サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 技術・仕組み クラウド診断がなぜ必要なのか

クラウド診断がなぜ必要なのか

クラウド診断がなぜ必要?
目次
  • クラウド診断とは
  • クラウドの設定がセキュリティ上の問題になる背景
  • クラウドの設定ミスで生じる現象
  • 既存の脆弱性診断で問題検出できない理由

クラウド診断とは

クラウド診断は「クラウドサービス」の設定状況をセキュリティの観点からチェックする診断です。 クラウド診断では AWSのようなPaaS、Google Workspaceのようなオフィススイート、Salesfoceのような社内情報システムまで様々なクラウドサービスが対象となります。 これらに対してCIS等の基準や製品毎のベストプラクティスに基づき、認証やロギング、アクセス制御や暗号化等の観点でセキュリティ設定をレビューします。

クラウドの設定がセキュリティ上の問題になる背景

近年は顧客管理システムや経理システム、メールや文書等の社内情報システムなど、あらゆる機能がクラウド化されています。 クラウド化は便利な技術ではありますが、一方でオンプレミスで物理的に保護されていたセキュリティを適切に設定する必要が生じます。

例えば、オンプレミスであればデータセンターの入館申請やサーバラックの物理的な鍵等のセキュリティがありますが、クラウドでは適切な認証と権限制御を行う必要があります。また、クラウド基盤の機能強化は非常に活発に行われており、利用可能な機能や設定項目が日々追加・更新されます。

このように変化スピードが早いため、それを管理する技術者にも相応の知識が求められます。 セキュアにクラウド製品を設定するには、このようなクラウド製品の知識やスキルに加えてセキュリティに関する知識も必要となることも、問題を難しくしている一因と言えます。

クラウドの設定ミスで生じる現象

クラウドの設定ミスで生じる問題は扱う機能や情報資産に応じて多岐にわたります。 代表的な例としては以下のようなものが挙げられます。

不十分な認証による不正ログイン

二要素認証やアクセス元制限などを行わない事でインターネットから不正ログインされ、情報漏洩や不正操作に繋がります。

ストレージのアクセス制御不備による情報漏洩

Amazon S3等のストレージの権限設定に不備があると、情報漏洩に繋がります。

ロギング不備による問題調査の困難

アクセス履歴や設定変更などの履歴を適切に保存しない場合、インシデント時等の調査が困難になります。

既存の脆弱性診断で問題検出できない理由

Webアプリケーションをリリースする際にはWebアプリケーション診断に認証や権限制御の脆弱性がないかを検査します。 しかし、上にあげたようなクラウドの設定ミスによって生じる問題は「アプリケーションの外」で発生するため、一般的には既存の脆弱性診断では検出できません。 このため、Webアプリケーションやプラットフォームに脆弱性診断を行っている場合でも、クラウド診断が必要になります。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 中村 丈洋

形式手法および高信頼ソフトウェアの研究に従事、博士号を取得。 2013年より株式会社SHIFTにてソフトウェアテスト支援ツール開発および非機能テストに従事。 SHIFT SECURITY の設立に携わる。同社では脆弱性診断手法とツール開発、およびセキュリティコンサルティング業務に従事。 2018年よりSHIFT SECURITY 執行役員に就任。 現在に至る。

\ 記事をシェアする /

サービスに関する
お問い合わせ