利便性や拡張性の高さから、企業の情報システム環境がパブリッククラウド¹へ移行するケースが増えています。一方で、クラウド環境の設定に不備があったり、複数のクラウドサービスを利用することで管理が複雑になったりすることを原因として、サイバー攻撃の標的となる隙ができてしまう事例も多く発生しています。

NRIセキュアは、このような問題に対処するため、Prisma Cloudを活用した2つの新しいサービスを開始します。Prisma Cloudは、マルチクラウドのセキュリティ態勢管理機能を持つ、包括的なクラウドネイティブセキュリティプラットフォームです。定期的に複数のクラウド基盤²の設定情報やログを取得し、設定の不備やコンプライアンス違反がないか等を自動でチェックするほか、システム上の異常行動の検知やネットワークの可視化、危険度の高い設定項目に対する自動修復などの機能を備えています。クラウドサービスを提供する各事業者が独自で持つCSPM³機能と比較して、マルチクラウド環境利用時の一元管理のしやすさが特長です。
それぞれのサービスの概要と特長は以下の通りです。

1.「統合クラウドセキュリティマネージドサービス powered by Prisma Cloud from Palo Alto Networks」

• ●

  マルチクラウドのセキュリティ運用管理における適切なPDCAを実現
  導入企業のニーズや要件に合わせて、NRIセキュアが安全なクラウド利用のためのルール設定やポリシー作成を行い、Prisma Cloudを導入します。導入後はシステムの検知状況の確認やきめ細かなチューニング、月次報告、クラウドの利用状況のリアルタイム監視や障害対応支援などを行い、セキュリティ運用管理における適切なPDCAサイクルを実現します（図1）。
  さらに、各クラウドサービスのフローログ⁴やファイアウォールログなどもあわせて監視し、それらのログを相関して調査・分析することで、疑わしいイベントが検出された際に迅速な対応が可能になります。

  
• ●

  導入企業に合わせた検知ルールや独自の通知システム
  Prisma Cloudには、NIST⁵やCIS⁶が推奨する業界基準をはじめ、GDPR⁷やHIPAA⁸等のさまざまな制度に対応した検知ポリシーや、パロアルトネットワークス社の検知ポリシーが実装されています。さらに、NRIセキュア独自のカスタムポリシーを組み合わせて検知ルールを策定するとともに、通知システムにNRIセキュアの運用基盤を用いることで、より柔軟な通知方法が選択できます。導入企業の運用方針・体制に合わせた効果的なセキュリティ監視環境の実装が可能です。

• ●

  安全なクラウド運用に関するコンサルティング（オプションサービス）
  Prisma Cloudを活用して、安全にマルチクラウド環境を構築・運用していくために必要な、クラウド運用業務における「ルールやガイドラインの整備」「構想策定・方式設計支援」「業務・運用設計支援」「導入推進PMO」等のコンサルティングサービスを、必要に応じて提供します。

2.「クラウド設定評価サービス」

• ●

  クラウド環境のセキュリティ設定をスポットで評価
  クラウド設定評価サービスは、例えばクラウド環境上にシステムを構築する際や改修のタイミングなどに、都度利用することのできるサービスです。また、既存のクラウド環境に関して、セキュリティ上のリスクを素早く点検したい場合や、Prisma Cloudの導入検討時の効果検証手段としても活用できます。

• ●

  セキュリティ診断実績を生かした評価と対策提案
  豊富なセキュリティ診断経験を持つNRIセキュアの専門家が、お客さまのクラウド環境のセキュリティ設定をチェックします。各種の業界標準やクラウドサービスの特性なども考慮した評価を行うことで、設定不備を検出してリスクを可視化し、対策を提案します（図2）。

  
• ●

  実行可能性の高い報告書の提供とQAサポート
  検出された問題点の一覧に加え、重要度などの優先順位をつけた報告書を提供します。各問題点の詳細や対策方法の項目では、導入企業がすぐに修正対応に取り掛かれるよう、問題の箇所のURLなどの詳細情報を含めて報告します。
  さらに、検出された問題点の対策方法などについてフォローが必要な場合には、報告書の提出から3カ月間、12件までのQAサポート（質問への回答）を無償で付帯します。

各サービスの詳細については、次のWebサイトをご参照ください。なお、これらのサービスはそれぞれ個別にご利用いただけます。

• 統合クラウドセキュリティマネージドサービス powered by Prisma Cloud from Palo Alto Networks
  https://www.nri-secure.co.jp/service/mss/prisma-cloud
• クラウド設定評価サービス
  https://www.nri-secure.co.jp/service/assessment/cloud-security-posture

NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、グローバルな規模で安全・安心な情報システム環境と社会の実現に貢献していきます。

• ¹  

  パブリッククラウド：
  インターネットを経由して、クラウドコンピューティング環境を提供するサービスのこと。

• ²  

  複数のクラウド基盤：
  「Prisma Cloud」が対応しているクラウド基盤は、AWS、Microsoft Azure、Google Cloud Platform（GCP）、Alibaba Cloud、Oracle Cloud Infrastructure（OCI）の5つ。

• ³  

  CSPM：
  Cloud Security Posture Managementの略称で、主にクラウドサービスの管理画面上で操作可能な範囲を対象に、設定を継続的に評価し、適切な状態を維持することを支援するソリューションのこと。

• ⁴  

  フローログ：
  クラウド上のネットワークインターフェイスを通過するIPトラフィックに関連するログのこと。主要なクラウドサービスでは、トラフィック可視化の手段として、ネットワークのログが取得可能になっている。

• ⁵  

  NIST：
  National Institute of Standards and Technology（米国立標準技術研究所）の略称で、「NIST Cybersecurity Framework（重要インフラのサイバーセキュリティを改善するためのフレームワーク）」をはじめとした、さまざまな業界ガイドラインを発行している米国の研究機関。

• ⁶  

  CIS：
  Center for Internet Securityの略称で、米国の産官学から成る非営利団体のこと。「CIS Controls」や「CIS Benchmarks」などのガイドラインを発行している。

• ⁷  

  GDPR：
  General Data Protection Regulation（EU一般データ保護規則）の略称で、企業の所在地に関係なく、欧州域内の居住者に関する個人情報の収集および処理に際して順守すべきルールが規定されており、違反すると多額の罰則金を科される。

• ⁸  

  HIPAA：
  米国DHHS（保険社会福祉省）によって発行されたHealth Insurance Portability and Accountability Act of 1996（医療保険の携行性と責任に関する法律）の略称で、健康情報に関するプライバシールールおよびセキュリティルールが定められている。

• ^※  

  Palo Alto Networks、Palo Alto Networksロゴ及びPrismaは米国およびその他の国におけるPalo Alto Networksの登録商標です。

• ^※  

  その他記載されている製品・サービス名称は各企業・団体の商標または登録商標です。