過剰な権限を検出–テナブル、クラウドやAI活用のリスクに対応する新機能

今回は「過剰な権限を検出–テナブル、クラウドやAI活用のリスクに対応する新機能」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 Tenable Network Security Japanは、クラウドセキュリティソリューション「Tenable Cloud Security」に「データセキュリティ態勢管理」(Data Security Posture Management:DSPM)と「AIセキュリティ態勢管理」(AI Security Posture Management:AI-SPM)を追加したことを発表した。

 Tenable Cloud Securityは、Cloud Native Application Protection Platform(CNAPP)と呼ばれるソリューションで、クラウドのセキュリティを包括的に保護することを目指すもの。CNAPPに含まれる主要機能の一つが、Cloud Security Posture Management(CSPM)で、本来はクラウドのセキュリティ設定などをチェックして不備がないかを確認する機能だったが、同社はこのコンセプトの対象を拡大し、データやAIといった新たな対象をカバーしている。

 概要を説明した米Tenableで製品担当のシニアバイスプレジデントを務めるJason Merrick(ジェイソン・メリック)氏は、同社のリサーチ部門が公表した「2024年 Tenableクラウドリスクレポート」について紹介した。

 同レポートは、2024年1~6月にTenableのテレメトリーで収集されたデータを分析したもの。ここでは「23%のクラウドアイデンティティーが深刻度『緊急』または『高』の過剰な権限を持っている」「78%の組織が外部公開されたKubernetes APIサーバーを所有している」「38%の組織が高リスクのワークロードを使用している」「84%の組織がリスクのあるアクセスキーを所有している」「74%の組織が外部公開されたストレージを所有している」といった結果が紹介され、多くの企業がセキュリティ上の課題を抱えたままクラウドの運用を続けていることを自覚していないという問題が指摘された。

 こうした課題に対して同社は、CNAPPをクラウド基盤全体の保護のために活用するという解決策を提示している。同氏は「なぜCNAPPをデータセキュリティに使うのか」という疑問に対する回答として「現行のソリューションではコンテキスト(関連性)が把握できない」と指摘。さらに「データセキュリティ用のソリューションはクラウドを想定して作られていない」「クラウドセキュリティ用のソリューションはデータを十分に考慮していない」という2つの事情から、同社がCNAPPをベースとしてさまざまなデータ保護を実現できるよう拡張に取り組んでいるとした。

 Merrick氏はデータのセキュリティを維持することの難しさを踏まえ、「データは水のようなもので、あらゆる場所に流れていってしまう」と語った。データセキュリティに関しては、「データはどこにあるのか/全てを見ることができるか」「データの区分けはどのような仕組みになっているのか/機密性は確保されているか」「データにアクセスできて使用できるのは誰か/リスク増大の要因になるのか」「リスクを削減するにはどう行動したらよいか/データは現在および将来的に安全か」という4つの懸念に対応する必要があるそうだ。

 今回新たに提供されるDSPMでは「データ検出」「データ区分」「データアクセスと使用状況」「リスク分析」「コンテキストと優先順位付け」といった機能を搭載する。データ資産を検出して機密データを特定し、データに対してアクセス権を持つユーザーを調べ上げ、そのアクセスパターンを踏まえて過剰な権限を与えられているユーザーが存在するかなどをチェックし、優先順位を付けて対策を提示するという。

 クラウドのセキュリティ設定とは異なり、データセキュリティには正解やベストプラクティスが明確になっているわけではなく、データの重要度や機密性についてもデータだけを見て確実に判断できるとも限らないため、ある程度のユーザーの関与は不可欠だろう。実態としては、ユーザーが全部手作業で適切なセキュリティ設定を実装するのに比べると大幅な省力化が可能、というところを狙った製品だと考えてよさそうだ。

 AI-SPMは、AIのための学習データにフォーカスした製品だ。AIの学習データに関しては、直接的なデータの漏えいに加え、不適切なデータを学習させてしまったことでAIを通じて機密データが漏えいするといった状況も考えられるため、こうした可能性まで考慮に入れた対策となる。

元記事: https://japan.zdnet.com/article/35225859/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
GNOMEとMonoとXamarinの開発者Miguel de Icaza(ミゲル・デ・イカザ)氏がマイクロソフト退職を発表
Microsoft
2022-03-07 00:24
りそなグループ、デジタル保険基盤「Fusion」で非対面保険販売を強化
IT関連
2024-08-16 08:44
スポーツ選手のNFTと独占コンテンツを販売するSportsIconが「7桁」ドルの資金調達
ブロックチェーン
2021-04-24 17:31
Acompany、秘密計算でデータとAIを保護する「AutoPrivacy AI CleanRoom」を提供
IT関連
2025-02-27 20:17
クラウドネイティブの注目動向、eBPFとWebAssemblyの利用が広がる、Appleが人材のブラックホールに。CNCFアンバサダー @_inductor_氏に聞いた
Cloud Native
2022-01-14 12:46
コード・フォー・ジャパンが日本初のシビックテック領域アクセラレータープログラム開始、Oktaが資金提供
パブリック / ダイバーシティ
2021-04-27 14:09
セキュリティソフトウェアに対する信頼をどう考えるべきか
IT関連
2024-07-30 17:54
ガバメイツやISIDら5社、中小規模自治体向けの業務標準化モデルを共同開発
IT関連
2023-11-09 11:28
富士通とベルギーのスタートアップ企業、ブロックチェーンビジネスで連携
IT関連
2022-12-01 02:05
Instagramがストーリーに自動キャプション機能を追加、近々リールにも(英語のみ)
ネットサービス
2021-05-06 23:25
東急、管理会計システム構築に経営管理システム基盤「fusion_place」を採用
IT関連
2022-10-08 21:56
アムステルダム裁判所がAirbnbレンタル全面禁止措置は「法的根拠なし」と覆す
ネットサービス
2021-03-18 00:35
家計や引っ越し、給料交渉など大学を卒業したばかりZ世代のための大人の手引書を提供するRealworldが3.7億円調達
その他
2021-04-11 10:33
ソニーセミコンとNEC、エッジAIで倉庫の入出荷を効率化–物流DXに向けて実証実験
IT関連
2022-12-10 07:15