fbpx

- クラウド診断 -

クラウドサービスの設定ミスによるセキュリティ事故を予防

AmazonやMicrosoft、Googleが提供するクラウドサービスは今や多くの企業が導入しています。その中で利用中のクラウドプラットフォームやシステムが安全な状態と言えるか確認し、対策をすることの重要性が高まっています。GMOサイバーセキュリティ byイエラエではAWS・Azure・Google Cloudの3大クラウドに加え、SalesforceやGoogle Workspace・Microsoft 365を対象に利用状況におけるセキュリティ上の問題がないかを確認するサービスとして「クラウド診断」を提供しています。IaaS/PaaSからサーバレス(FaaS)、コンテナ(CaaS)まで利用形態に合わせたプランをご用意しています。

クラウド診断は
こんな方におすすめ

  • 利用中のクラウドにセキュリティ上の問題がないか不安がある
  • サーバレスやコンテナなど利用形態に合わせた診断サービスを探している
  • 管理できていないインスタンスやアカウントがないかスポットでチェックしたい

クラウド診断 の
3つの特長

01予算や利用形態に応じて選べる豊富なプラン

IaaS/PaaS、サーバレス、コンテナ、SaaSまで利用形態や確認したい範囲に合わせた診断が可能です。CISベンチマーク基準でのチェックに加え、クラウドセキュリティに特化したツールを用いた網羅的なチェックの他、クラウドセキュリティの専門家によるマニュアル診断も対応可能です。

※対応サービスは随時追加予定です

02クラウドセキュリティの専門家によるマニュアル診断

ツール診断に加えクラウドセキュリティを熟知した技術者によるマニュアル診断も実施可能です。クラウド環境の設定値に加え必要に応じてアプリケーションの挙動を見たり解析を行いながら、不正アクセスや情報漏えいといったリスクに繋がる可能性を攻撃者の手法を用いて検証・問題を可視化し対策案を提示します。

クラウド診断 プラン一覧


クラウド診断ライト

クラウドセキュリティに特化したツールを用いた診断

診断内容:
・CISベンチマーク基準の認定スキャン
・マルウェアスキャン
・脆弱性スキャン
・機微情報のスキャン
・パッチの適応状況の確認
・サポート切れのOSやサービスのスキャン

診断対象:AWS / Azure / Google Cloud
診断手法:ツール診断
診断期間:5営業日~

クラウド診断フル

Amazon EC2やAzure Virtual Machines等のIaaS/PaaSを中心に構成されたクラウド環境向けのプラン

診断内容:
・CISベンチマーク基準の認定スキャン
・マルウェアスキャン
・脆弱性スキャン
・機微情報のスキャン
・パッチの適応状況の確認
・サポート切れのOSやサービスのスキャン
・アーキテクチャ検証
・クラウドコンポーネントごとの設定診断

診断対象:AWS / Azure / Google Cloud
診断手法:ツール診断+マニュアル診断
診断期間:10営業日~

クラウド診断サーバレス(FaaS)

AWS Lambda, Azure Functions,Firebaseなどを利用したサーバレスアプリケーションが対象

診断内容:
(フルプランの内容に加えて)
Firebase Security Rule診断など

診断対象:AWS / Azure / Google Cloud
診断手法:ツール診断+マニュアル診断
診断期間:13営業日~

クラウド診断コンテナ(CaaS)

AKS/EKS/GKE等のコンテナオーケストレーションサービスを利用したクラウド環境向けのプラン

診断内容:
(フルプランの内容に加えて)
・Kubernetesクラスタ診断
・Pod設定診断
・コンテナ診断

診断対象:AWS / Azure / Google Cloud
診断手法:ツール診断+マニュアル診断
診断期間:13営業日~

クラウド診断Salesforce

Experience CloudやSalesforceサイトを利用しているお客様におすすめのプラン

 診断内容:
・アクセス制御設定検証
・セッション設定検証
・コミュニティサイト設定検証
・フロー解析
・Apex/Visualforceソースコード診断(オプション)

診断対象:Salesforce
診断手法:マニュアル診断
診断期間:10営業日~

クラウド診断
GoogleWorkspace/Microsoft 365

CISベンチマーク項目に基づきSaaS型オフィススイートの設定におけるセキュリティ上の問題がないか確認します。

診断対象:Google Workspace/Microsoft 365
診断手法:マニュアル診断
診断期間:3営業日~

クラウド診断
CISベンチマークパック

CISベンチマーク*の準拠状況を確認

診断対象:AWS / Azure / Google Cloud
診断手法:ツール診断
診断期間:3営業日~

CISベンチマークとは:
サイバー防衛に関する非営利団体「Center of Internet Security (CIS)」が策定したシステムを安全に構成するための構成基準およびベストプラクティスのこと。

03実績豊富な他社と連携した対策サポートの提供

AWS総合支援サービスを提供するクラスメソッド社や弊社グループ会社のGMOグローバルサイン・ホールディングス社と共同でクラウド診断の報告書をもとに改修方法や具体的な対策を支援する対策サポートを提供します。

■クラスメソッド株式会社

クラスメソッド株式会社は、AWSをはじめデータ分析、モバイル、IoT、AI/機械学習等の分野で企業向け技術支援を行っており、現在までの支援実績は3,000社15,000アカウント以上になります。特にAWS支援では2018年と2020年、2021年に「AWSサービスパートナー オブ ザ イヤー」を受賞。AWS総合支援サービス「クラスメソッド メンバーズ」では、プレミアムサービスとして脆弱性診断以外にもDDos攻撃対策など様々なセキュリティ対策メニューを用意し、お客様にAWSをより安心・安全にご利用いただける環境を提供しています。

CloudCREW byGMO

■GMOグローバルサイン・ホールディングス株式会社

東証プライム上場の GMOグローバルサイン・ホールディングス株式会社は、110,000を超える法人のお客様のクラウド環境を運用・サポートしています。AWS & Google Cloud 利活用支援サービス「CloudCREW byGMO」では、クラウド診断の結果に基づいた効果的な改修方法、セキュリティ強化のご提案、実際の技術支援まで包括的にサポートいたします。脆弱性診断やクラウドセキュリティに不安のあるお客様でも、安心してご利用いただけます。

クラウド診断の
診断フロー

 
  1. 01

    クラウド診断 事前準備

    アプリケーション構成の理解と診断範囲の明確化

    アプリケーションの構成を把握し、必要な工数のお見積もりを行います。

    1. クラウド上のアプリケーションの構成をヒアリング
      ご担当者様へ構成およびセキュリティ要件のヒアリングやアーキテクチャ図の確認、実際のクラウド環境へのアクセスによりシステム構成を把握します。
    2. クラウド診断実施方針の策定とお見積もり
      対象アプリケーションやご予算、ご利用のクラウドサービスに合わせて診断プランを策定し、お見積もりをお出しします。
  2. 02

    クラウド診断実施

    クラウド診断を実施

    クラウド上のアプリケーションに対し、攻撃者の視点で診断を実施します。

    1. ツール
      パブリッククラウド上に構築されたアプリケーションに対し、Orcaをはじめとしたツールを利用しセキュリティスキャンを実施します。
    2. 静的解析
      クラウドサービスの設定項目やコンテナを採用したシステムの設定ファイル、 アプリケーション設計等をホワイトボックス形式で分析し、脆弱性を洗い出します。
    3. 動的解析
      診断対象のアプリケーションの動作を解析し、必要に応じて実際に攻撃を試みます。
  3. 03

    クラウド診断報告 及び改善案提出

    クラウド診断の実施結果報告

    エグゼクティブサマリおよび検出された問題の詳細、および対策方法についてご報告します。

    1. 総合評価
      診断結果の概要と、脆弱性がビジネスに与える影響についてご報告します。また安全なパブリッククラウドの運用に関して推奨される施策等についてもご提案させていただきます。
    2. クラウド上のアプリケーションの脆弱性詳細
      発見した脆弱性の詳細や、再現手順等をご報告します。また脆弱性のリスクや推奨する対策方法についてもご説明します。
セキュリティ診断の結果や行うべき対策がわかる
セキュリティ診断レポートサンプルをお送りします
セキュリティ診断で発見された脆弱性と、具体的な内容・再現方法・リスク・対策方法を報告したレポートのサンプルをご覧いただけます。

クラウド診断 の
診断項目

診断内容(一部抜粋)※表はAWSの場合です

AWS IAM に関する脆弱性

任意のAWSアカウントがアクセス可能なIAMロールIAMロールにおいて、信頼ポリシーが適切に設定されているかどうかを診断します。信頼ポリシーの不適切な設定により任意のAWSアカウントが当該IAMロールを引き受けることができる場合、悪意のある第三者にAWSリソースを操作される可能性があります。
MFAが有効になっていない問題権限の強いユーザーにMFAが設定されているか診断します。
任意の操作が許可されているIAMユーザーにアクセスキーが発行されている問題任意の操作が許可されているIAMユーザーにアクセスキーが発行されていないか診断します。これらの権限が付与されたアクセスキーが漏洩した場合、AWSアカウントのほとんどすべてのリソースにアクセスが行われる可能性があります。
IAMユーザーによる特権昇格の可能性不適切にIAMポリシーが設定されていることによるIAMユーザーの特権昇格の脆弱性がないか診断します。Shadow Adminの検出が可能です。
ポリシーが付与された長期間使用されていないIAMロールが存在する問題IAMロールにおいて、ポリシーが付与されているにもかかわらず長期間使用されていないロールがないか診断します。
IAMアクセスキーのローテーションに関する推奨事項IAMロールにおいて、ポリシーが付与されているにもかかわらず長期間使用されていないロールがないか診断します。
IAMユーザーのパスワードポリシーに関する推奨事項AWSアカウントにおいて、IAMユーザーのパスワードポリシーについて、一部項目でデフォルトのパスワードポリシーを下回るポリシーが設定されていないか診断します。
AWS IAM に関する脆弱性IAMアクセスアナライザーに関する推奨事項AWSアカウントにおいて、IAMアクセスアナライザーが無効になっていないか診断します。IAMアクセスアナライザーは、外部と共有されているS3バケットやIAMロールなどを可視化し、意図しない設定を検出することが可能です。
長期間使用されていないIAM ユーザーが存在する問題診断対象の IAM ユーザーにおいて、2年以上使用されていないアカウントがないか診断します。
ルートユーザーにアクセスキーが存在する問題ルートユーザーアカウントにアクセスキーが発行されていないか診断します。
廃止されたAWS管理ポリシーを使用している問題廃止されたAWS管理ポリシーを使用している問題 IAMグループにおいて、廃止されたAWS管理ポリシーを使用していないか診断します。
すべてのKMSキーに対する復号アクションが許可されたIAMポリシーIAMポリシーにおいて、任意のリソースに対してKMSの復号アクションが許可されていないか診断します。許可されている場合は本来アクセスを想定していない暗号化済みのデータにアクセスされる可能性があります。

Amazon S3 に関する脆弱性

S3バケットにおいてパブリックアクセスが可能になっている問題S3バケットにおいて、パブリックアクセスが可能になっていないか診断します。S3バケットではオブジェクトのリストや読み込み、書き込み操作が可能な設定になっている場合、コンテンツの改竄や情報の漏洩につながる可能性があります。
S3のオブジェクト暗号化に関する推奨事項S3バケットにおいて、パブリックアクセスが可能になっていないか診断します。S3バケットではオブジェクトのリストや読み込み、書き込み操作が可能な設定になっている場合、コンテンツの改竄や情報の漏洩につながる可能性があります。
S3におけるブロックパブリックアクセスに関する推奨事項S3においてアカウントレベルまたはバケット単位でブロックパブリックアクセスを使用しているか診断します。ブロックパブリックアクセスはACLやバケットポリシーのアクセス許可を上書きしてパブリックアクセスを制限可能です。

Amazon API Gateway に関する脆弱性

機微な情報を返す API が外部からアクセス可能である問題API Gateway エンドポイントにおいて、機微な情報が公開されていないか診断します。当該API Gateway エンドポイントが外部からのアクセスが可能な場合は情報の漏洩や別リソースへの不正な操作が行われる足がかりにされる可能性があります。
API Gatewayリソースポリシーの不備API GatewayのAPIエンドポイントに設定されているリソースポリシーにおいて、接続元の制限が適切に行われているか診断します。他アカウントからAPIエンドポイントにアクセスが可能な場合は、悪意のある第三者がリクエストを送信し、バックエンドのリソースに影響を及ぼす可能性があります。また、APIが機微な情報を取り扱う場合、情報漏洩につながる可能性があります。

AWS Lambda に関する脆弱性

Lambda関数のIAMロールに強い権限が付与されている問題Lambda関数に認証情報が平文で保存されていないか診断します。
Lambda関数で使用されているライブラリに既知の脆弱性が存在する問題Lambda関数で使用されているライブラリについて、既知の脆弱性が存在しないか診断します。
Lamda関数においてパブリックアクセスが可能な問題Lambda関数のリソースポリシーにおいてパブリックアクセスが許可されていないか診断します。パラメーター等が推測された場合、外部から予期せずLambda関数が呼び出される可能性があります。

Amazon VPC に関する脆弱性

VPCエンドポイントのポリシー不備VPCエンドポイントのポリシーにおいて、無制限のアクセス許可が設定されていないか診断します。外部のAWSアカウントに存在するS3バケットにファイルを持ち出したり、外部のS3バケット経由で環境内にファイルを持ち込まれたりする可能性があります。

SecurityGroup に関する脆弱性

無制限のアクセスが許可されたセキュリティグループセキュリティグループについて無制限の IP レンジからのアクセスが許可されていないか診断します。無制限にアクセスするルールが設定されている場合、認証情報の漏洩や設定不備、ソフトウェアの脆弱性等が存在した場合にインスタンスへ侵入される可能性があります。
セキュリティグループにおいて不要と思われるインバウンドルールが設定されている問題セキュリティグループにおいて不要と思われるインバウンドルールが設定されていないか診断します。

Amazon EC2 に関する脆弱性

EC2インスタンスに強い権限のIAMロールが関連付けられている問題EC2インスタンスにおいて強い権限のIAMロールが関連付けられていないか診断します。強い権限の付与されたIAMロールに関連づけられているインスタンスがなんらかの形で侵害された場合、悪意のある第三者に強い権限でAWSリソースを操作される可能性があります。
シェルの履歴にパスワードが残存している問題EC2インスタンスやコンテナのシェル履歴に、パスワードが残存していないか診断します。攻撃者によってシステム内の横展開に利用される可能性があります。
EC2インスタンスに秘密鍵が保存されている問題EC2インスタンスに秘密鍵が保存されていないか診断します。悪意のある第三者がなんらかの方法でサーバーに侵入し、SSH鍵を窃取された場合、他の端末やサーバーへの横展開に利用される可能性があります。
EC2インスタンスにAWSアクセスキーが保存されている問題EC2インスタンスにAWSアクセスキーが保存されていないか診断します。
脆弱なパスワードの使用EC2インスタンスにおいて、オペレーティングシステムのローカルユーザーアカウントで推測しやすい脆弱なパスワードが使用されていないか診断します。
サポート期限の切れたOSを利用している問題EC2インスタンスやコンテナでサポート期限が切れたOSを使っていないか診断します。サポート期限の切れたOSを利用している場合、セキュリティアップデートが提供されていない既知の脆弱性を悪用し、攻撃が行われる可能性があります。
EC2インスタンス内に個人を特定できる可能性のある機微情報が保存されている問題EC2インスタンス内に、個人を特定できる可能性のある機微情報が保存されていないか診断します。当該インスタンスやインスタンス上のサービスが侵害された場合、機微情報が窃取される可能性があります。

Amazon EBS に関する脆弱性

EBSボリュームの暗号化に関する推奨事項EC2 において、すべてのEBS ボリュームに暗号化されているか診断します。
EBSスナップショットの暗号化に関する推奨事項EBSにおいて暗号化されていないEBSスナップショットが存在しないか診断します。

Amazon RDS に関する脆弱性

RDSにおいてデータベースインスタンスがパブリックアクセス可能になっている問題RDSにおいてデータベースインスタンスにパブリックアクセシビリティが設定されているか診断します。
データベースインスタンスにおいてパブリックアクセス可能な場合、悪意のある第三者から不正に接続される可能性があります。

Amazon SNS に関する脆弱性

パブリックアクセス可能なSNSトピックSNSトピックにおいて、パブリックアクセスが許可されていないか診断します。SNSトピックへのパブリックアクセスは、悪意のある第三者が過剰な量の通知を送信したり、悪意ある第三者によってSNSトピックに送信された情報が窃取されたりとSNSサービスの悪用につながる可能性があります。

Amazon SQS に関する脆弱性

パブリックアクセス可能なSQSキューSQSキューにおいて、パブリックアクセスが許可されていないか診断します。SQSキューへのパブリックアクセスは、悪意のある第三者によってキューへのメッセージ送受信や削除が可能なため、キューメッセージの内容によっては情報漏洩につながる可能性があります。

AWS CloudTrail に関する脆弱性

CloudTrailにおいてログファイルの検証設定がされていない問題CloudTrailにおいてログファイルの検証設定がされているか診断します。AWSアカウントが、悪意のある第三者により侵害され、ログの改竄や削除が行われた場合、影響範囲の調査が困難となる可能性があります。

Amazon Cognito に関する脆弱性

管理者用のユーザープールにおいて自己サインアップが可能になっている問題管理者用の Cognito ユーザープールにおいて自己サインアップが可能か診断します。脆弱性がある場合、Cognito ユーザープールに対して直接リクエストを発行することにより管理者ユーザーを作成することが可能です。不正に管理者ユーザーを作成された場合、管理者用の API が不正に利用される可能性があります。
Cognitoにおけるユーザー存在エラーによる情報漏洩Cognitoのエラーメッセージの内容から登録されているメールアドレス(ログインID)を推測できないか診断します。Cognitoのエラーメッセージの内容から実在するログインIDを推測されることで、ブルートフォース攻撃の試行が容易になる可能性があります。
Cognitoユーザープールのアプリクライアントにおいて、複数のカスタム属性が変更可能である問題Cognitoユーザープールにおいて、カスタム属性が書き換え可能になっていないか診断します。攻撃者によってこれらの値を操作された場合、アプリケーションにおいて予期せぬ動作を引き起こす可能性があります。
Cognitoユーザープールにおけるパスワードポリシーに関する問題Cognitoユーザープールでパスワードポリシーが適切に設定されているか診断します。
CognitoのIDプールに関するIAMロールにおいて権限昇格可能なIAMロールが関連づけられている問題Cognitoユーザープールに関連するIAMロールにおいて、権限昇格が可能な強い権限が設定されていないか診断します。Cognitoユーザープールに対してAdminAddUserToGroupやAdminCreateUserなどの権限を持つIAMユーザー/ロールを作成した場合、そのIAMユーザー/ロールから権限昇格が行われる可能性があります。

AWS Systems Manager  に関する脆弱性

EC2インスタンスがSystems Manager Patch Managerで管理されていない問題 EC2 インスタンスが Systems Manager Patch Managerで管理されているか診断します。Systems Manager Patch Managerで EC2 インスタンスが管理されていない場合、適切にパッチが適用されなかったり、ポリシー違反を検出できなかったりする可能性があります。

Amazon OpenSearch Service に関する脆弱性

OpenSearchドメインがパブリックである問題OpenSearchの管理サービスにおいて、インターネット経由でパスワードによる認証が有効であるか診断します。パスワード認証が有効な場合、ブルートフォース攻撃が可能であるため、設定しているアカウント ID、パスワードの内容によっては、インターネット経由で第三者の不正なアクセスを許してしまう可能性があります。
OpenSearchにおいて脆弱なパスワードが利用されている問題OpenSearchにおいて、推測可能なパスワードが利用されていないか診断します。パスワードに対する推測や辞書攻撃により、短時間でOpenSearchの管理パスワードが判明する可能性があります。

AWS WAF に関する脆弱性

AWS WAFにおけるWeb ACLsのルール不備Web ACLに設定されているルールが適切に機能しているか診断します。

Amazon Redshift に関する脆弱性

Redshiftクラスターがパブリックアクセス可能になっている問題Redshift クラスターがパブリックアクセス可能になっていないか診断します。パブリックアクセスが有効になっている場合、インターネットから直接 Redshift クラスターにアクセスすることが可能です。

クラウド診断
診断レポートサンプル

発見された脆弱性をクライアント企業にて迅速に修正できるよう、具体的な内容・再現方法・リスク・対策方法をご報告します。詳しくは、診断レポートのサンプルをご請求ください。

クラウド診断の
価格

対応内容・期間などにより変動いたします。詳細なお見積もりについてはお気軽にお問い合わせください。

クラウド診断の
よくある質問

Qクラウド診断の対象を教えてください。
AAWS・Azure・Google Cloudの3大クラウドに加え、Salesforce・Google Workspace・Microsoft 365が対象です。それぞれの利用形態や確認したい範囲に合わせた豊富なプランをご用意しています。
QCIS(Center for Internet Security)が発刊しているBenchmarkに対応していますか
A 対応しています。報告書ではBenchmarkへの準拠状況(〇×での合否判定)を記載しています。
Q予算が限られているのですが、診断の実施は可能でしょうか?
AツールのみのライトプランやCISベンチマークの準拠状況確認のみのプランがございます。ご予算に応じて最適なプランをご提案させていただきます。

クラウド診断について
もっと詳しく知りたい方はこちら

その他のサービス一覧

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断の結果や行うべき対策がわかる

診断レポート・資料請求
RECRUIT

私たちと一緒に、
脆弱性のない世界を創っていきませんか