クラウドセキュリティ診断
クラウドセキュリティ診断は、複雑でミスが起こりやすいクラウドサービスの設定における脆弱性を診断するものです。Microsoft365(旧Office365)と、3大クラウドであるAzure/AWS/GCPに対応、設定値を収集して「見える化」し、各種ガイドラインや専門家の知見から適切な設定値・運用をコンサルティングします。
クラウドセキュリティ診断は、複雑でミスが起こりやすいクラウドサービスの設定における脆弱性を診断するものです。Microsoft365(旧Office365)と、3大クラウドであるAzure/AWS/GCPに対応、設定値を収集して「見える化」し、各種ガイドラインや専門家の知見から適切な設定値・運用をコンサルティングします。
「オンプレからクラウドに変わるため、今までの管理手法が使えない」
「自社におけるサイバー犯罪のリスクがあまりわからない」
クラウド設定ミスはサイバー被害は4割
しかし、日々発生する機能追加や設定値変更などに追いつかず、設定ミスが原因となるサイバー被害は実に40%にのぼっています。
Microsoft365については、米国土安全保障省が設定に起因するリスクについて多くのレポートが公表され、注意を喚起しています。
クラウド設定ミスによる被害例
- 外部公開設定不備
- 不正侵入
- アカウント乗っ取り
- 会議への侵入/乗っ取り/録画 など
クラウドの設定は利用者側の責任
しかし、利用企業側で設定可能な範囲は、利用企業側の責任範囲になることを認識しておく必要があります。サイバー被害が発生する前に、現状の設定を把握しセキュリティのベースラインとなる設定値で運用することが必要です。
M365を利用している組織の多くは、全体的なセキュリティ体制を低下させる構成のまま利用しており、さらに、これらの組織の大多数では、専門のITセキュリティチームが存在していませんでした。これらのセキュリティの見落としが脆弱性となり、実被害に繋がっているという現状が垣間見えています。
- サイバー犯罪のリスクを知らない
- オンプレからクラウドに変わるため、今までの管理手法が使えない
- M365は機能が多くなり設定が複雑で、正しい設定が分からない
![](https://gsx-co-jp.s3.ap-northeast-1.amazonaws.com/services/incidentavoidance/cloud/cloud04.webp)
-
クラウド利用の設定状態を可視化
現状の設定値を自動収集して可視化します
-
設定が必要な項目・適切な設定値の把握
項目を正しく認識、ガイドラインなどを参考にした適切な設定値をコンサルティング
-
監査などの運用視点で継続的な安全性
監査など継続的にセキュアに運用する体制につながります
M365のセキュリティ診断サービス
-
AzureAD
MFA認証、認証方式、管理者マネジメント、パスワード管理/保護、アカウント情報保護など -
Sharepoint Online
認証方式、ATP(Advanced Threat Protection)設定、オンラインデータ分類ポリシーなど -
Exchange(Outlookメール、予定表、連絡先)
認証方式、ATP設定、メール添付フィルタリング、予定の外部共ポリシーなど -
Teams
外部共有ポリシー、DLP(Data Loss Preventation)ポリシーなど -
Skype for Business
認証方式、ATP設定、外部ドメイン接続ポリシーなど -
OneDrive
認証方式、ATP設定など - モバイルアクセス管理
-
WebApp全般(Web版Officeなど)
Cloud App Security設定 - 監査ポリシー設定
-
AzureAD
多要素やAD FS、ゲスト認証などについて整理
-
Eメールセキュリティ
SPFやDKIM、ATP設定など
-
データ
各種データに関する設定項目、分類付けや共有設定
コンプライアンスアーカイブ、保持タグなど -
モバイル
モバイル利用がある場合のMDM、ワイプ設定など
クラウドセキュリティ診断
複雑なクラウドサービスの現状設定を見える化し、安全な設定を実現します。
-
AWS
- セキュリティベンチマークのチェック(標準)
- セキュリティに関するAWSベストプラクティス適合診断(オプション)
- プラットフォーム診断(オプション)
-
Azure
- セキュリティのベンチマークのチェック:CIS、オリジナル(標準)
-
GCP
- セキュリティのベンチマークのチェック:CIS、オリジナル(標準)
診断対象 | サービス | 項目 | 診断概要 | 主な検出項目例 | 診断手法 | |
---|---|---|---|---|---|---|
AWS |
標準 |
セキュリティベンチマークのチェック |
アーキテクチャに依存しない、クラウドにおける基本的なセキュリティ設定が正しく行われているかを診断 |
ID/アクセス管理/ロギング/モニタリング/ネットワーキング など |
手動およびAWSネイティブなツール |
|
オプション |
セキュリティに関するAWSベストプラクティス適合診断 |
VPC/EIP/EC2/EBS/ELBのセキュリティ設定がベストプラクティスに適合しているか診断。 |
セキュリティグループ/ID/アクセス管理/S3バケットのアクセス許可/Route53 MX、SPFリソースレコードセット/CloudFront SSL証明書 など |
|||
プラットフォーム診断 |
ネットワーク診断 |
ネットワーク設定を分析してEC2インスタンスのセキュリティ上の脆弱性を診断。 |
ネットワーク到達可能性 |
|||
ホスト診断 |
各種設定がポリシーに準拠しているか診断。 |
共通脆弱性識別子/CISセキュリティ設定ベンチマーク/セキュリティのベストプラクティス/実行時の動作分析 など |
||||
Azure |
標準 |
セキュリティベンチマークのチェック |
アーキテクチャに依存しない、クラウドにおける基本的なセキュリティ設定が正しく行われているかを診断 |
ID/アクセス管理/ロギング/モニタリング/ネットワーキング/仮想マシン/ストレージ/データベース など |
手動および弊社独自ツール |
|
GCP |
標準 |
セキュリティベンチマークのチェック |
アーキテクチャに依存しない、クラウドにおける基本的なセキュリティ設定が正しく行われているかを診断 |
ID/アクセス管理/ロギング/モニタリング/ネットワーキング/仮想マシン /ストレージ/データベース など |
手動および弊社独自ツール |
![クラウドファースト時代の新たな課題 設定はクラウド事業者任せで大丈夫?誤解が生み出すセキュリティリスクの実態](https://gsx-co-jp.s3.ap-northeast-1.amazonaws.com/common/bannar/bnr_enterprise_special_bnr_20220217.webp)
![インシデント対応訓練サービス(2023年2月) ホワイトペーパー ダウンロード](https://gsx-co-jp.s3.ap-northeast-1.amazonaws.com/common/bannar/TTScswhitepaper_pc.webp)
![インシデント対応訓練サービス(2023年2月) ホワイトペーパー ダウンロード](https://gsx-co-jp.s3.ap-northeast-1.amazonaws.com/common/bannar/TTScswhitepaper_sp.webp)
![クラウドファースト時代の新たな課題 設定はクラウド事業者任せで大丈夫?誤解が生み出すセキュリティリスクの実態](https://gsx-co-jp.s3.ap-northeast-1.amazonaws.com/common/bannar/bnr_enterprise_special_bnr_20220217.webp)
![新たなサイバーリスク、クラウド設定不備 ~“鍵がかかっていない扉”の存在気づかせる「クラウドセキュリティ診断」](https://gsx-co-jp.s3.ap-northeast-1.amazonaws.com/common/bannar/bnr_itsolution_assessmentcloudsecurity_0329.webp)