fbpx

NEWクラウド診断

AWS, GCP, Azure 3大クラウドおよびsalesforceに対応。サーバレスもコンテナも、あらゆる環境のセキュリティへ対応。

サービス概要

クラウド診断は、パブリッククラウド上に構築されたアプリケーションの安全性についてセキュリティエンジニアが評価を行う脆弱性診断サービスです。お客様のクラウド環境に読み取り権限のみを付与したアカウント/ロールを作成いただいた上で、クラウドのコンソール経由での設定レビューやアプリケーションの動作の解析などを組み合わせ、クラウドの利用形態に合わせた高度な診断を実施します。

診断フロー

  • STEP1

    クラウド脆弱性診断 事前準備

    アプリケーション構成の理解と診断範囲の明確化

    アプリケーションの構成を把握し、必要な工数のお見積もりを行います。

    1. クラウド上のアプリケーションの構成をヒアリング

      ご担当者様へ構成およびセキュリティ要件のヒアリングやアーキテクチャ図の確認、実際のクラウド環境へのアクセスによりシステム構成を把握します

    2. クラウド診断実施方針の策定とお見積もり

      対象アプリケーションやご予算、ご利用のクラウドサービスに合わせて診断プランを策定し、お見積もりをお出しします。

  • STEP2

    クラウド診断実施

    クラウド診断を実施

    クラウド上のアプリケーションに対し、攻撃者の視点で診断を実施します。

    1. ツール

      パブリッククラウド上に構築されたアプリケーションに対し、Orcaをはじめとしたツールを利用しセキュリティスキャンを実施します。

    2. 静的解析

      クラウドサービスの設定項目やコンテナを採用したシステムの設定ファイル、 アプリケーション設計等をホワイトボックス形式で分析し、脆弱性を洗い出します。

    3. 動的解析

      診断対象のアプリケーションの動作を解析し、必要に応じて実際に攻撃を試みます。

  • STEP3

    クラウド診断報告 及び改善案提出

    クラウド診断の実施結果報告

    エグゼクティブサマリおよび検出された問題の詳細、および対策方法についてご報告します。

    1. 総合評価

      診断結果の概要と、脆弱性がビジネスに与える影響についてご報告します。また安全なパブリッククラウドの運用に関して推奨される施策等についてもご提案させていただきます。

    2. クラウド上のアプリケーションの脆弱性詳細

      発見した脆弱性の詳細や、再現手順等をご報告します。また脆弱性のリスクや推奨する対策方法についてもご説明します。

診断対象のクラウドサービス

Amazon Web Services

Google Cloud Platform

Microsoft Azure

Salesforce

※対応サービスは随時追加予定です

サービスラインナップ

クラウドの利用形態に応じたセキュリティ診断

   
診断プラン クラウド診断
(IaaS,PaaS)
クラウド診断
サーバレス(FaaS)
クラウド診断
コンテナ(CaaS)
クラウド診断
Salesforce(SaaS)
AWS
Azure
GCP
プラン概要
  • アーキテクチャ検証
  • クラウドサービス設定診断
  • 脆弱性スキャン
等を中心とした診断
  • アーキテクチャ検証
  • Firebase Security Rule診断
  • クラウドサービス設定診断
  • ソースコード診断
等を中心とした診断
  • クラウドサービス設定診断
  • Kubernetesクラスタ診断
  • pod設定診断
  • コンテナ診断
  • 脆弱性スキャン
等を中心とした診断
  • Apexソースコード診断
  • アクセス制御設定検証
  • セッション設定検証
  • コミュニティサイト設定検証
等を中心とした診断
主な診断対象Amazon EC2やAzure Virtual Machines等のIaaS/PaaSを中心に構成されたアプリケーション AWS Lambda, Azure Functions, Firebaseなどを利用したサーバレスアプリケーション AKS/EKS/GKE等のコンテナオーケストレーションサービスを利用したアプリケーション Salesforce Experience Cloudを利用したサービスを持つ組織

クラウド診断の観点

      

診断内容(一部抜粋) ※表はAWSの場合です

アーキテクチャ
設計上の不備の検証など
認可制御(RBAC)
  1. IAMポリシーの検証など
  2. Cognito IDプール属性の検証など
ID管理と認証
  1. IAMユーザー設定の検証など
  2. Cognito ユーザー発行プロセスの検証など
データセキュリティ
  1. S3アクセス設定の検証など
  2. 暗号化設定の検証
ネットワークセキュリティ
  1. TLS設定/キャッシュ設定検証など
  2. ネットワーク到達性検証など
鍵管理
  1. 鍵のハードコードがないか検証など
  2. キーローテーション設定の検証など
コンピューティングリソースのセキュリティ
  1. 既知脆弱性の検証など
  2. メタデータAPIの保護に関する検証など
ログ設定
  1. ログ設定の検証など
  2. ログの整合性検証設定の検証など
脅威検知設定
脅威検知サービスの設定の検証など
環境の分離と保護
  1. ネットワークの分離状況の検証など
  2. 実行環境分離状況の検証など
開発ライフサイクル
  1. IaaSパッチ適用状況の確認など
  2. リポジトリ保護状況の確認など

CONTACT

お気軽にご相談ください

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。
経験豊富なセキュリティエンジニアが診断を行います。