ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Orca Securityのクラウドセキュリティプラットフォームが注目を集める理由とは?

AWS OrcaSecurity

フォージビジョン Orca Security のサービスサイト がオープンしました。

ForgeVision - Orca Security サービスサイト

こんにちわ、AWSエンジニアチームの山口です。

フォージビジョンでは、GrantDrive というBox と連携するサービスを提供しています。

このGrantDriveは、AWS上でサーバーレスアーキテクチャにて稼働してます。*1

フォージビジョンは、AWSアドバンストティア サービスパートナーとして、多くのお客様のAWS活用とアプリケーション開発を支援しているAWSをプラットフォームとしたアプリケーション開発のプロフェッショナル集団です。

GrantDriveは、AWSをプラットフォームとしたアプリケーション開発のプロフェッショナル集団が提供するサービスとして、あるべきセキュリティを確保された環境にて稼働していることを常に確認できるようにDevSecOpsとセキュリティのShift Leftを実現するため、Orca Securityを導入しています。

なぜ、Orca Securityを採用したのか、その理由とOrca Securityの特徴を書いていきます。

Orca Securityの特徴

Orca Securityは、CNAPPに分類されるセキュリティ製品です。大きく5つの特徴を持っています。

エージェントレスのアプローチ:
Orca Securityはエージェントを各サーバーにインストールする必要がないため、導入がすごく楽です。エージェント導入による依存関係、影響範囲、サーバー上で動作するアプリケーションのサポートなど気にする必要がありません。弊社はサーバーレスアーキテクチャの環境に導入していますが、AWSアカウントと連携するだけでセキュリティスキャンが実施できるので、今後は各開発プロジェクトにおいても導入を進めようと思っています。

エージェントレスのSideScanningが導入を楽にする

強力なセキュリティスキャン:
自動的にクラウド環境をスキャンした結果から膨大な量のデータを分析し、潜在的なセキュリティリスクを検出します。独自のクラウドネイティブの技術を使用し、クラウド資産全体を網羅的に評価し、脆弱性や不正アクセスの検出、データ漏洩の検出などを行います。日々サービスアップデートが行われ、環境が改善されていくクラウド環境では継続的なセキュリティ評価が重要と考え導入に至りました。

クラウドネイティブなサポート:
Orca Securityは、AWS、Azure、GCPなどの主要なクラウドプラットフォームに対応しています。クラウド環境に特化したセキュリティチェックだけではなく、AWS Organizationとの連携、Google WorkspacesとのSSO連携など、既に利用しているクラウドサービスをフル活用することができる点も魅力でした。

コンプライアンスの強化:
規制や業界基準に対するコンプライアンス状況の可視化もポイントでした。PCI DSS、ISMS、GDPRなどの規制に対するチェックやレポートを提供し、現在の環境においてどの構成や設定が、各規制にて定義されているチェック項目にマッチしていないのかを判定してくれることは、監査だけではなく日々の運用の中でセキュリティ認証を意識することができます。

シンプルなダッシュボードと直感的なインターフェース:
セキュリティスペシャリストではなく開発エンジニアが理解できるシンプルなダッシュボードとレポートが必要でした。直感的なインターフェースとドリルダウン可能なダッシュボードにより、開発エンジニアが各工程においてセキュリティの状況を把握できることが必須条件でした。

ダッシュボードの画像はサンプルです

私たちがOrca Securityを採用した理由

AWS Global Security Partner of the Year Award 2022 を受賞している

Orca Securityは、re:Invent 2022にて AWS Global Security Partner of the Year Award 受賞しています。 数多くのセキュリティ製品を取り扱うパートナーが存在する中、AWSユーザーの多くがエージェントレスアプローチのOrca Securityに注目し、導入された実績から受賞したものと理解しています。

orca.security

導入するプロダクトの選定において、プロダクト自身の機能や方向性(ロードマップ)も重要ですが、認定や表彰などの実績も1つの指標として見ているため、AWS Global Security Partner of the Year Award 2022を受賞しているというのは大きいポイントでした。

エージェントレスで現在利用しているAWS環境に影響を与えずに導入できる

今回、導入を検討していた GrantDrive のサービス環境は、サーバレスアーキテクチャで構成されているためエージェントを導入することが難しく、エージェントなしでもAWS上で稼働するサービスやリソース、そして存在するデータに関するセキュリティリスクをスキャンできるサービスを探していました。

また、弊社はAWSをプラットフォームしたアプリケーションの受託開発も提供しており、各開発プロジェクトにおいてセキュリティを全てエンジニアが意識し、携わることできるようにすることで開発するアプリケーションの品質をさらに向上することができると考えています。

その場合もエージェントを全ての環境に導入することは非現実的であるため、エージェントレスでもセキュリティスキャンや可視化の機能を満たせるサービスが必要でした。

Orca Securityは、エージェントレスでスキャン対象とするAWS環境に影響を与えることなく導入できるため、これしかないと思い導入検討を進めました。

PoCをして分かったダッシュボード、ユーザーインタフェースの良さ

弊社の場合、セキュリティサービスに触れるのはセキュリティの知識に長けているエンジニアだけではないため、セキュリティ専門家だけが理解でき、操作できるようなサービスではなく、全てのエンジニアが理解し、操作できるサービスを求めていました。

AWSエンジニア、開発エンジニア、AWS以外に関わるインフラエンジニアと一緒に Orca Security の PoC を行い、ダッシュボードに表示される項目や内容が専門家だけではなく全てのエンジニアが理解できる内容になっていること(例えば、セキュリティニュースに対して自分たちのシステムが関連しているかどうかを表示してくれる)、ユーザーインタフェースが直感的に操作できることを確認しました。

また、検出されたセキュリティリスクに対し、どうすればそのリスクを改善できるのかという情報も掲載されているため、検出 - 調査 - 対応 のフローの中に、セキュリティ専門チームが介在せずに対応できることも評価ポイントでした。

さいごに

今回は、私たちが Orca Security を導入した経緯、理由を書きましたが、今後は利用する上でのポイントなども記事にしていきます。

また、フォージビジョンは Orca Security の国内代理店として、Orca Securityの導入をご支援していくサービスを提供することになりました。 私たちが導入し、良いと感じた Orca Securityでクラウドを活用する多くの企業のセキュリティを支えていければと考えています。

ご興味がある方は、ぜひ弊社サイトよりお問い合わせください。

forgevision.com

*1:本稿におけるサーバーレスアーキテクチャはLambda、FargateなどEC2を用いないAWSサービスで構成されたアーキテクチャを指します