クラウドワークロードの構成の理解と診断範囲の明確化
ワークロードの構成を把握し、必要な工数のお見積もりを行います。
-
クラウド上のワークロードの構成をヒアリング
ご担当者様へ構成およびセキュリティ要件のヒアリングやアーキテクチャ図の確認、実際のクラウド環境へのアクセスによりシステム構成を把握します。 -
クラウド診断実施方針の策定とお見積もり
対象ワークロードやご予算、ご利用のクラウドサービスに合わせて診断プランを策定し、お見積もりをお出しします。
クラウド診断
クラウドサービスの設定ミスによるセキュリティ事故を予防
AmazonやMicrosoft、Googleが提供するクラウドサービスは今や多くの企業が導入しています。その中で利用中のクラウドプラットフォームやシステムが安全な状態と言えるか確認し、対策をすることの重要性が高まっています。
GMOサイバーセキュリティ byイエラエではAWS・Azure・Google Cloudの3大クラウドに加え、SalesforceやGoogle Workspace・Microsoft 365・Box・Slackを対象に利用状況におけるセキュリティ上の問題がないかを確認するサービスとして「クラウド診断」を提供しています。IaaS/PaaSからサーバレス(FaaS)、コンテナ(CaaS)まで利用形態に合わせたプランをご用意しています。
クラウド診断は
こんな方におすすめ
- 利用中のクラウドにセキュリティ上の問題がないか不安がある
- サーバレスやコンテナなど利用形態に合わせた診断サービスを探している
- 管理できていないインスタンスやアカウントがないかスポットでチェックしたい
クラウド診断プラン
クラウド診断ライト
クラウドセキュリティに特化したツールを用いた診断。
診断内容
- CISベンチマーク基準の設定スキャン
- クラウドコンポーネントの設定スキャン ※ツール対応範囲のみ
- インスタンスやストレージ内のマルウェアスキャン
- 機密情報のスキャン
- 既知の脆弱性スキャン
- パッチ適応状況のスキャン
- サポート切れのOSやサービスのスキャン
診断対象
AWS / Azure / Google Cloud
診断手法
ツール診断
診断期間:5営業日~
クラウド診断フル(IaaS/PaaS)
Amazon EC2やAzure Virtual Machines等のIaaS/PaaSを中心に構成されたクラウド環境向けのプラン。
診断内容
- ライト診断の内容
- ご利用中のIaaS/PaaSコンポーネントの設定手動確認
- 設計を考慮したアーキテクチャの検証
- 認証認可まわりの検証
診断対象
AWS / Azure / Google Cloud
診断手法
ツール診断+マニュアル診断
診断期間:10営業日~
クラウド診断サーバレス(FaaS)
FaaS, APIGateway, NoSQLデータベースなどをご利用のサーバレス環境向けのプラン。
診断内容
- ライト診断の内容
- フル診断(IaaS/PaaS)の内容
- ご利用中のサーバレスリソースの設定手動確認
- アプリケーション及びその連携部の検証 ※クラウド側観点
- FaaSのソースコード診断(オプション)
診断対象
AWS / Azure / Google Cloud
診断手法
ツール診断+マニュアル診断
診断期間:13営業日~
クラウド診断フル コンテナ(CaaS)
Kubernetesクラスタ、Podなどをご利用のコンテナ環境向けのプラン。
診断内容
- ライト診断の内容
- フル診断(IaaS/PaaS)の内容
- ご利用中のコンテナリソースの設定手動確認
診断対象
AWS / Azure / Google Cloud
診断手法
ツール診断+マニュアル診断
診断期間:13営業日~
クラウド診断 Salesforce
Experience CloudやSalesforceサイトを利用しているお客様におすすめのプラン。
診断内容
- アクセス制御設定検証
- セッション設定検証
- ゲストユーザに関する設定検証
- コミュニティサイト設定検証
- Apex/Lightning実装検証
- ソースコード診断(オプション)
診断対象
Salesforce
診断手法
マニュアル診断
診断期間:10営業日~
クラウド診断 Firebase
認可制御関連の脆弱性やアプリ上の不正操作につながる不備や設定ミスがないかを対策方法を含めてご報告します。
診断内容
- Firestore/Cloud Storage/Realtime Databaseのセキュリティルール検証
- 認可制御の検証
- アプリ上の不正操作や設定の検証 ※クラウド側観点
- Firebase/Cloud Functionsに関するその他の設定検証
診断対象
Firebase/Google Cloud
診断手法
マニュアル診断
診断期間:10営業日~
クラウド診断 Google Workspace
CISベンチマーク項目に基づきSaaS型オフィススイートの設定におけるセキュリティ上の問題がないか確認します。
診断内容
CISベンチマーク基準の設定確認
- ディレクトリ設定
- デバイス設定
- アプリケーション設定
- セキュリティ設定
- レポート設定
- ルール設定
診断対象
Google Workspace
診断手法
マニュアル診断
診断期間:3営業日~
クラウド診断 Microsoft 365
CISベンチマーク項目に基づきSaaS型オフィススイートの設定におけるセキュリティ上の問題がないか確認します。
診断内容
CISベンチマーク基準の設定確認
- MS365管理センター
- MS365 Defender
- Microsoft Purview
- Microsoft Intune管理センター
- Microsoft Entra管理センター
- Exchange管理センター
- SharePoint管理センター
- Microsoft Teams管理センター
- Microsoft Fabric
診断対象
Microsoft 365
診断手法
マニュアル診断
診断期間:3営業日~
クラウド診断 Slack
ベンダーおよび3rdパーティによるベストプラクティスを基に弊社が策定した診断項目を用いて診断します。
診断内容
- IDおよびアクセス管理
- データセキュリティ
- ネットワークセキュリティ
- 鍵管理
- ログ設定
診断対象
Slack
診断手法
マニュアル診断
診断期間:5営業日~
クラウド診断 Box
ベンダーによるベストプラクティスを基に弊社が策定した診断項目を用いて診断します。
診断内容
- IDおよびアクセス管理
- データセキュリティ
- ネットワークセキュリティ
- アプリケーション設定
- ログ設定
診断対象
Box
診断手法
マニュアル診断
診断期間:5営業日~
クラウド診断 CISベンチマークパック
CISベンチマーク*の準拠状況を確認します。
診断内容 ※AWSの場合
CISベンチマーク基準の設定確認
- IDおよびアクセス管理
- ストレージ
- ロギング
- モニタリング
- ネットワーク
診断対象
AWS / Azure / Google Cloud
診断手法
ツール診断
診断期間:3営業日~
※CISベンチマークとは
サイバー防衛に関する非営利団体「Center of Internet Security (CIS)」が策定したシステムを安全に構成するための構成基準およびベストプラクティスのこと。
クラウド診断の
3つの特長
01予算や利用形態に応じて選べる豊富なプラン
IaaS/PaaS、サーバレス、コンテナ、SaaSまで利用形態や確認したい範囲に合わせた診断が可能です。CISベンチマーク基準でのチェックに加え、クラウドセキュリティに特化したツールを用いた網羅的なチェックの他、クラウドセキュリティの専門家によるマニュアル診断も対応可能です。
02クラウドセキュリティの専門家によるマニュアル診断
ツール診断に加えクラウドセキュリティを熟知した技術者によるマニュアル診断も実施可能です。
クラウド環境の設定値に加え必要に応じてアプリケーションの挙動を見たり解析を行いながら、不正アクセスや情報漏えいといったリスクに繋がる可能性を攻撃者の手法を用いて検証・問題を可視化し対策案を提示します。
03実績豊富な他社と連携した対策サポートの提供
AWS総合支援サービスを提供するクラスメソッド社や弊社グループ会社のGMOグローバルサイン・ホールディングス社と共同でクラウド診断の報告書をもとに改修方法や具体的な対策を支援する対策サポートを提供します。
クラスメソッド株式会社
クラスメソッド株式会社は、AWSをはじめデータ分析、モバイル、IoT、AI/機械学習等の分野で企業向け技術支援を行っており、現在までの支援実績は3,000社15,000アカウント以上になります。特にAWS支援では2018年と2020年、2021年に「AWSサービスパートナー オブ ザ イヤー」を受賞。AWS総合支援サービス「クラスメソッド メンバーズ」では、プレミアムサービスとして脆弱性診断以外にもDDos攻撃対策など様々なセキュリティ対策メニューを用意し、お客様にAWSをより安心・安全にご利用いただける環境を提供しています。
GMOグローバルサイン・ホールディングス株式会社
東証プライム上場の GMOグローバルサイン・ホールディングス株式会社は、110,000を超える法人のお客様のクラウド環境を運用・サポートしています。AWS & Google Cloud 利活用支援サービス「CloudCREW byGMO」では、クラウド診断の結果に基づいた効果的な改修方法、セキュリティ強化のご提案、実際の技術支援まで包括的にサポートいたします。脆弱性診断やクラウドセキュリティに不安のあるお客様でも、安心してご利用いただけます。
GMOグローバルサイン株式会社
GMOグローバルサイン株式会社が提供する「GMOトラスト・ログイン」は、1万社近い導入社数と、7,500以上のアプリに連携した、SSO/IDaaSサービスです。Google Workspace/Microsoft 365/Salesforce等へのシングルサインオンでID/Passを一元管理して効率化するだけでなく、多要素認証によりセキュアな業務環境をつくることができます。20年以上SSLサーバ証明書を発行してきたGMOグローバルサインが提供しているサービスなので、安心してご利用いただけます。
クラウドの
診断事例
-
ミチビク株式会社将来のユーザー拡大を見据えて早期にセキュアなクラウドインフラを構築
-
三井情報株式会社クラウドの知識が豊富な専門家による「Firebase」独自の観点を踏まえた手動診断
-
株式会社フォーバル自社では気づきにくいクラウドの設計/設定の問題を解決
「情報セキュリティサービス基準適合サービスリスト」登録済
当社のクラウド診断は経済産業省の定める情報セキュリティサービス基準に適合したサービスとして「情報セキュリティサービス台帳」に登録されています。
サービス名:脆弱性診断サービス
登録番号:019-0004-20
019-0004-20
関連記事:AWSでセキュリティ対策するには?基本や関連サービスを紹介
クラウド診断の
診断フロー
-
01
クラウド診断 事前準備
-
02
クラウド診断実施
クラウド診断を実施
クラウド上のワークロードに対し、攻撃者の視点で診断を実施します。
-
ツール
パブリッククラウド上に構築されたワークロードに対し、Orcaをはじめとしたツールを利用しセキュリティスキャンを実施します。 -
静的解析
クラウドサービスの設定項目やコンテナを採用したシステムの設定ファイル、アプリケーション設計等をホワイトボックス形式で分析し、脆弱性を洗い出します。 -
動的解析
診断対象のクラウドワークロードの動作を解析し、必要に応じて実際に攻撃を試みます。
-
-
03
クラウド診断報告 及び改善案提出
クラウド診断の実施結果報告
エグゼクティブサマリおよび検出された問題の詳細、および対策方法についてご報告します。
-
総合評価
診断結果の概要と、脆弱性がビジネスに与える影響についてご報告します。また安全なパブリッククラウドの運用に関して推奨される施策等についてもご提案させていただきます。 -
クラウド上のワークロードの脆弱性詳細
発見した脆弱性の詳細や、再現手順等をご報告します。また脆弱性のリスクや推奨する対策方法についてもご説明します。
-
クラウド診断の
よくある質問
- Qクラウド診断の対象を教えてください。
- AAWS・Azure・Google Cloudの3大クラウドに加え、Salesforce・Firebase・Google Workspace・Microsoft 365・Slack・Boxが対象です。それぞれの利用形態や確認したい範囲に合わせた豊富なプランをご用意しています。
- QCIS(Center for Internet Security)が発刊しているBenchmarkに対応していますか
- A 対応しています。報告書ではBenchmarkへの準拠状況(〇×での合否判定)を記載しています。
- Q予算が限られているのですが、診断の実施は可能でしょうか?
- AツールのみのライトプランやCISベンチマークの準拠状況確認のみのプランがございます。ご予算に応じて最適なプランをご提案させていただきます。