クラウド診断は「クラウドサービス」の設定状況をセキュリティの観点からチェックする診断です。 クラウド診断では AWSのようなPaaS、Google Workspaceのようなオフィススイート、Salesfoceのような社内情報システムまで様々なクラウドサービスが対象となります。 これらに対してCIS等の基準や製品毎のベストプラクティスに基づき、認証やロギング、アクセス制御や暗号化等の観点でセキュリティ設定をレビューします。
近年は顧客管理システムや経理システム、メールや文書等の社内情報システムなど、あらゆる機能がクラウド化されています。 クラウド化は便利な技術ではありますが、一方でオンプレミスで物理的に保護されていたセキュリティを適切に設定する必要が生じます。
例えば、オンプレミスであればデータセンターの入館申請やサーバラックの物理的な鍵等のセキュリティがありますが、クラウドでは適切な認証と権限制御を行う必要があります。また、クラウド基盤の機能強化は非常に活発に行われており、利用可能な機能や設定項目が日々追加・更新されます。
このように変化スピードが早いため、それを管理する技術者にも相応の知識が求められます。 セキュアにクラウド製品を設定するには、このようなクラウド製品の知識やスキルに加えてセキュリティに関する知識も必要となることも、問題を難しくしている一因と言えます。
クラウドの設定ミスで生じる問題は扱う機能や情報資産に応じて多岐にわたります。 代表的な例としては以下のようなものが挙げられます。
二要素認証やアクセス元制限などを行わない事でインターネットから不正ログインされ、情報漏洩や不正操作に繋がります。
Amazon S3等のストレージの権限設定に不備があると、情報漏洩に繋がります。
アクセス履歴や設定変更などの履歴を適切に保存しない場合、インシデント時等の調査が困難になります。
Webアプリケーションをリリースする際にはWebアプリケーション診断に認証や権限制御の脆弱性がないかを検査します。 しかし、上にあげたようなクラウドの設定ミスによって生じる問題は「アプリケーションの外」で発生するため、一般的には既存の脆弱性診断では検出できません。 このため、Webアプリケーションやプラットフォームに脆弱性診断を行っている場合でも、クラウド診断が必要になります。
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
