クラウド環境におけるセキュリティ上の設定不備を各種セキュリティガイドラインや監査基準から調査

ビジネス環境の加速的な変化への対応や、働き方改革(リモートワーク)を実現するために、IT化やDXの土台としてAWSやAzure等クラウドコンピューティングへの移行が、加速度的に進んでいます。
政府もクラウドバイデフォルト宣言を打ち出し、官公庁もクラウド化が進む一方で、個々のクラウドサービス特有のセキュリティリスクの特定や評価に、悩む組織も増えてきています。

 

特徴

クラウドコンピューティングサービスでは、ユーザとクラウド事業者で責任領域が分かれています。
ユーザ責任領域中のAPI、または管理画面で設定変更できる
領域を診断し、設定不備や脆弱性を検出します。
Webアプリケーション診断、NW診断、ホスト診断等の既存診断手法では診断できない領域にアプローチし、脆弱性や問題点を把握することで、よりセキュアなシステム作りに貢献します。
国際的なベンチマークであるCISのベンチマークや、Azure Security Benchmarkに従って診断を実施いたします。
技術と運用の2側面から診断を実施するため、2側面からの改善が見込めます。

 

特徴

Webアプリケーション診断、NW診断、ホスト診断等の既存診断手法では、診断できない領域に対してアプローチし、脆弱性や、問題点を把握することで、よりセキュアなシステムづくりに貢献します。
国際的なベンチマークであるCISのベンチマークや、Azure Security Benchmarkに従って診断を実施いたします。
技術と運用の2側面から診断を実施するため、2側面からの改善が見込めます。

 

診断項目

Azure評価カテゴリ
Identity and Access Management
Microsoft Defender for Cloud
Storage Accounts
Database Services
Logging and Monitoring
Networking
Virtual Machines
Other Security Considerations
AppService
AWS評価カテゴリ
Identity and Access Management
Storage
Logging
Database Services
Logging and Monitoring
Monitoring
Networking

 

診断方法

技術的な設定における脆弱性と運用面での問題の、2側面から以下の2診断を実施します。

①技術的な設定は、アクセスキーやログイン情報をいただき、ツール及び手動で診断します
②運用面は、セキュリティ担当者や、クラウド環境の管理者とのインタビューを実施し、そのご回答を診断します

 

オプション

※再診断:診断において検出された脆弱性が改修されているか後日確認させて頂き、再診断後結果をご報告させて頂きます。

 

サービスフロー