スリーシェイク、「Securify」でクラウド環境の設定ミスなどを監視できるCSPM機能の正式版を提供開始

　株式会社スリーシェイクは24日、統合セキュリティプラットフォーム「Securify（セキュリファイ）」において、CSPM（Cloud Security Posture Management）機能の正式版と、SBOM機能のβ版を提供開始したと発表した。これにより、従来は分断されていたクラウド環境とソフトウェアサプライチェーンのリスクを、単一のプラットフォーム上で包括的に可視化・管理できるようになるという。

　Securifyは、IT資産の棚卸しと脆弱性診断を通じたリスク評価のサイクルを可能にし、持続可能なセキュリティ対策を実現するセキュリティツール。情報漏えいの起点から逆算した対策を行える点が特徴で、ASM（Attack Surface Management：攻撃対象領域管理）と脆弱性診断の組み合わせにより、攻撃者視点で診断を行い、企業内のセキュリティリスクをあぶり出すことができるという。

　このSecurifyでは4月から、クラウドサービスの設定を継続的に監視し、設定ミスやコンプライアンス違反などを検知・可視化するCSPM機能をβ版として提供していたが、今回の正式版では、実際の運用現場で得られた知見を踏まえ、機能を強化して提供する。

　クラウドサービスはAmazon Web Services（AWS）、Google Cloud Platform（GCP）、Microsoft Azureに対応し、単一のダッシュボードですべてのクラウド資産、構成、セキュリティリスクを可視化可能。照合するセキュリティ基準としても、主要な国際規格・業界標準をサポートしており、包括的なコンプライアンス管理とレポーティングが可能だ。また、ワンクリックで監査レポートを生成できるため、コンプライアンス証明も簡素化されるとした。

　さらに、クラウド間の設定の一貫性を自動チェックし、修正方法を分かりやすく提示する機能も搭載する。加えて、重要度の高いリスクから優先的に対処できるよう、ビジネスインパクトを考慮した優先順位付けに対応しているとのこと。

　また今回は同時に、SBOM（ソフトウェア部品表）機能のβ版が搭載された。SBOMとは、製品等のソフトウェアが使用するオープンソースソフトウェア（OSS）ライブラリ等のコンポーネント（ソフトウェア部品）や、それらの依存関係等の情報を含む一覧表のことで、ソフトウェア開発におけるオープンソース部品の活用が一般化する中、その構成要素を正確に把握するSBOMの重要性が国際的に高まっているという。

　SecurifyのSBOM機能は、主要なSBOMフォーマットに対応しており、ソースコード、ビルド成果物、クラウド環境の3段階でSBOMを自動生成可能。継続的な更新により、常に最新の状態を維持できる。また、オープンソースライセンスの自動検出と分類を行い、ライセンス違反リスクの事前警告にも対応するとした。

　なお、AWS、GCP、Azureなどのプラットフォームと連携した、SBOMの生成および管理が可能とのことだ。