脆弱性診断

HOME > サービス > 脆弱性診断 > AWSセキュリティ設定診断

AWSセキュリティ設定診断

AWSセキュリティ設定診断

AWSの設定ミスによるリスクをチェック。
安全なクラウド利用に効果を発揮します。

クラウド利用が加速するなか、高い信頼性とセキュリティが求められる金融機関も非勘定系システムをクラウドへ移行するなど、その利用率の高まりが注目されています。これと並行して、アマゾン ウェブ サービス(以下:AWS)をはじめとしたクラウド事業者側もセキュリティ関連のサービスを充実させており、自社サービスのFISC安全基準への準拠状況や基準を満たすための具体策を公開しています。

しかし、クラウドは、従来のオンプレミスと異なり、クラウド事業者の資産を“利用”するサービスであるために、認証情報等の管理不備による不正利用や設定ミスによる情報漏えいなどのインシデントが発生しています。

本AWSセキュリティ設定診断は、利便性が高いAWSを使う事業者を対象に、その設定が正しいか否かを、セキュリティの専門家目線でチェックするサービスです。無駄なコストを発生させないために、リソースの利用状況/設定内容が頻繁に変化するため、定期的なチェックを行い、安心してご利用いただくことをお勧めします。

クラウド利用で発生しているセキュリティリスク

クラウド利用をリスクにさらす設定ミスは主に下記の5つに分類されます。

脆弱性診断

セキュリティの
設定状況不明
  • ・そもそもセキュリティ設定自体、よくわからない

脆弱性診断

人的ミス
に関わる問題
  • ・操作により、非公開のはずの情報を公開
  • ・認証情報や暗号鍵の管理不備

脆弱性診断

アカウント/
権限管理
に関わる問題
  • ・アカウントを棚卸していない
  • ・必要以上の権限を社員に付与
  • ・二要素認証を有効にしていない

脆弱性診断

リソース管理
に関わる問題
  • ・Web開発者が、管理者に確認をせずにサーバを立ち上げ、公開
  • ・セキュリティ設定を有効にしていないサーバ/システムが存在

脆弱性診断

ポリシー/
コンプライアンス
に関わる問題
  • ・AWSにあるシステムが、社内ポリシーに準拠していない
  • ・HIPAA、GDPRなどのコンプライアンス準拠にコスト・工数が掛かる

診断対象範囲と他の脆弱性診断との違い

アプリケーションやOS/ミドルウェアに対して疑似攻撃を試行することで、独自開発部分の脆弱性を外部から診断する他のサービスと異なり、AWSセキュリティ設定診断では、AWSネイティブなツールを利用して、AWSが提供するシステムに対しお客様ご自身が行った設定が適切であるかを診断し、レポートいたします。

サービス内容

標準サービスに加えオプションサービスを準備し、お客様のニーズに対応します。

サービス 項目 診断概要 主な検出項目例
標準 セキュリティベンチマーク アーキテクチャに依存しない、AWSの基本設定が正しく行われているかを診断。
  • ・IAM(ID/アクセス管理)
  • ・ロギング
  • ・モニタリング
  • ・ネットワーキング
  • ・その他(S3バケット設定、EBS暗号化)
オプション セキュリティに関するAWSベストプラクティス適合診断 VPC/EIP/EC2/EBS/ELBのセキュリティ設定がベストプラクティスに適合しているか診断。
  • ・セキュリティグループ
  • ・ID/アクセス管理
  • ・S3バケットのアクセス許可
  • ・Route53 MX、SPFリソースレコードセット
  • ・CloudFront SSL証明書
プラットフォーム診断
  • ネットワーク診断:ネットワーク設定を分析してEC2インスタンスのセキュリティ上の脆弱性を診断。
  • ホスト診断:各種設定がポリシーに準拠しているか診断。
  • ・ネットワーク到達可能性
  • ・共通脆弱性識別子
  • ・セキュリティ設定ベンチマーク
  • ・セキュリティのベストプラクティス
  • ・実行時の動作分析

<レポートサンプル>

※アマゾン ウェブ サービスは、Amazon Web Services, Inc.が提供するクラウドコンピューティングサービスです。詳細は、こちらよりご参照ください。
※アマゾン ウェブ サービス、AWSは、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。

脆弱性診断に関するお問い合せはこちらから