アプリケーション構成の理解と診断範囲の明確化
アプリケーションの構成を把握し、必要な工数のお見積もりを行います。
-
クラウド上のアプリケーションの構成をヒアリング
ご担当者様へ構成およびセキュリティ要件のヒアリングやアーキテクチャ図の確認、実際のクラウド環境へのアクセスによりシステム構成を把握します。 -
クラウド診断実施方針の策定とお見積もり
対象アプリケーションやご予算、ご利用のクラウドサービスに合わせて診断プランを策定し、お見積もりをお出しします。
AmazonやMicrosoft、Googleが提供するクラウドサービスは今や多くの企業が導入しています。その中で利用中のクラウドプラットフォームやシステムが安全な状態と言えるか確認し、対策をすることの重要性が高まっています。GMOサイバーセキュリティ byイエラエではAWS・Azure・Google Cloudの3大クラウドに加え、SalesforceやGoogle Workspace・Microsoft 365を対象に利用状況におけるセキュリティ上の問題がないかを確認するサービスとして「クラウド診断」を提供しています。IaaS/PaaSからサーバレス(FaaS)、コンテナ(CaaS)まで利用形態に合わせたプランをご用意しています。
IaaS/PaaS、サーバレス、コンテナ、SaaSまで利用形態や確認したい範囲に合わせた診断が可能です。CISベンチマーク基準でのチェックに加え、クラウドセキュリティに特化したツールを用いた網羅的なチェックの他、クラウドセキュリティの専門家によるマニュアル診断も対応可能です。
※対応サービスは随時追加予定です
ツール診断に加えクラウドセキュリティを熟知した技術者によるマニュアル診断も実施可能です。クラウド環境の設定値に加え必要に応じてアプリケーションの挙動を見たり解析を行いながら、不正アクセスや情報漏えいといったリスクに繋がる可能性を攻撃者の手法を用いて検証・問題を可視化し対策案を提示します。
クラウドセキュリティに特化したツールを用いた診断
診断内容:
・CISベンチマーク基準の認定スキャン
・マルウェアスキャン
・脆弱性スキャン
・機微情報のスキャン
・パッチの適応状況の確認
・サポート切れのOSやサービスのスキャン
診断対象:AWS / Azure / Google Cloud
診断手法:ツール診断
診断期間:5営業日~
Amazon EC2やAzure Virtual Machines等のIaaS/PaaSを中心に構成されたクラウド環境向けのプラン
診断内容:
・CISベンチマーク基準の認定スキャン
・マルウェアスキャン
・脆弱性スキャン
・機微情報のスキャン
・パッチの適応状況の確認
・サポート切れのOSやサービスのスキャン
・アーキテクチャ検証
・クラウドコンポーネントごとの設定診断
診断対象:AWS / Azure / Google Cloud
診断手法:ツール診断+マニュアル診断
診断期間:10営業日~
AWS Lambda, Azure Functions,Firebaseなどを利用したサーバレスアプリケーションが対象
診断内容:
(フルプランの内容に加えて)
Firebase Security Rule診断など
診断対象:AWS / Azure / Google Cloud
診断手法:ツール診断+マニュアル診断
診断期間:13営業日~
AKS/EKS/GKE等のコンテナオーケストレーションサービスを利用したクラウド環境向けのプラン
診断内容:
(フルプランの内容に加えて)
・Kubernetesクラスタ診断
・Pod設定診断
・コンテナ診断
診断対象:AWS / Azure / Google Cloud
診断手法:ツール診断+マニュアル診断
診断期間:13営業日~
Experience CloudやSalesforceサイトを利用しているお客様におすすめのプラン
診断内容:
・アクセス制御設定検証
・セッション設定検証
・コミュニティサイト設定検証
・フロー解析
・Apex/Visualforceソースコード診断(オプション)
診断対象:Salesforce
診断手法:マニュアル診断
診断期間:10営業日~
CISベンチマーク項目に基づきSaaS型オフィススイートの設定におけるセキュリティ上の問題がないか確認します。
診断対象:Google Workspace/Microsoft 365
診断手法:マニュアル診断
診断期間:3営業日~
CISベンチマーク*の準拠状況を確認
診断対象:AWS / Azure / Google Cloud
診断手法:ツール診断
診断期間:3営業日~
CISベンチマークとは:
サイバー防衛に関する非営利団体「Center of Internet Security (CIS)」が策定したシステムを安全に構成するための構成基準およびベストプラクティスのこと。
AWS総合支援サービスを提供するクラスメソッド社や弊社グループ会社のGMOグローバルサイン・ホールディングス社と共同でクラウド診断の報告書をもとに改修方法や具体的な対策を支援する対策サポートを提供します。
クラスメソッド株式会社は、AWSをはじめデータ分析、モバイル、IoT、AI/機械学習等の分野で企業向け技術支援を行っており、現在までの支援実績は3,000社15,000アカウント以上になります。特にAWS支援では2018年と2020年、2021年に「AWSサービスパートナー オブ ザ イヤー」を受賞。AWS総合支援サービス「クラスメソッド メンバーズ」では、プレミアムサービスとして脆弱性診断以外にもDDos攻撃対策など様々なセキュリティ対策メニューを用意し、お客様にAWSをより安心・安全にご利用いただける環境を提供しています。
東証プライム上場の GMOグローバルサイン・ホールディングス株式会社は、110,000を超える法人のお客様のクラウド環境を運用・サポートしています。AWS & Google Cloud 利活用支援サービス「CloudCREW byGMO」では、クラウド診断の結果に基づいた効果的な改修方法、セキュリティ強化のご提案、実際の技術支援まで包括的にサポートいたします。脆弱性診断やクラウドセキュリティに不安のあるお客様でも、安心してご利用いただけます。
アプリケーションの構成を把握し、必要な工数のお見積もりを行います。
クラウド上のアプリケーションに対し、攻撃者の視点で診断を実施します。
エグゼクティブサマリおよび検出された問題の詳細、および対策方法についてご報告します。
任意のAWSアカウントがアクセス可能なIAMロール | IAMロールにおいて、信頼ポリシーが適切に設定されているかどうかを診断します。信頼ポリシーの不適切な設定により任意のAWSアカウントが当該IAMロールを引き受けることができる場合、悪意のある第三者にAWSリソースを操作される可能性があります。 |
---|---|
MFAが有効になっていない問題 | 権限の強いユーザーにMFAが設定されているか診断します。 |
任意の操作が許可されているIAMユーザーにアクセスキーが発行されている問題 | 任意の操作が許可されているIAMユーザーにアクセスキーが発行されていないか診断します。これらの権限が付与されたアクセスキーが漏洩した場合、AWSアカウントのほとんどすべてのリソースにアクセスが行われる可能性があります。 |
IAMユーザーによる特権昇格の可能性 | 不適切にIAMポリシーが設定されていることによるIAMユーザーの特権昇格の脆弱性がないか診断します。Shadow Adminの検出が可能です。 |
ポリシーが付与された長期間使用されていないIAMロールが存在する問題 | IAMロールにおいて、ポリシーが付与されているにもかかわらず長期間使用されていないロールがないか診断します。 |
IAMアクセスキーのローテーションに関する推奨事項 | IAMロールにおいて、ポリシーが付与されているにもかかわらず長期間使用されていないロールがないか診断します。 |
IAMユーザーのパスワードポリシーに関する推奨事項 | AWSアカウントにおいて、IAMユーザーのパスワードポリシーについて、一部項目でデフォルトのパスワードポリシーを下回るポリシーが設定されていないか診断します。 |
AWS IAM に関する脆弱性IAMアクセスアナライザーに関する推奨事項 | AWSアカウントにおいて、IAMアクセスアナライザーが無効になっていないか診断します。IAMアクセスアナライザーは、外部と共有されているS3バケットやIAMロールなどを可視化し、意図しない設定を検出することが可能です。 |
長期間使用されていないIAM ユーザーが存在する問題 | 診断対象の IAM ユーザーにおいて、2年以上使用されていないアカウントがないか診断します。 |
ルートユーザーにアクセスキーが存在する問題 | ルートユーザーアカウントにアクセスキーが発行されていないか診断します。 |
廃止されたAWS管理ポリシーを使用している問題 | 廃止されたAWS管理ポリシーを使用している問題 IAMグループにおいて、廃止されたAWS管理ポリシーを使用していないか診断します。 |
すべてのKMSキーに対する復号アクションが許可されたIAMポリシー | IAMポリシーにおいて、任意のリソースに対してKMSの復号アクションが許可されていないか診断します。許可されている場合は本来アクセスを想定していない暗号化済みのデータにアクセスされる可能性があります。 |
S3バケットにおいてパブリックアクセスが可能になっている問題 | S3バケットにおいて、パブリックアクセスが可能になっていないか診断します。S3バケットではオブジェクトのリストや読み込み、書き込み操作が可能な設定になっている場合、コンテンツの改竄や情報の漏洩につながる可能性があります。 |
---|---|
S3のオブジェクト暗号化に関する推奨事項 | S3バケットにおいて、パブリックアクセスが可能になっていないか診断します。S3バケットではオブジェクトのリストや読み込み、書き込み操作が可能な設定になっている場合、コンテンツの改竄や情報の漏洩につながる可能性があります。 |
S3におけるブロックパブリックアクセスに関する推奨事項 | S3においてアカウントレベルまたはバケット単位でブロックパブリックアクセスを使用しているか診断します。ブロックパブリックアクセスはACLやバケットポリシーのアクセス許可を上書きしてパブリックアクセスを制限可能です。 |
機微な情報を返す API が外部からアクセス可能である問題 | API Gateway エンドポイントにおいて、機微な情報が公開されていないか診断します。当該API Gateway エンドポイントが外部からのアクセスが可能な場合は情報の漏洩や別リソースへの不正な操作が行われる足がかりにされる可能性があります。 |
---|---|
API Gatewayリソースポリシーの不備 | API GatewayのAPIエンドポイントに設定されているリソースポリシーにおいて、接続元の制限が適切に行われているか診断します。他アカウントからAPIエンドポイントにアクセスが可能な場合は、悪意のある第三者がリクエストを送信し、バックエンドのリソースに影響を及ぼす可能性があります。また、APIが機微な情報を取り扱う場合、情報漏洩につながる可能性があります。 |
Lambda関数のIAMロールに強い権限が付与されている問題 | Lambda関数に認証情報が平文で保存されていないか診断します。 |
---|---|
Lambda関数で使用されているライブラリに既知の脆弱性が存在する問題 | Lambda関数で使用されているライブラリについて、既知の脆弱性が存在しないか診断します。 |
Lamda関数においてパブリックアクセスが可能な問題 | Lambda関数のリソースポリシーにおいてパブリックアクセスが許可されていないか診断します。パラメーター等が推測された場合、外部から予期せずLambda関数が呼び出される可能性があります。 |
VPCエンドポイントのポリシー不備 | VPCエンドポイントのポリシーにおいて、無制限のアクセス許可が設定されていないか診断します。外部のAWSアカウントに存在するS3バケットにファイルを持ち出したり、外部のS3バケット経由で環境内にファイルを持ち込まれたりする可能性があります。 |
---|
無制限のアクセスが許可されたセキュリティグループ | セキュリティグループについて無制限の IP レンジからのアクセスが許可されていないか診断します。無制限にアクセスするルールが設定されている場合、認証情報の漏洩や設定不備、ソフトウェアの脆弱性等が存在した場合にインスタンスへ侵入される可能性があります。 |
---|---|
セキュリティグループにおいて不要と思われるインバウンドルールが設定されている問題 | セキュリティグループにおいて不要と思われるインバウンドルールが設定されていないか診断します。 |
EC2インスタンスに強い権限のIAMロールが関連付けられている問題 | EC2インスタンスにおいて強い権限のIAMロールが関連付けられていないか診断します。強い権限の付与されたIAMロールに関連づけられているインスタンスがなんらかの形で侵害された場合、悪意のある第三者に強い権限でAWSリソースを操作される可能性があります。 |
---|---|
シェルの履歴にパスワードが残存している問題 | EC2インスタンスやコンテナのシェル履歴に、パスワードが残存していないか診断します。攻撃者によってシステム内の横展開に利用される可能性があります。 |
EC2インスタンスに秘密鍵が保存されている問題 | EC2インスタンスに秘密鍵が保存されていないか診断します。悪意のある第三者がなんらかの方法でサーバーに侵入し、SSH鍵を窃取された場合、他の端末やサーバーへの横展開に利用される可能性があります。 |
EC2インスタンスにAWSアクセスキーが保存されている問題 | EC2インスタンスにAWSアクセスキーが保存されていないか診断します。 |
脆弱なパスワードの使用 | EC2インスタンスにおいて、オペレーティングシステムのローカルユーザーアカウントで推測しやすい脆弱なパスワードが使用されていないか診断します。 |
サポート期限の切れたOSを利用している問題 | EC2インスタンスやコンテナでサポート期限が切れたOSを使っていないか診断します。サポート期限の切れたOSを利用している場合、セキュリティアップデートが提供されていない既知の脆弱性を悪用し、攻撃が行われる可能性があります。 |
EC2インスタンス内に個人を特定できる可能性のある機微情報が保存されている問題 | EC2インスタンス内に、個人を特定できる可能性のある機微情報が保存されていないか診断します。当該インスタンスやインスタンス上のサービスが侵害された場合、機微情報が窃取される可能性があります。 |
EBSボリュームの暗号化に関する推奨事項 | EC2 において、すべてのEBS ボリュームに暗号化されているか診断します。 |
---|---|
EBSスナップショットの暗号化に関する推奨事項 | EBSにおいて暗号化されていないEBSスナップショットが存在しないか診断します。 |
RDSにおいてデータベースインスタンスがパブリックアクセス可能になっている問題 | RDSにおいてデータベースインスタンスにパブリックアクセシビリティが設定されているか診断します。 データベースインスタンスにおいてパブリックアクセス可能な場合、悪意のある第三者から不正に接続される可能性があります。 |
---|
パブリックアクセス可能なSNSトピック | SNSトピックにおいて、パブリックアクセスが許可されていないか診断します。SNSトピックへのパブリックアクセスは、悪意のある第三者が過剰な量の通知を送信したり、悪意ある第三者によってSNSトピックに送信された情報が窃取されたりとSNSサービスの悪用につながる可能性があります。 |
---|
パブリックアクセス可能なSQSキュー | SQSキューにおいて、パブリックアクセスが許可されていないか診断します。SQSキューへのパブリックアクセスは、悪意のある第三者によってキューへのメッセージ送受信や削除が可能なため、キューメッセージの内容によっては情報漏洩につながる可能性があります。 |
---|
CloudTrailにおいてログファイルの検証設定がされていない問題 | CloudTrailにおいてログファイルの検証設定がされているか診断します。AWSアカウントが、悪意のある第三者により侵害され、ログの改竄や削除が行われた場合、影響範囲の調査が困難となる可能性があります。 |
---|
管理者用のユーザープールにおいて自己サインアップが可能になっている問題 | 管理者用の Cognito ユーザープールにおいて自己サインアップが可能か診断します。脆弱性がある場合、Cognito ユーザープールに対して直接リクエストを発行することにより管理者ユーザーを作成することが可能です。不正に管理者ユーザーを作成された場合、管理者用の API が不正に利用される可能性があります。 |
---|---|
Cognitoにおけるユーザー存在エラーによる情報漏洩 | Cognitoのエラーメッセージの内容から登録されているメールアドレス(ログインID)を推測できないか診断します。Cognitoのエラーメッセージの内容から実在するログインIDを推測されることで、ブルートフォース攻撃の試行が容易になる可能性があります。 |
Cognitoユーザープールのアプリクライアントにおいて、複数のカスタム属性が変更可能である問題 | Cognitoユーザープールにおいて、カスタム属性が書き換え可能になっていないか診断します。攻撃者によってこれらの値を操作された場合、アプリケーションにおいて予期せぬ動作を引き起こす可能性があります。 |
Cognitoユーザープールにおけるパスワードポリシーに関する問題 | Cognitoユーザープールでパスワードポリシーが適切に設定されているか診断します。 |
CognitoのIDプールに関するIAMロールにおいて権限昇格可能なIAMロールが関連づけられている問題 | Cognitoユーザープールに関連するIAMロールにおいて、権限昇格が可能な強い権限が設定されていないか診断します。Cognitoユーザープールに対してAdminAddUserToGroupやAdminCreateUserなどの権限を持つIAMユーザー/ロールを作成した場合、そのIAMユーザー/ロールから権限昇格が行われる可能性があります。 |
EC2インスタンスがSystems Manager Patch Managerで管理されていない問題 | EC2 インスタンスが Systems Manager Patch Managerで管理されているか診断します。Systems Manager Patch Managerで EC2 インスタンスが管理されていない場合、適切にパッチが適用されなかったり、ポリシー違反を検出できなかったりする可能性があります。 |
---|
OpenSearchドメインがパブリックである問題 | OpenSearchの管理サービスにおいて、インターネット経由でパスワードによる認証が有効であるか診断します。パスワード認証が有効な場合、ブルートフォース攻撃が可能であるため、設定しているアカウント ID、パスワードの内容によっては、インターネット経由で第三者の不正なアクセスを許してしまう可能性があります。 |
---|---|
OpenSearchにおいて脆弱なパスワードが利用されている問題 | OpenSearchにおいて、推測可能なパスワードが利用されていないか診断します。パスワードに対する推測や辞書攻撃により、短時間でOpenSearchの管理パスワードが判明する可能性があります。 |
AWS WAFにおけるWeb ACLsのルール不備 | Web ACLに設定されているルールが適切に機能しているか診断します。 |
---|
Redshiftクラスターがパブリックアクセス可能になっている問題 | Redshift クラスターがパブリックアクセス可能になっていないか診断します。パブリックアクセスが有効になっている場合、インターネットから直接 Redshift クラスターにアクセスすることが可能です。 |
---|
発見された脆弱性をクライアント企業にて迅速に修正できるよう、具体的な内容・再現方法・リスク・対策方法をご報告します。詳しくは、診断レポートのサンプルをご請求ください。
対応内容・期間などにより変動いたします。詳細なお見積もりについてはお気軽にお問い合わせください。
Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。
疑問点やお見積もり依頼はこちらから
お見積もり・お問い合わせセキュリティ診断の結果や行うべき対策がわかる
診断レポート・資料請求私たちと一緒に、
脆弱性のない世界を創っていきませんか