【サービス紹介】クラウド診断日々更新・機能追加されるクラウド環境のセキュリティリスクを定期的に可視化

急速に普及し、導入が進んでいるクラウド環境。一方で、考慮すべきセキュリティリスクの範囲も日々変化・拡大しています。

今回は、当社へのご依頼が増えているクラウド診断についてご紹介。クラウドのセキュリティ監視との違いも合わせてお届けします。

クラウド診断とは

クラウド診断とは、お客様が利用するクラウド環境の設定に脆弱性がないかを確認するサービスです。主にIaaSを対象としており、AWS、Azure、GCP等について診断しています。

IaaS以外にも、Oracle Cloud (OCI)、M365、SalesforceといったPaaSやSaaSの診断実績もあり、幅広い対象に対して診断サービスを提供しています。

Webアプリケーション診断とは異なり、攻撃的なパケットを送信したり、改ざんを行ったりすることはないという特徴があります。あくまでも、クラウド上の「設定値」を確認することに特化し、運用していく上でのスタートラインが間違っていないかを確認するイメージです。

クラウドの機能は日々更新・追加され、セキュリティリスクを考慮すべき範囲が広がっているため、安全性を保つためにはセキュリティのプロが定期的に診断を行っていく必要があります。

当社では、お客様のクラウド体制の可視化と評価を実施しています。

発見された脆弱性は、各種製品のベストプラクティスに基づく設定集である「CISベンチマーク」に基づいた評価基準と照らし合わせて、客観的で定量的なリスク評価を行った上でお客様に報告します。

定期的にクラウド診断を行うことで、大きく2つの効果が得られます。

診断を行うことで、ネットワークの依存関係やアカウントの利用状況・権限を可視化できます。

具体的には、下記のような形でお役立ていただけます。

診断により現状を可視化・把握することで、規定したコンプライアンスに準拠しているかどうかも明確になります。

日々の運用の中で設定の変更が行われたり、新機能が追加されたりすることでセキュリティリスクにも変化が起き得るため、定期的な診断が推奨されています。

当社では、クラウドに関するセキュリティサービスとして、脆弱性診断とセキュリティ監視を提供しています。

お客様の利用目的、スピード感、予算等のご要望に合わせて適切なサービスをご提案しています。

クラウド診断は、早期に納品できる短納期と低コストで実施できる点が大きなメリットです。診断開始から報告書までの納期が早い当社の強みを活かし、お客様へ迅速にサービスを提供します。

一方、セキュリティ監視は24時間365日アラートに即時対応しているため、継続的な運用の面で高い効果が期待できます。

	クラウド診断	クラウド監視
性質	スポットでの診断	継続的な監視
機能	診断を実施した時点での設定上の脆弱性の有無を診断	設定変更やリソース追加などに伴う設定上の脆弱性を随時アラートで警告
対応	定期的な見直し（例：1年～2年に1回）	スピード感を持った即時対応
おすすめのお客様	クラウドの利用が少ない、または予算を抑えたい場合	機密情報を多く扱う、またはクラウドのセキュリティ対策を重点的に行いたい場合

当社では、国際的な基準に基づいたセキュリティのベストプラクティスが書かれたCISベンチマークを診断基準として用いています。

クラウドは進化し続けている領域であり、その基準であるCISベンチマークは約1年に1回程度の頻度で更新されています。これは、アプリケーション診断に用いられるASVSが約4年に1回の更新であるのに比べ、かなり頻度が高いのが特徴です。

この頻繁な基準更新に対応しつつ、品質を一定に保つために、当社の強みである標準化に力を入れています。

当社では、診断の観点やプロセスを標準化することで、日々進化・拡大しているセキュリティリスクや最新の知見を取り入れながら、高い品質を保ちサービスを提供しています。

また、標準化によりサービス提供体制の拡充・効率化にも成功。低価格・短納期で診断サービスを提供していることも、お客様から好評をいただいています。

SHIFT SECURITYでは、総合的なセキュリティサービスを提供しています。セキュリティに関するご相談、ご質問がございましたらお問い合わせフォームからお気軽にご相談ください。