高いカスタマイズ性でPolicy as Codeの実現をサポート
「Shisho Cloud」正式版には、セキュリティポリシー(セキュリティのルールや設定)をコードで記述し運用する“Policy as Code”の実現をサポートする各種機能を搭載しました。
セキュリティ診断の対象・ロジック・タイミングや通知内容・タイミングを、Regoなどの言語でカスタマイズ可能。
また、PCI DSSなどの事業ドメインから来る制約や組織の規模・成熟度にあわせてカスタマイズすることもできるため、多様な業界・組織のニーズにあわせたクラウドセキュリティ施策の実現を後押しします。
さらに、セキュリティポリシーのコードをGitHubで管理することも可能。これにより、ポリシーのバージョン管理などをエンジニアが慣れ親しんだソフトウェア開発プロセス同様に実施できるでしょう。
そして、GitHub Actionsを利用することで、ポリシーの変更を即座に自社ガバナンスに活かす継続的デプロイメント(Continuous Deployment)も実現可能です。
今後の展開
株式会社Flatt Securityは、今後、GitHubに格納されたデータに対するセキュリティ診断を実施する機能の実装も検討。現在、GitHub組織・リポジトリの設定を対象としたセキュリティ診断実施機能を試験提供しています。
また、AWS・Google Cloudのセキュリティに関する機能拡充を進めるとともに、クラウド上のアプリや、AWS・Google Cloud以外のプラットフォームを対象としたセキュリティ診断ができるよう、サービス拡充を進めていく予定です。
(文・Higuchi)
