プラットフォーム診断
クラウド診断
クラウド診断
本診断では、クラウド環境におけるセキュリティ上の設定不備を各種セキュリティガイドラインや監査基準から診断します。
AWS、Azureなどクラウドサービスの設定不備によるインシデントが増加しています。簡易なパスワードを設定してしまうなど、構築中に検討されなかった設定不備により重篤なインシデントへ繋がるケースが見つかっています。
アプリケーションやプラットフォームのみでなくクラウドサービス自体の設定をチェックすることで、より堅牢なサービス運用を可能とします。
診断対象と監査基準
Amazon Web Services
- AWS Best Practice Audit - CIS Amazon Web Services Foundations Benchmark version 1.3.0
Microsoft Azure
- TNS Microsoft Azure Websites Best Practices Audit - Azure Security Benchmark (V2)
※ Google Cloud Platform, Office365, SalesForce など、その他クラウドサービスにおける診断は別途ご相談ください
診断手法
- 対象クラウドサービスにログイン
- ツール及び手動による診断
- 診断員による手動で検出結果の精査とエビデンス収集
診断項目 - AWS
| 診断項目 | 概要 |
|---|---|
| データ保護 | データの機密性を保持しながら整合性と可用性を維持するために、データの暗号化、及び通信の暗号化等が適切に管理されていることを確認します。 |
| アイデンティティ管理 | 許可及び認証されたユーザのみが、意図した方法でのみクラウド上のリソースにアクセスできるように、適切に管理されていることを確認します。 |
| 事業継続性 | 冗長性と耐障害性を確保するように適切にリソースのバックアップ及び配置が適切に管理されていることを確認します。 |
| イベント監視 | DDoS 攻撃や不審なアクセスなどのセキュリティイベントを即座に検知・通知するようにモニタリング及びロギングが適切に管理されていることを確認します。 |
| 監査とロギング | アカウントのアクティビティ、イベント履歴、リソースへのアクセス及び変更履歴を記録し、追跡性を達成できるように適切に管理されていることを確認します。 |
| ネットワーク | ネットワークのアクセスコントロールリスト(以後、ACL)が適切に管理され、ネットワークリソースの設定変更が適切に監視されていることを確認します。 |
| データ保護 | データの機密性を保持しながら整合性と可用性を維持するために、データの暗号化、及び通信の暗号化等が適切に管理されていることを確認します。 |
診断項目 - Azure
| 診断項目 | 概要 |
|---|---|
| ネットワークセキュリティ | 仮想ネットワークのセキュリティ保護、プライベート接続の確立、外部からの攻撃の防止と軽減、DNSの保護など、Azure ネットワークをセキュリティで保護するためのコントロールを対象とします。 |
| ID 管理 | シングルサインオンの使用、強力な認証、アプリケーションのマネージド ID (及びサービスプリンシパル)、条件付きアクセス、アカウント異常監視など、Azure AD を使用してセキュリティで保護された ID とアクセス制御を確立するためのコントロールを対象とします。 |
| 特権アクセス | 管理モデル、管理アカウント、特権アクセス ワークステーションを意図的なリスクと偶発的なリスクから保護するためのさまざまなコントロールなど、Azure テナント及びリソースへの特権アクセスを保護するためのコントロールを対象とします。 |
| データ保護 | アクセス制御、暗号化、及びログ記録を使用した機密データ資産の検出、分類、保護、監視など、保存時、転送中、及び承認されたアクセス メカニズムを介したデータ保護のコントロールを対象とします。 |
| アセット管理 | セキュリティ担当者に対するアクセス許可、資産インベントリへのセキュリティアクセス、サービスとリソース (在庫、追跡、及び修正) の承認の管理に関する推奨事項など、Azureリソースに対するセキュリティの可視性とガバナンスを確保するためのコントロールを対象とします。 |
| ログと脅威検出 | ログと脅威検出では、Azure での脅威の検出や Azure サービスの監査ログの有効化、収集、及び格納を行うコントロールを対象とします。 |
| インシデント対応 | インシデント対応では、Azure Security Center や Sentinel などの Azure サービスを使用してインシデント対応プロセスを自動化するなど、インシデント対応のライフ サイクル (準備、検出と分析、インシデント発生後のアクティビティ) におけるコントロールを対象とします。 |
| 体制と脆弱性の管理 | 脆弱性のスキャン、侵入テスト、修復、Azure リソースでのセキュリティ構成の追跡、レポート、修正など、Azure のセキュリティ体制を評価し改善するためのコントロールを対象とします。 |
| エンドポイントセキュリティ | Azure 環境でのエンドポイントに対するエンドポイントの検出と応答 (EDR) 及びマルウェア対策サービスの使用など、エンドポイントの検出及び応答でのコントロールを対象とします。 |
| バックアップと回復 | データと構成のバックアップがさまざまなサービスレベルで確実に実行、検証、保護するコントロールを対象とします。 |
