Flatt Security、AWSやGoogle Cloudのセキュリティ診断を継続的に行えるSaaS「Shisho Cloud」

　株式会社Flatt Securityは23日、クラウドサービスのセキュリティの継続運用・自動化をサポートするSaaS「Shisho Cloud（シショウクラウド）」の正式版を提供開始すると発表した。

　Shisho Cloudは、Amazon Web Services（AWS）、Google Cloudのセキュリティ診断の自動化や、クラウドセキュリティの継続運用のサポートに特化した機能を備えたセキュリティSaaS。両クラウドサービスのリスクを自動的・継続的に検査し、検出されたリスクをSlackによってリアルタイムで通知することができる。ダッシュボードでは、検出されたリスクへの対応状況や、検出結果のハイライトなどを確認可能だ。

ダッシュボード画面

　また、セキュリティポリシー（セキュリティのルールや設定）をコードで記述し運用する、Policy as Codeの実現をサポートするための各種機能を搭載した。セキュリティ診断の対象・ロジック・タイミングから、通知内容・タイミングに至るまで、Rego等の言語でカスタマイズが可能。組織に合わせたクラウドセキュリティ運用を実現できるという。

　さらに、セキュリティポリシーのコードをGitHubで管理することも可能で、これにより、ポリシーのバージョン管理や変更のピアレビュー等を、ソフトウェアエンジニアが慣れ親しんだモダンなソフトウェア開発プロセス同様に実施できる。またGitHub Actions を利用すれば、ポリシーの変更を即座に自社ガバナンスに生かす、継続的デプロイメント（Continuous Deployment）も実現するとのこと。

　加えて、検出された個々のリスクをShisho Cloud上で管理でき、各リスクに対しては「対応ステータス」「リスク判断」「対応方針」などの記録を行えるので、クラウドセキュリティを担うチームのノウハウ共有やタスク管理に活用可能。検出されたリスクの説明だけでなく、リスクの生まれた背景についても解説したレポートや、それぞれのリスクに対応する、業界標準に基づく推奨設定もわかりやすく提案するとしている。

　今後は、GitHubに格納されたデータに対してセキュリティ診断を実施する機能の搭載を検討しており、現在は、GitHub組織・リポジトリの設定を対象としたセキュリティ診断実施機能を試験提供している。