RSA イノベーション サンドボックス インベントリ | AppOmni - SaaS データ漏洩の継続的な監視とアラート保護

2020年2月24日から28日まで、サイバーセキュリティ業界の主要イベントであるRSAカンファレンスがサンフランシスコで開催されます。少し前に、RSAC は今年のイノベーション サンドボックスに選ばれたトップ 10 のスタートアップ企業を正式に発表しました。AppOmni、BluBracket、Elevate Security、ForAllSecure、INKY、Obsidian、SECURITI.AI、Sqreen、Tala Security、Vulcan です。

これまで、Green Alliance は Elevate Security と Sqreen という 2 つのメーカーを紹介してきました。本日はメーカー「AppOmni」をご紹介します。

1.会社紹介

AppOmni は 2018 年に設立され、サンフランシスコのカーボンデールに本社を置いています。同社は、パブリック クラウド上のアプリケーション (SaaS) の保護、管理、監視に取り組んでおり、クラウドに移行した後にほとんどのエンタープライズ SaaS 製品が直面するセキュリティ リスクを解決しています。現在、同社には約40～50人の従業員がおり、創業者のほとんどはSalesforceとPalo Alto Networks出身者です。同社は今年1月28日、ClearSkyが主導するシリーズA資金調達で1,300万ドルを調達し、Inner Loop Capitalもこの資金調達ラウンドに参加した。

2. 背景

クラウド テクノロジーの活発な発展により、企業はクラウドへの移行を選択しています。しかし、複雑で絶えず変化するクラウド環境に直面している企業は、データ漏洩についても懸念しており、クラウド サービス プロバイダーに「クラウドは安全ですか?」と尋ねることがよくあります。

技術の継続的な蓄積により、クラウド コンピューティング技術はますます成熟してきました。今日のクラウド環境は徐々に安定性と安全性が向上していますが、クラウド上の企業によって露呈するセキュリティ問題は依然として後を絶ちません。理由は何ですか？

ガートナーは、2022 年までにクラウド セキュリティの問題の少なくとも 95% が顧客の責任になると予測しています。テクノロジーが進歩するにつれて、クラウド アプリケーションはより普及し、普及するようになり、クラウド ビジネスの複雑さも増しています。一部の大規模な本番レベルの IaaS および PaaS プラットフォームでは、通常、数百もの構成オプション、1 日あたり数千万回の API 呼び出し、さまざまなデータ アクセス モデルが存在することがわかっています。クラウド サービスが直面しているセキュリティ上の課題は、クラウド自体のセキュリティではなく、効果的なセキュリティ管理、技術的制御、セキュリティ ポリシーの実装にあります。したがって、「あなたのクラウドは安全ですか?」という質問はすべきではありません。 「クラウドを安全に使用していますか？」

SaaS セキュリティ保護が直面する問題:

SaaS サービスは成熟した IT 市場で広く利用されてきました。関連データによると、2024年までに世界のSaaS市場規模は1,800億米ドルに達し、年間複合成長率は20％を超えると予想されています。同時に、SaaS のセキュリティ問題も技術者の間で議論されるホットな話題となっています。近年、大規模なデータ漏洩事件が発生し、数万人の損失が発生しています。包括的な理由は次の通りです。

1. クラウドにおける安全でないアクセス制御

特権ユーザー アクセスを含むアクセス制御は、データ侵害の最大の原因であり、根本的な原因は、安全でないデフォルト構成と、古いユーザーが削除されていないことや管理制御の過度の使用などのアクセス制御の乱用です。上記の問題に直面して、一部の企業では RBAC メカニズムを使用してユーザー アクセス制御を管理しています。これは問題ないように思えますが、実際の適用においては、十分なセキュリティの知識を持たない運用・保守担当者が完全な制御を実現することは困難です。結局のところ、企業の規模が大きくなるにつれて、人員と役割の権限も増えていきます。統合された管理プラットフォームがなければ、専門の保守担当者だけに管理を頼るのは困難すぎます。

2. クラウドストレージの設定が間違っている

多くの企業は、パブリック クラウド上に SaaS サービスを展開することを選択しますが、クラウド上のストレージ構成については考慮しません。彼らは、これがクラウド サービス プロバイダーの責任であると考えています。しかし現実は残酷だ。中小企業の多くは、クラウド サービス プロバイダーからサービスを購入する際に、利用規約を注意深く読むことすらありません。 Macfee の調査によると、クラウドと IaaS の誤った構成の 99% はエンド ユーザーが制御できる範囲にあり、一般には知られていません。この現象の主な原因は、多くのクラウド サービスでクラウド データ ストレージ構成のデフォルトのアクセス設定が「パブリック データ」であるため、企業はデータ漏洩の悲劇が再び起こらないように、十分な教育を受けた設計者とセキュリティ担当者がサービスを適切に管理する必要があることです。

3. SaaSサービスには継続的な監視とアラート機能が欠けている

サービスがハッカーによって侵害され、データが漏洩した場合、継続的な監視とアラートにより、ユーザーの損失を最小限に抑えることができます。現在、ほとんどの企業はクラウド サービス プロバイダーが提供する監視とアラームを使用しています。しかし、サービスプロバイダーは一般ユーザーグループを対象としているため、セキュリティ機能が単一であり、ユーザー情報のフィードバックがユーザーフレンドリーではなく、継続的な監視が不足しており、最終的にはハッカーの侵入や管理不能な状況につながります。 SaaS サービスのセキュリティを確保するために、企業はあらゆる侵入インシデントを処理できる専門的なクラウド アラーム プラットフォームを緊急に必要としています。

2018年9月、Veeamの顧客データが漏洩し、4億4000万件の顧客記録に関連する200GBのデータがオンラインで公開されました。 2019年12月、Leifeng.comはElasticsearchサーバーの個人データ12億件が漏洩したと報じた。クラウド インスタンスの構成が不適切だったために生じた莫大な損失を考えると、本当に悲しいです。

要約すると、クラウド内のデータへのアクセス性を実現する方法、ユーザー アクセス制御、クラウド間アプリケーションのセキュリティ、データ アクセス ポリシーなどの関連領域が、クライアント側のセキュリティ保護が直面する最大の問題となっています。

3. 製品紹介

AppOmni プラットフォームは、セキュリティ、コンプライアンス、IT チームのニーズに関する豊富な経験と理解を持つ専門家チームによって設計および構築されています。 AppOmni が独自に開発したポリシー エンジンを使用して SaaS サービスの API と構成を徹底的にスキャンすることで、数分以内にデータ漏洩を特定し、対応するレポートを生成できます。第二に、AppOmni はユーザーの SaaS プログラムを継続的に監視し、セキュリティ インシデントが発生していないかどうかを確認し、対応するアラートを生成します。最後に、AppOmni の「SaaS 権限モデリング」特許により、ユーザーは SaaS アプリケーション内の主要なビジネス データへの有効なアクセス権について、即座に、実際的に、実用的な方法で洞察を得ることができます。上記の 3 つの点を組み合わせることで、AppOmni はアクセス制御、データ漏洩、データ アクセス戦略において一定の革新性を備え、SaaS サービスを完全に保護します。

4. 製品の特徴

AppOmni のソリューションには、主にセキュリティ自動化、コンプライアンス制御、IT 管理が含まれます。一つずつ紹介していきます。

1. セキュリティ自動化

（1）ファイアウォールの設定

AppOmni はファイアウォール機能の構成をサポートしており、データが第三者やパブリック ネットワークに公開されるのを防ぐためのデータ アクセスのセキュリティ ルールを定義できます。

（２）一貫したアクセス制御

ロールベースのアクセス制御 (RBAC) は、SaaS ユーザーのアクセス制御と承認の業界標準戦略です。大企業が何千人もの社内ユーザーをサポートする必要がある場合、IT チームはアクセス権を付与するというプレッシャーに直面することになります。このとき、本来の権限を超えた権限の設定が簡単に行われ、権限を誤って削除すると業務に重大な影響を及ぼす可能性があります。 AppOmni は RBAC の原則に従い、どのユーザーが同じ権限を共有しているか、どのユーザーが共有していないかを表示し、異常なユーザー権限のバインドを識別できる視覚的なロールベースのユーザー管理インターフェイスを提供します。これにより、運用および保守担当者はユーザーとロールを明確かつ効果的に割り当てることができます。

（３）24時間365日の継続監視

一貫したアクセス制御だけでは十分ではないことがよくあります。 SaaS アプリケーションが既知の良好なアクセス制御状態になったら、その良好な状態を継続的に維持し、一貫性を維持する必要があります。 AppOmni は 24 時間 365 日の継続的な監視を提供します。内部の「権限モデル」により、SaaS アプリケーションの構成と有効なアクセスを評価できます。設定されたセキュリティ ポリシーまたはバインドされたユーザー権限からの逸脱は、直ちにアラームをトリガーし、対応する対策を講じます。

2. コンプライアンス管理

コンプライアンス レポート: AppOmni は、SaaS のアクセス チェックを実行し、対応するコンプライアンス レポートを「数分」以内にエクスポートすることをサポートしています。これは、企業では現在展開されている SaaS サービスがコンプライアンスに準拠しているかどうかを定期的にチェックするため、企業にとって非常に重要です。

データ リスト: AppOmni は、データをタイプ、ビジネス ニーズ、コンプライアンス要件に応じて分類し、ユーザーに視覚的なデータ リストを提供します。また、データを任意の SIEM システム (SOAR)、ログ管理システム、脆弱性管理システムに接続して、さらにデータを分析できます。

コントロールのマッチング: AppOmni は、SaaS アプリケーションの使用が準拠しているかどうかを確認するために、ISO 27001、PCI、NIST などの業界標準を SaaS アプリケーションとマッチングするベースラインとして提供します。

3. IT管理

• 構成管理: AppOmni は、ユーザー ロールの権限、ファイアウォール セキュリティ ポリシー、構成ファイルなどを構成し、ユーザー、クラウド環境、アプリケーションに適した基本的な構成テンプレートを作成できます。
• 機能テスト: 自動テストを IT プロセスに組み込むことで、ユーザーはオンライン バージョンに影響するイベントを心配することなく、新しいアプリケーションをアップグレードおよび展開できます。 AppOmni にはこの機能があります。

V. 結論

AppOmni は公式ウェブサイトでスキャン エンジンがどのような技術を使用しているかは明示しておらず、特許であるとだけ述べていますが、このことから、これが AppOmni の最大のセールス ポイントであるに違いないと推測できます。結局のところ、AppOmni がわずか数分で SaaS サービスをスキャンし、対応するコンプライアンス レポートとデータ リストを出力し、パフォーマンスに大きな影響を与えることなく 24 時間 365 日の継続的なサービス監視とアラートを提供できることに、興味を持たない人がいるでしょうか。

Gartner 社は、この市場セグメントをパブリック クラウドの構成検証のための CSPM (クラウド セキュリティ ポスチャ管理) と呼んでいます。現在、ほとんどの企業の構成検証では、弱いパスワードやパスワードなしなどのインシデントを回避するために、主にストレージ リソースへのアクセス資格情報をチェックしています。 AppOmni の革新性は、コンプライアンス要件を組み合わせてビジネス レベルでのアクセス ロジック関係を視覚的に復元し、継続的な監視とアラームを通じて、ビジネス移行や人員変更後のアクセス ポリシーの一貫性を確保することにあります。

AppOmni は継続的な監視とアラートを提供し、ユーザー レベルで「即時の可視性」を実現し、クラウドのセキュリティの現状を大幅に改善します。さらに、AppOmni プラットフォームは、ユーザー定義のセキュリティ ポリシーを通じてデータ漏洩リスクを評価し、警告と洞察を提供することで、ユーザーの修復時間を大幅に節約します。企業のビジネス発展のペースがクラウド移行によるセキュリティ問題に追いつけない中、AppOmni は SaaS クラウドを安全に使用する方法の解決に注力したこの分野の先駆的な企業の 1 つと言えます。今後ビジネスが複雑化するにつれて、クラウドで直面するセキュリティの問題は増加するばかりです。 AppOmni がその革新性と優位性を維持し、今後も努力を続けていくことを願っています。同時に、AppOmni が 2020 RSAC イノベーション サンドボックス トップ 10 コンペティションで良い結果を達成することを願っています。

参考リンク

[1] https://appomni.com/

[2] https://appomni.com/appomni-raises-10-million-in-series-a/

[3] https://appomni.com/using-roles-for-continuous-saas-security-monitoring/

[4] https://appomni.com/is-the-cloud-secure/

[5] https://www.infosecurity-magazine.com/news/orgs-failing-protect-data-cloud/

[6] https://www.cbronline.com/news/iaas-misconfiguration-mcafee

[7] https://thehackernews.com/2019/10/data-breach-protection.html