サイクルが滞ったりするのではないかと心配になってしまうためです。（中略）当社では、こうしたためらいを（同製品によって）取り除きました。ただ自信をもって展開すれば良くなったのです」

エネルギー管理会社の米World Kinect（ワールド・キネクト）のJosh McLean（ジョシュ・マクリーン）CEOも、SDxCentralの取材で同様のコメントをしている。「移行によって、何週間もかけて面倒な作業をしていたのが、わずか数日で最小特権を実現できるようになりました。驚くべきことです。全ての重要な権限のセキュリティを保証すると同時に、膨大な時間の節約が可能になりました」

Cloud Permissions Firewallは4月15日にAWS版の一般提供を開始、その後まもなくAzure版、GCP版も発売される予定となっている。

Cloud permissions firewall for AWS, Google, Microsoft cuts security risks