アプリケーション構成の理解と診断範囲の明確化
アプリケーションの構成を把握し、必要な工数のお見積もりを行います。
-
クラウド上のアプリケーションの構成をヒアリング
ご担当者様へ構成およびセキュリティ要件のヒアリングやアーキテクチャ図の確認、実際のクラウド環境へのアクセスによりシステム構成を把握します。 -
クラウド診断実施方針の策定とお見積もり
対象アプリケーションやご予算、ご利用のクラウドサービスに合わせて診断プランを策定し、お見積もりをお出しします。
- クラウド診断 -
クラウドサービスの設定ミスによるセキュリティ事故を予防
AmazonやMicrosoft、Googleが提供するクラウドサービスは今や多くの企業が導入しています。その中で利用中のクラウドプラットフォームやシステムが安全な状態と言えるか確認し、対策をすることの重要性が高まっています。GMOサイバーセキュリティ byイエラエではAWS・Azure・Google Cloudの3大クラウドに加え、SalesforceやGoogle Workspace・Microsoft 365を対象に利用状況におけるセキュリティ上の問題がないかを確認するサービスとして「クラウド診断」を提供しています。IaaS/PaaSからサーバレス(FaaS)、コンテナ(CaaS)まで利用形態に合わせたプランをご用意しています。
クラウド診断は
こんな方におすすめ
- 利用中のクラウドにセキュリティ上の問題がないか不安がある
- サーバレスやコンテナなど利用形態に合わせた診断サービスを探している
- 管理できていないインスタンスやアカウントがないかスポットでチェックしたい
クラウド診断 の
3つの特長
01予算や利用形態に応じて選べる豊富なプラン
IaaS/PaaS、サーバレス、コンテナ、SaaSまで利用形態や確認したい範囲に合わせた診断が可能です。CISベンチマーク基準でのチェックに加え、クラウドセキュリティに特化したツールを用いた網羅的なチェックの他、クラウドセキュリティの専門家によるマニュアル診断も対応可能です。
※対応サービスは随時追加予定です
02クラウドセキュリティの専門家によるマニュアル診断
ツール診断に加えクラウドセキュリティを熟知した技術者によるマニュアル診断も実施可能です。クラウド環境の設定値に加え必要に応じてアプリケーションの挙動を見たり解析を行いながら、不正アクセスや情報漏えいといったリスクに繋がる可能性を攻撃者の手法を用いて検証・問題を可視化し対策案を提示します。
クラウド診断 プラン一覧
クラウド診断ライト
クラウドセキュリティに特化したツールを用いた診断
診断内容:
・CISベンチマーク基準の認定スキャン
・マルウェアスキャン
・脆弱性スキャン
・機微情報のスキャン
・パッチの適応状況の確認
・サポート切れのOSやサービスのスキャン
診断対象:AWS / Azure / Google Cloud
診断手法:ツール診断
診断期間:5営業日~
クラウド診断フル
Amazon EC2やAzure Virtual Machines等のIaaS/PaaSを中心に構成されたクラウド環境向けのプラン
診断内容:
・CISベンチマーク基準の認定スキャン
・マルウェアスキャン
・脆弱性スキャン
・機微情報のスキャン
・パッチの適応状況の確認
・サポート切れのOSやサービスのスキャン
・アーキテクチャ検証
・クラウドコンポーネントごとの設定診断
診断対象:AWS / Azure / Google Cloud
診断手法:ツール診断+マニュアル診断
診断期間:10営業日~
クラウド診断サーバレス(FaaS)
AWS Lambda, Azure Functions,Firebaseなどを利用したサーバレスアプリケーションが対象
診断内容:
(フルプランの内容に加えて)
Firebase Security Rule診断など
診断対象:AWS / Azure / Google Cloud
診断手法:ツール診断+マニュアル診断
診断期間:13営業日~
クラウド診断コンテナ(CaaS)
AKS/EKS/GKE等のコンテナオーケストレーションサービスを利用したクラウド環境向けのプラン
診断内容:
(フルプランの内容に加えて)
・Kubernetesクラスタ診断
・Pod設定診断
・コンテナ診断
診断対象:AWS / Azure / Google Cloud
診断手法:ツール診断+マニュアル診断
診断期間:13営業日~
クラウド診断Salesforce
Experience CloudやSalesforceサイトを利用しているお客様におすすめのプラン
診断内容:
・アクセス制御設定検証
・セッション設定検証
・コミュニティサイト設定検証
・フロー解析
・Apex/Visualforceソースコード診断(オプション)
診断対象:Salesforce
診断手法:マニュアル診断
診断期間:10営業日~
クラウド診断
GoogleWorkspace/Microsoft 365
CISベンチマーク項目に基づきSaaS型オフィススイートの設定におけるセキュリティ上の問題がないか確認します。
診断対象:Google Workspace/Microsoft 365
診断手法:マニュアル診断
診断期間:3営業日~
クラウド診断
CISベンチマークパック
CISベンチマーク*の準拠状況を確認
診断対象:AWS / Azure / Google Cloud
診断手法:ツール診断
診断期間:3営業日~
CISベンチマークとは:
サイバー防衛に関する非営利団体「Center of Internet Security (CIS)」が策定したシステムを安全に構成するための構成基準およびベストプラクティスのこと。
03実績豊富な他社と連携した対策サポートの提供
AWS総合支援サービスを提供するクラスメソッド社や弊社グループ会社のGMOグローバルサイン・ホールディングス社と共同でクラウド診断の報告書をもとに改修方法や具体的な対策を支援する対策サポートを提供します。
■クラスメソッド株式会社
クラスメソッド株式会社は、AWSをはじめデータ分析、モバイル、IoT、AI/機械学習等の分野で企業向け技術支援を行っており、現在までの支援実績は3,000社15,000アカウント以上になります。特にAWS支援では2018年と2020年、2021年に「AWSサービスパートナー オブ ザ イヤー」を受賞。AWS総合支援サービス「クラスメソッド メンバーズ」では、プレミアムサービスとして脆弱性診断以外にもDDos攻撃対策など様々なセキュリティ対策メニューを用意し、お客様にAWSをより安心・安全にご利用いただける環境を提供しています。
■GMOグローバルサイン・ホールディングス株式会社
東証プライム上場の GMOグローバルサイン・ホールディングス株式会社は、110,000を超える法人のお客様のクラウド環境を運用・サポートしています。AWS & Google Cloud 利活用支援サービス「CloudCREW byGMO」では、クラウド診断の結果に基づいた効果的な改修方法、セキュリティ強化のご提案、実際の技術支援まで包括的にサポートいたします。脆弱性診断やクラウドセキュリティに不安のあるお客様でも、安心してご利用いただけます。
クラウド診断の
診断フロー
-
01
クラウド診断 事前準備
-
02
クラウド診断実施
クラウド診断を実施
クラウド上のアプリケーションに対し、攻撃者の視点で診断を実施します。
-
ツール
パブリッククラウド上に構築されたアプリケーションに対し、Orcaをはじめとしたツールを利用しセキュリティスキャンを実施します。 -
静的解析
クラウドサービスの設定項目やコンテナを採用したシステムの設定ファイル、 アプリケーション設計等をホワイトボックス形式で分析し、脆弱性を洗い出します。 -
動的解析
診断対象のアプリケーションの動作を解析し、必要に応じて実際に攻撃を試みます。
-
-
03
クラウド診断報告 及び改善案提出
クラウド診断の実施結果報告
エグゼクティブサマリおよび検出された問題の詳細、および対策方法についてご報告します。
-
総合評価
診断結果の概要と、脆弱性がビジネスに与える影響についてご報告します。また安全なパブリッククラウドの運用に関して推奨される施策等についてもご提案させていただきます。 -
クラウド上のアプリケーションの脆弱性詳細
発見した脆弱性の詳細や、再現手順等をご報告します。また脆弱性のリスクや推奨する対策方法についてもご説明します。
-
セキュリティ診断の結果や行うべき対策がわかる
セキュリティ診断レポートサンプルをお送りします
セキュリティ診断で発見された脆弱性と、具体的な内容・再現方法・リスク・対策方法を報告したレポートのサンプルをご覧いただけます。
クラウド診断 の
診断項目
診断内容(一部抜粋)※表はAWSの場合です
AWS IAM に関する脆弱性
| 任意のAWSアカウントがアクセス可能なIAMロール | IAMロールにおいて、信頼ポリシーが適切に設定されているかどうかを診断します。信頼ポリシーの不適切な設定により任意のAWSアカウントが当該IAMロールを引き受けることができる場合、悪意のある第三者にAWSリソースを操作される可能性があります。 |
|---|---|
| MFAが有効になっていない問題 | 権限の強いユーザーにMFAが設定されているか診断します。 |
| 任意の操作が許可されているIAMユーザーにアクセスキーが発行されている問題 | 任意の操作が許可されているIAMユーザーにアクセスキーが発行されていないか診断します。これらの権限が付与されたアクセスキーが漏洩した場合、AWSアカウントのほとんどすべてのリソースにアクセスが行われる可能性があります。 |
| IAMユーザーによる特権昇格の可能性 | 不適切にIAMポリシーが設定されていることによるIAMユーザーの特権昇格の脆弱性がないか診断します。Shadow Adminの検出が可能です。 |
| ポリシーが付与された長期間使用されていないIAMロールが存在する問題 | IAMロールにおいて、ポリシーが付与されているにもかかわらず長期間使用されていないロールがないか診断します。 |
| IAMアクセスキーのローテーションに関する推奨事項 | IAMロールにおいて、ポリシーが付与されているにもかかわらず長期間使用されていないロールがないか診断します。 |
| IAMユーザーのパスワードポリシーに関する推奨事項 | AWSアカウントにおいて、IAMユーザーのパスワードポリシーについて、一部項目でデフォルトのパスワードポリシーを下回るポリシーが設定されていないか診断します。 |
| AWS IAM に関する脆弱性IAMアクセスアナライザーに関する推奨事項 | AWSアカウントにおいて、IAMアクセスアナライザーが無効になっていないか診断します。IAMアクセスアナライザーは、外部と共有されているS3バケットやIAMロールなどを可視化し、意図しない設定を検出することが可能です。 |
| 長期間使用されていないIAM ユーザーが存在する問題 | 診断対象の IAM ユーザーにおいて、2年以上使用されていないアカウントがないか診断します。 |
| ルートユーザーにアクセスキーが存在する問題 | ルートユーザーアカウントにアクセスキーが発行されていないか診断します。 |
| 廃止されたAWS管理ポリシーを使用している問題 | 廃止されたAWS管理ポリシーを使用している問題 IAMグループにおいて、廃止されたAWS管理ポリシーを使用していないか診断します。 |
| すべてのKMSキーに対する復号アクションが許可されたIAMポリシー | IAMポリシーにおいて、任意のリソースに対してKMSの復号アクションが許可されていないか診断します。許可されている場合は本来アクセスを想定していない暗号化済みのデータにアクセスされる可能性があります。 |
Amazon S3 に関する脆弱性
| S3バケットにおいてパブリックアクセスが可能になっている問題 | S3バケットにおいて、パブリックアクセスが可能になっていないか診断します。S3バケットではオブジェクトのリストや読み込み、書き込み操作が可能な設定になっている場合、コンテンツの改竄や情報の漏洩につながる可能性があります。 |
|---|---|
| S3のオブジェクト暗号化に関する推奨事項 | S3バケットにおいて、パブリックアクセスが可能になっていないか診断します。S3バケットではオブジェクトのリストや読み込み、書き込み操作が可能な設定になっている場合、コンテンツの改竄や情報の漏洩につながる可能性があります。 |
| S3におけるブロックパブリックアクセスに関する推奨事項 | S3においてアカウントレベルまたはバケット単位でブロックパブリックアクセスを使用しているか診断します。ブロックパブリックアクセスはACLやバケットポリシーのアクセス許可を上書きしてパブリックアクセスを制限可能です。 |
Amazon API Gateway に関する脆弱性
| 機微な情報を返す API が外部からアクセス可能である問題 | API Gateway エンドポイントにおいて、機微な情報が公開されていないか診断します。当該API Gateway エンドポイントが外部からのアクセスが可能な場合は情報の漏洩や別リソースへの不正な操作が行われる足がかりにされる可能性があります。 |
|---|---|
| API Gatewayリソースポリシーの不備 | API GatewayのAPIエンドポイントに設定されているリソースポリシーにおいて、接続元の制限が適切に行われているか診断します。他アカウントからAPIエンドポイントにアクセスが可能な場合は、悪意のある第三者がリクエストを送信し、バックエンドのリソースに影響を及ぼす可能性があります。また、APIが機微な情報を取り扱う場合、情報漏洩につながる可能性があります。 |
AWS Lambda に関する脆弱性
| Lambda関数のIAMロールに強い権限が付与されている問題 | Lambda関数に認証情報が平文で保存されていないか診断します。 |
|---|---|
| Lambda関数で使用されているライブラリに既知の脆弱性が存在する問題 | Lambda関数で使用されているライブラリについて、既知の脆弱性が存在しないか診断します。 |
| Lamda関数においてパブリックアクセスが可能な問題 | Lambda関数のリソースポリシーにおいてパブリックアクセスが許可されていないか診断します。パラメーター等が推測された場合、外部から予期せずLambda関数が呼び出される可能性があります。 |
Amazon VPC に関する脆弱性
| VPCエンドポイントのポリシー不備 | VPCエンドポイントのポリシーにおいて、無制限のアクセス許可が設定されていないか診断します。外部のAWSアカウントに存在するS3バケットにファイルを持ち出したり、外部のS3バケット経由で環境内にファイルを持ち込まれたりする可能性があります。 |
|---|
SecurityGroup に関する脆弱性
| 無制限のアクセスが許可されたセキュリティグループ | セキュリティグループについて無制限の IP レンジからのアクセスが許可されていないか診断します。無制限にアクセスするルールが設定されている場合、認証情報の漏洩や設定不備、ソフトウェアの脆弱性等が存在した場合にインスタンスへ侵入される可能性があります。 |
|---|---|
| セキュリティグループにおいて不要と思われるインバウンドルールが設定されている問題 | セキュリティグループにおいて不要と思われるインバウンドルールが設定されていないか診断します。 |
Amazon EC2 に関する脆弱性
| EC2インスタンスに強い権限のIAMロールが関連付けられている問題 | EC2インスタンスにおいて強い権限のIAMロールが関連付けられていないか診断します。強い権限の付与されたIAMロールに関連づけられているインスタンスがなんらかの形で侵害された場合、悪意のある第三者に強い権限でAWSリソースを操作される可能性があります。 |
|---|---|
| シェルの履歴にパスワードが残存している問題 | EC2インスタンスやコンテナのシェル履歴に、パスワードが残存していないか診断します。攻撃者によってシステム内の横展開に利用される可能性があります。 |
| EC2インスタンスに秘密鍵が保存されている問題 | EC2インスタンスに秘密鍵が保存されていないか診断します。悪意のある第三者がなんらかの方法でサーバーに侵入し、SSH鍵を窃取された場合、他の端末やサーバーへの横展開に利用される可能性があります。 |
| EC2インスタンスにAWSアクセスキーが保存されている問題 | EC2インスタンスにAWSアクセスキーが保存されていないか診断します。 |
| 脆弱なパスワードの使用 | EC2インスタンスにおいて、オペレーティングシステムのローカルユーザーアカウントで推測しやすい脆弱なパスワードが使用されていないか診断します。 |
| サポート期限の切れたOSを利用している問題 | EC2インスタンスやコンテナでサポート期限が切れたOSを使っていないか診断します。サポート期限の切れたOSを利用している場合、セキュリティアップデートが提供されていない既知の脆弱性を悪用し、攻撃が行われる可能性があります。 |
| EC2インスタンス内に個人を特定できる可能性のある機微情報が保存されている問題 | EC2インスタンス内に、個人を特定できる可能性のある機微情報が保存されていないか診断します。当該インスタンスやインスタンス上のサービスが侵害された場合、機微情報が窃取される可能性があります。 |
Amazon EBS に関する脆弱性
| EBSボリュームの暗号化に関する推奨事項 | EC2 において、すべてのEBS ボリュームに暗号化されているか診断します。 |
|---|---|
| EBSスナップショットの暗号化に関する推奨事項 | EBSにおいて暗号化されていないEBSスナップショットが存在しないか診断します。 |
Amazon RDS に関する脆弱性
| RDSにおいてデータベースインスタンスがパブリックアクセス可能になっている問題 | RDSにおいてデータベースインスタンスにパブリックアクセシビリティが設定されているか診断します。 データベースインスタンスにおいてパブリックアクセス可能な場合、悪意のある第三者から不正に接続される可能性があります。 |
|---|
Amazon SNS に関する脆弱性
| パブリックアクセス可能なSNSトピック | SNSトピックにおいて、パブリックアクセスが許可されていないか診断します。SNSトピックへのパブリックアクセスは、悪意のある第三者が過剰な量の通知を送信したり、悪意ある第三者によってSNSトピックに送信された情報が窃取されたりとSNSサービスの悪用につながる可能性があります。 |
|---|
Amazon SQS に関する脆弱性
| パブリックアクセス可能なSQSキュー | SQSキューにおいて、パブリックアクセスが許可されていないか診断します。SQSキューへのパブリックアクセスは、悪意のある第三者によってキューへのメッセージ送受信や削除が可能なため、キューメッセージの内容によっては情報漏洩につながる可能性があります。 |
|---|
AWS CloudTrail に関する脆弱性
| CloudTrailにおいてログファイルの検証設定がされていない問題 | CloudTrailにおいてログファイルの検証設定がされているか診断します。AWSアカウントが、悪意のある第三者により侵害され、ログの改竄や削除が行われた場合、影響範囲の調査が困難となる可能性があります。 |
|---|
Amazon Cognito に関する脆弱性
| 管理者用のユーザープールにおいて自己サインアップが可能になっている問題 | 管理者用の Cognito ユーザープールにおいて自己サインアップが可能か診断します。脆弱性がある場合、Cognito ユーザープールに対して直接リクエストを発行することにより管理者ユーザーを作成することが可能です。不正に管理者ユーザーを作成された場合、管理者用の API が不正に利用される可能性があります。 |
|---|---|
| Cognitoにおけるユーザー存在エラーによる情報漏洩 | Cognitoのエラーメッセージの内容から登録されているメールアドレス(ログインID)を推測できないか診断します。Cognitoのエラーメッセージの内容から実在するログインIDを推測されることで、ブルートフォース攻撃の試行が容易になる可能性があります。 |
| Cognitoユーザープールのアプリクライアントにおいて、複数のカスタム属性が変更可能である問題 | Cognitoユーザープールにおいて、カスタム属性が書き換え可能になっていないか診断します。攻撃者によってこれらの値を操作された場合、アプリケーションにおいて予期せぬ動作を引き起こす可能性があります。 |
| Cognitoユーザープールにおけるパスワードポリシーに関する問題 | Cognitoユーザープールでパスワードポリシーが適切に設定されているか診断します。 |
| CognitoのIDプールに関するIAMロールにおいて権限昇格可能なIAMロールが関連づけられている問題 | Cognitoユーザープールに関連するIAMロールにおいて、権限昇格が可能な強い権限が設定されていないか診断します。Cognitoユーザープールに対してAdminAddUserToGroupやAdminCreateUserなどの権限を持つIAMユーザー/ロールを作成した場合、そのIAMユーザー/ロールから権限昇格が行われる可能性があります。 |
AWS Systems Manager に関する脆弱性
| EC2インスタンスがSystems Manager Patch Managerで管理されていない問題 | EC2 インスタンスが Systems Manager Patch Managerで管理されているか診断します。Systems Manager Patch Managerで EC2 インスタンスが管理されていない場合、適切にパッチが適用されなかったり、ポリシー違反を検出できなかったりする可能性があります。 |
|---|
Amazon OpenSearch Service に関する脆弱性
| OpenSearchドメインがパブリックである問題 | OpenSearchの管理サービスにおいて、インターネット経由でパスワードによる認証が有効であるか診断します。パスワード認証が有効な場合、ブルートフォース攻撃が可能であるため、設定しているアカウント ID、パスワードの内容によっては、インターネット経由で第三者の不正なアクセスを許してしまう可能性があります。 |
|---|---|
| OpenSearchにおいて脆弱なパスワードが利用されている問題 | OpenSearchにおいて、推測可能なパスワードが利用されていないか診断します。パスワードに対する推測や辞書攻撃により、短時間でOpenSearchの管理パスワードが判明する可能性があります。 |
AWS WAF に関する脆弱性
| AWS WAFにおけるWeb ACLsのルール不備 | Web ACLに設定されているルールが適切に機能しているか診断します。 |
|---|
Amazon Redshift に関する脆弱性
| Redshiftクラスターがパブリックアクセス可能になっている問題 | Redshift クラスターがパブリックアクセス可能になっていないか診断します。パブリックアクセスが有効になっている場合、インターネットから直接 Redshift クラスターにアクセスすることが可能です。 |
|---|
クラウド診断
診断レポートサンプル
発見された脆弱性をクライアント企業にて迅速に修正できるよう、具体的な内容・再現方法・リスク・対策方法をご報告します。詳しくは、診断レポートのサンプルをご請求ください。
クラウド診断の
価格
対応内容・期間などにより変動いたします。詳細なお見積もりについてはお気軽にお問い合わせください。
クラウド診断の
よくある質問
- Qクラウド診断の対象を教えてください。
- AAWS・Azure・Google Cloudの3大クラウドに加え、Salesforce・Google Workspace・Microsoft 365が対象です。それぞれの利用形態や確認したい範囲に合わせた豊富なプランをご用意しています。
- QCIS(Center for Internet Security)が発刊しているBenchmarkに対応していますか
- A 対応しています。報告書ではBenchmarkへの準拠状況(〇×での合否判定)を記載しています。
- Q予算が限られているのですが、診断の実施は可能でしょうか?
- AツールのみのライトプランやCISベンチマークの準拠状況確認のみのプランがございます。ご予算に応じて最適なプランをご提案させていただきます。
クラウド診断について
もっと詳しく知りたい方はこちら
その他のサービス一覧
- Webアプリケーション診断 プレミアムプラン
- Webアプリケーション診断 ライトプラン(ASVS)
- 脆弱性診断(セキュリティ診断)とは
- Webペネトレーションテスト <シナリオ型>
- Webペネトレーションテスト <調査型>
- Webアプリケーション診断 おまかせプラン
- NFT・ブロックチェーン脆弱性診断
- GMOサイバーセキュリティ for 社会インフラ
- GMOサイバーセキュリティ for Drone/eVTOL
- セキュリティ調査
- クラウド診断
- レッドチーム演習
- インシデントレスポンス訓練コース
- オフェンシブセキュリティ資格取得コース
- イエラエアカデミー byGMO
- クラウドセキュリティ・
アドバイザリー - デジタルフォレンジック・
インシデントレスポンス支援 - Emotet感染対応
- セキュアアプリケーション開発
- 漏洩情報調査(Webmonitor)
- プロアクティブフォレンジック
- 調査ログ取得支援
- システムアーキテクチャレビュー・
コンサルティング - 事故マニュアル作成支援
- 脅威モデリング・
リスクアセスメント - デスクトップアプリ診断
- Webアプリケーション診断
- 調査特化型
- 物理環境
- OSINT
- 標的型攻撃
- ペネトレーションテスト
(侵入テスト) - セキュア開発プロセス支援
- スマホアプリ
(iOS・Android)
脆弱性診断 - プラットフォーム診断
(ネットワーク診断) - ゲームチート
ペネトレーションテスト - IoTデバイス
ペネトレーションテスト - CSIRT支援
- ディフェンスセキュリティ
- セキュリティコンサルティング
- 3大クラウドセキュリティ一元管理サービス Orca
- 新種マルウェア対策支援サービス BitDam
- GMO AIセキュリティ診断 for GPT
