fbpx

クラウド診断

AWS*1 /Azure*2 /GCP*3 3大クラウドおよびSalesforceに対応。サーバレスもコンテナも。
あらゆるクラウドセキュリティを評価。

クラウド診断はパブリッククラウドの設定不備や、クラウド上に構築されたアプリケーションの安全性について、セキュリティエンジニアが攻撃者目線で評価を行う診断サービスです。

*1 Amazon Web Servicesの略称 *2 Microsoft Azureの略称 *3 Microsoft AzureGoogle Cloud Platformの略称

クラウド診断は
こんな方におすすめ

  • オンプレからクラウドに移行したが、クラウドの設定ミスによるセキュリティの問題がないか確認したい。
  • クラウドサービスの管理者権限が適切に保護され運用されているかを確認したい。
  • 新たにサーバレスアーキテクチャを採用したがセキュリティ的に問題ないか確認したい。

クラウド診断 の
3つの特長

01AWS / Azure / GCPの3大クラウドとSalesforceに対応

お客様のクラウド環境に読み取り権限のみを付与したアカウント/ロールを作成いただいた上で、クラウドのコンソール経由での設定レビューやアプリケーションの動作の解析などを組み合わせ、クラウドの利用形態に合わせた高度な診断を実施します。

※対応サービスは随時追加予定です

02サーバレス / コンテナなどクラウドの利用形態に応じたセキュリティ診断

エンジニアによる手動診断の有無や、クラウドの利用形態に応じた、複数の診断プランをご用意しています。Salesforce以外のSaaS診断については、お問い合わせください。

診断プラン クラウド診断ライト クラウド診断
(IaaS,PaaS)
クラウド診断
サーバレス(FaaS)
クラウド診断
コンテナ(CaaS)
クラウド診断
Salesforce(SaaS)
ツール
マニュアル
サーバレス
(FaaS)
コンテナ
(CaaS)
SaaS
診断手法 ツール診断 ツール診断

エンジニアによる
マニュアル診断
ツール診断

エンジニアによる
マニュアル診断
ツール診断

エンジニアによる
マニュアル診断
エンジニアによる
マニュアル診断
プラン概要 ・CISベンチマーク基準の認定スキャン
・マルウェアスキャン
・脆弱性スキャン
・機械情報のスキャン
・未パッチやサポート切れのOSやサービスのスキャン
etc.
(ライトプランに加えて)
・アーキテクチャ検証
・クラウドコンポーネントごとの設定診断
etc.
(ライトプランに加えて)
・アーキテクチャ検証
・クラウドコンポーネントごとの設定診断
・Firebase Security Rule診断
・ソースコード診断
etc.
(ライトプランに加えて)
・アーキテクチャ検証
・クラウドコンポーネントごとの設定診断
・Kubernetesクラスタ診断
・Pod設定診断
コンテナ診断
etc.
・Apexソースコード診断
・アクセス制御設定検証
・セッション設定検証
・コミュニティサイト設定検証
等を中心とした診断
主な診断対象 CISベースラインを基準として表kしたいアプリケーション Amazon EC2やAzure Virtual Machines等のIaaS/PaaSを中心に構成されたアプリケーション AWS Lambda, Azure Functions, Firebaseなどを利用したサーバレスアプリケーション AKS/EKS/GKE等のコンテナオーケストレーションサービスを利用したアプリケーション Salesforce Experience
Cloudを利用したサービスを持つ組織

03実績豊富な他社と連携した対策サポートの提供

AWS総合支援サービスを提供するクラスメソッド社が、クラウド診断の報告書をもとに改修方法や具体的な対策を支援する対策サポートを提供します。
また診断のオプションの一つとして対策サポートを提供します。これは2,300社以上のクラウド技術支援を提供するクラスメソッドのセキュリティエンジニアがクラウド診断の報告書を基に改修方法や具体的な対策を支援するものです。

クラウド診断の
診断フロー

 
  1. 01

    クラウド脆弱性診断 事前準備

    アプリケーション構成の理解と診断範囲の明確化

    アプリケーションの構成を把握し、必要な工数のお見積もりを行います。

    1. クラウド上のアプリケーションの構成をヒアリング
      ご担当者様へ構成およびセキュリティ要件のヒアリングやアーキテクチャ図の確認、実際のクラウド環境へのアクセスによりシステム構成を把握します。
    2. クラウド診断実施方針の策定とお見積もり
      対象アプリケーションやご予算、ご利用のクラウドサービスに合わせて診断プランを策定し、お見積もりをお出しします。
  2. 02

    クラウド診断実施

    クラウド診断を実施

    クラウド上のアプリケーションに対し、攻撃者の視点で診断を実施します。

    1. ツール
      パブリッククラウド上に構築されたアプリケーションに対し、Orcaをはじめとしたツールを利用しセキュリティスキャンを実施します。
    2. 静的解析
      クラウドサービスの設定項目やコンテナを採用したシステムの設定ファイル、 アプリケーション設計等をホワイトボックス形式で分析し、脆弱性を洗い出します。
    3. 動的解析
      診断対象のアプリケーションの動作を解析し、必要に応じて実際に攻撃を試みます。
  3. 03

    クラウド診断報告 及び改善案提出

    クラウド診断の実施結果報告

    エグゼクティブサマリおよび検出された問題の詳細、および対策方法についてご報告します。

    1. 総合評価
      診断結果の概要と、脆弱性がビジネスに与える影響についてご報告します。また安全なパブリッククラウドの運用に関して推奨される施策等についてもご提案させていただきます。
    2. クラウド上のアプリケーションの脆弱性詳細
      発見した脆弱性の詳細や、再現手順等をご報告します。また脆弱性のリスクや推奨する対策方法についてもご説明します。
セキュリティ診断の結果や行うべき対策がわかる
セキュリティ診断レポートサンプルをお送りします
セキュリティ診断で発見された脆弱性と、具体的な内容・再現方法・リスク・対策方法を報告したレポートのサンプルをご覧いただけます。

クラウド診断 の
診断項目

診断内容(一部抜粋)※表はAWSの場合です

アーキテクチャ設計上の不備の検証など
認可制御(RBAC)1.IAMポリシーの検証など
2.Cognito IDプール属性の検証など
ID管理と認証1.IAMユーザー設定の検証など
2.Cognito ユーザー発行プロセスの検証など
データセキュリティ1.S3アクセス設定の検証など
2.暗号化設定の検証
ネットワークセキュリティ1.TLS設定/キャッシュ設定検証など
2.ネットワーク到達性検証など
鍵管理1.鍵のハードコードがないか検証など
2.キーローテーション設定の検証など
コンピューティングリソースのセキュリティ1.既知脆弱性の検証など
2.メタデータAPIの保護に関する検証など
ログ設定1.ログ設定の検証など
2.ログの整合性検証設定の検証など
脅威検知設定脅威検知サービスの設定の検証など
環境の分離と保護1.ネットワークの分離状況の検証など
2.実行環境分離状況の検証など
開発ライフサイクル1.IaaSパッチ適用状況の確認など
2.リポジトリ保護状況の確認など

クラウド診断
診断レポートサンプル

発見された脆弱性をライアント企業にて迅速に修正できるよう、具体的な内容・再現方法・リスク・対策方法をご報告します。詳しくは、診断レポートのサンプルをご請求ください。

価格

対応内容・期間などにより変動いたします。詳細なお見積もりについてはお気軽にお問い合わせください。

よくある質問

QAWS / Azure / GCP以外のパブリッククラウドの診断は可能ですか?
A基本的にはAWS / Azure / GCPを対象としておりますが、その他のパブリッククラウドにつきましても対応が可能なケースがございます。まずはご相談ください。
QSalesforce以外のSaaSの診断は可能ですか?
A基本的にはSalesforceが対象となりますが、他のSaaSについても対応が可能なケースがございます。まずはご相談ください。
QCIS(Center for Internet Security)が発刊しているBenchmarkに対応していますか
A AWS / Azure / GCPの3大クラウドのBenchmarkに対応しています。
報告書では、Benchmarkへの準拠状況と確認手順を記載しています。
Q予算が限られているのですが、診断の実施は可能でしょうか?
A ご予算に応じて診断範囲や項目等を絞った形での診断も可能です。ご相談ください。
Q設計/開発段階で診断を実施することは可能ですか?
A 基本的には構築済みのアプリケーションの診断となります。
設計段階では、WaaS形式でコンサルティングを実施することも可能です。ご相談ください。

クラウド診断について
もっと詳しく知りたい方はこちら

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断の結果や行うべき対策がわかる

診断レポート・資料請求

RECRUIT

私たちと一緒に、
脆弱性のない世界を創っていきませんか