セキュリティ診断/セキュリティレビュークラウド設定レビューついて
弊社は、クラウド環境に特化した設定レビューサービスを提供しています。
クラウド環境のセキュリティ設定を評価し、潜在的なセキュリティリスクを特定し、改善策を提案することを目的としています。
現在では、設定不備を要因とした、意図しない外部からのアクセスによって顧客情報の漏えいを招いた事例が数多く報告されています。
報告される事例では、ユーザー側の設定によって事前に防ぐことができる事例が多くありました。
クラウドサービスにおける責任共有モデルにおいては、アクセス権限を設定する機能を提供することが「クラウド事業者側の責任」であり、その機能を正しく設定することは「ユーザー側の責任」であるため、利用するサービスの機能追加や仕様変更などはユーザー側で適宜把握する必要があります。
クラウド設定レビューサービスによって、お客様のオンラインデータや情報を守り、ハッキングやデータ漏えいなどのセキュリティリスクを最小限に抑えます。
ご提供サービス
- AWS設定レビュー
AWS(Amazon Web Services)を使用している組織向けに、AWSインフラストラクチャのセキュリティ設定やベストプラクティスの確認を行います。
- Azure設定レビュー
Microsoft Azureを活用している組織向けに、Azureクラウド環境のセキュリティ設定を評価します。
- GCP設定レビュー
Google Cloud Platform(GCP)を利用している組織向けに、GCP環境のセキュリティ設定を点検します。
- M365設定レビュー
Microsoft 365(M365)を導入している組織向けに、M365のセキュリティ設定と構成を検証します。
- Salesforce設定レビュー
Salesforceを使用している組織向けに、Salesforceのセキュリティ設定を評価します。
各クラウド設定レビューについて
AWS設定レビュー
Amazon Web Services(AWS)を使用している組織向けに、AWSインフラストラクチャのセキュリティ設定やベストプラクティスの確認を行います。AWSのセキュリティポリシー、アクセスコントロール、ネットワーク構成、データ保護などに焦点を当て、セキュリティの脆弱性を特定し、対策を提案します。
Azure設定レビュー
Microsoft Azureを使用している組織向けにAzureの管理画面から設定状況を調査し、安全性について弊社エンジニアが評価を行うサービスです。改修内容・改修方法を分かりやすくレポートに記載しておりますので、レポートを基に設定を修正いただくことで、Azure環境をよりセキュアにすることが可能です。
GCP設定レビュー
Google Cloud Platform(GCP)を使用している組織向けにGCPの管理画面から設定状況を調査し、安全性について弊社エンジニアが評価を行うサービスです。改修内容・改修方法を分かりやすくレポートに記載しておりますので、レポートを基に設定を修正いただくことで、GCP環境をよりセキュアにすることが可能です。
M365設定レビュー
Microsoft 365(M365)を使用している組織向けにM365の管理画面から設定状況を調査し、安全性について弊社エンジニアが評価を行うサービスです。改修内容・改修方法を分かりやすくレポートに記載しておりますので、レポートを基に設定を修正いただくことで、M365環境をよりセキュアにすることが可能です。
Salesforce設定レビュー
Salesforceを使用している組織向けにSalesforceの管理画面から設定状況を調査し、安全性について弊社エンジニアが評価を行うサービスです。改修内容・改修方法を分かりやすくレポートに記載しておりますので、レポートを基に設定を修正いただくことで、Salesforce環境をよりセキュアにすることが可能です。
AWS設定レビューとは?
AWS設定レビューはAWSの管理画面からお客様の設定状況を調査し、安全性について弊社エンジニアが評価を行うサービスです。
CIS Benchmarks(CIS Amazon Web Services Foundations Benchmark)に基づき、貴社利用AWSの管理画面から各種設定状況を確認し、安全性を評価いたします。
改修内容・改修方法を分かりやすくレポートに記載しておりますので、レポートを基に設定を修正いただくことで、AWS環境をよりセキュアにすることが可能です。
AWS設定ミスによる脆弱性は、さまざまな形で発生する可能性があります。
過去には、AWSの設定を誤ったことでAWS環境から個人情報が流出した事例が報告されています。
また、AWSへのログインに用いる認証情報が漏えいした場合、第三者が不正にAWSアカウントに侵入し、データを盗むおそれやアカウント全体が侵害されるリスクがあります。
そこで、弊社では、以下のような観点に焦点を当てます。
実施内容
調査項目 | 調査内容 |
---|---|
AWS基本設定について | セキュリティの通知に関する設定の検証 |
IAMについて | IAMユーザーの保護や権限、運⽤に関する設定の検証 アクセス分析に関する設定の検証 |
AWSリソースについて | アクセス権限に関する設定の検証 暗号化に関する設定の検証ログに関する設定の検証 |
ネットワークについて | アクセス制限に関する設定の検証 SSL/TLS通信に関する設定の検証 ヘルスチェックに関する設定の検証 冗⻑化に関する設定の検証 |
その他 | 監査に関する設定の検証 設定状況のモニタリングに関する設定の検証 鍵の運⽤に関する設定の検証 |
診断プランについて
Level1プラン
CIS Benchmarks Level1に対応
CIS BenchmarksのLevel1を参照し、基本的なセキュリティの設定がセキュアかどうかを診断します。
設定時にサービスの中断や機能の低下を必要とせずに、アタックサーフェスを減らすことができる基本のセキュリティ項目について確認します。
プラン選定基準の例
- AWSを利用している全てのユーザー
Level2プラン
CIS Benchmarks Level2に対応
CIS
BenchmarksのLevel2を参照し、Level1よりも高度にセキュリティの設定がセキュアかどうかを診断します。適切に実装されていない場合や十分な注意を払わない場合、組織に悪影響を与える可能性がある項目について確認いたします。
プラン選定基準の例
-
パフォーマンスよりもセキュアであることを望むユーザー
※個人情報や決済情報等、重要な情報を扱うユーザー向け
AWS設定レビューについて
弊社の営業スタッフが丁寧にお客様の課題をヒアリングさせていただき、
必要な診断項目などをご提示いたします。
Azure設定レビューとは?
Azure設定レビューは、組織がMicrosoft
Azureクラウドサービスを適切にセキュリティ設定し、セキュリティリスクを最小限に抑えることを目的としています。
Azureは多くのセキュリティ機能を提供していますが、それらの機能を正しく設定・管理することが重要です。
例えば、ストレージアカウントが誤ってパブリックに設定されている場合、不正アクセス者がデータにアクセスできる可能性があります。
これにより、機密情報や個人情報が流出するリスクが高まります。
Azure設定レビューは、以下のセキュリティおよびコンプライアンスの側面に焦点を当てます。
実施内容
調査項目 | 調査内容 |
---|---|
IDおよびアクセス管理について | ユーザーの認証に関する設定の検証 ユーザーの権限に関する設定の検証 アクセス制限に関する設定の検証 |
Microsoft Defenderについて | Microsoft Defender for Cloudに関する設定の検証 Microsoft Defender for IoTに関する設定の検証 アラート通知に関する設定の検証 |
ストレージアカウントについて | データ転送に関する設定の検証 データ暗号化に関する設定の検証 アクセスキーに関する設定の検証 アクセス制限に関する設定の検証 ロギングに関する設定の検証 |
データベースサービスについて | Microsoft Defender for SQLに関する設定の検証 データ暗号化に関する設定の検証 Azure SQL Databaseに関する設定の検証 SQL Serverに関する設定の検証 Azure Database for PostgreSQLに関する設定の検証 Azure Database for MySQLに関する設定の検証 Azure Cosmos DBに関する設定の検証 |
ロギングとモニタリングについて | 診断設定に関する設定の検証 アクティビティログアラートに関する設定の検証 Application Insightsに関する設定の検証 Azure Monitorに関する設定の検証 |
ネットワーキングについて | RDPアクセスに関する設定の検証 SSHアクセスに関する設定の検証 UDPアクセスに関する設定の検証 HTTP(S)アクセスに関する設定の検証 ログ保存期間に関する設定の検証 Azure Network Watcherに関する設定の検証 パブリックIPアドレスに関する設定の検証 |
仮想マシンについて | ディスク暗号化に関する設定の検証 拡張機能に関する設定の検証 エンドポイント保護に関する設定の検証 |
キーコンテナーについて | キーの有効期限に関する設定の検証 キーの保護に関する設定の検証 アクセス制限に関する設定の検証 キーのローテーションに関する設定の検証 |
App Serviceについて | App Service認証に関する設定の検証 HTTPS通信に関する設定の検証 クライアント証明書に関する設定の検証 ソフトウェアバージョンの検証 FTPに関する設定の検証 シークレットキーの保存に関する設定の検証 |
Azure設定レビューについて
弊社の営業スタッフが丁寧にお客様の課題をヒアリングさせていただき、
必要な診断項目などをご提示いたします。
GCP設定レビューとは?
GCP設定レビューは、Google Cloud
Platform(GCP)環境のセキュリティ設定を評価し、潜在的なセキュリティリスクを特定し、改善策を提案することを目的としています。
GCPは多くのセキュリティ機能を提供していますが、それらを正しく設定・管理することが重要です。
GCP設定の誤りや不適切な設定は、さまざまなセキュリティ脆弱性を引き起こす可能性があります。
例えば、GCP Cloud
Storageバケットが誤ってパブリックに設定されている場合、不正アクセス者がデータにアクセスできる可能性があります。これにより、機密情報や個人情報が流出するリスクが高まります。
弊社では、以下のような側面に焦点を当てます。
実施内容
診断項目 | 調査概要 |
---|---|
アクセスコントロールの評価 | GCP IAMロールとポリシーの設定が適切に構成されているかどうかを確認します。アクセス制御の誤りはセキュリティリスクを高めます。 |
ネットワークセキュリティの検証 | GCP VPC、サブネット、ネットワークファイアウォールなどのネットワークセキュリティ設定が適切に保護されているかを確認します。 |
データ保護の確認 | データの暗号化、GCP Cloud Storageバケットのアクセス制御、データベースのセキュリティ設定など、データの機密性と保護が適切に行われているかを評価します。 |
インシデントの検出と対応 | セキュリティイベントの検出、Cloud MonitoringやCloud Loggingの設定、監査ログの収集など、インシデントの早期検出と対応が可能かを評価します。 |
コンプライアンスとベストプラクティスの適用 | GCPのセキュリティポリシーとコンプライアンス基準に従った設定が実施されているかをチェックします。 |
GCP設定レビューについて
弊社の営業スタッフが丁寧にお客様の課題をヒアリングさせていただき、
必要な診断項目などをご提示いたします。
M365設定レビューとは?
Microsoft 365(M365)環境のセキュリティ設定を評価し、潜在的なセキュリティリスクを特定し、改善策を提案することを目的としています。
M365は多くのセキュリティ機能を提供していますが、それらを正しく設定・管理することが重要です。
M365設定の誤りや不適切な設定は、さまざまなセキュリティ脆弱性を引き起こす可能性があります。
例えば、M365のメール設定が不適切に構成されている場合、スパムメールやフィッシング詐欺などの不正なメールが送信される可能性があります。
また、M365の外部共有設定が誤って設定されている場合、不正なユーザーが外部からアクセスできる可能性があります。これにより、機密情報が漏えいするリスクが高まります。
弊社では、以下のような側面に焦点を当てます。
実施内容
診断項目 | 調査概要 |
---|---|
ユーザーアクセス設定の評価 | M365ユーザーアカウントのアクセス設定が適切に構成されているかどうかを確認します。アクセス制御の誤りはセキュリティリスクを高めます。 |
メールセキュリティの検証 | メールフィルタリング、スパムフィルター、メール送信ポリシーなどのメールセキュリティ設定が適切に保護されているかを確認します。 |
セキュリティポリシーの確認 | M365セキュリティポリシーの設定が適切かどうかを確認し、データ保護とセキュリティの実施状況を評価します。 |
外部共有と外部アクセスの評価 | M365の外部共有設定や外部アクセス設定が適切に構成されているかを確認します。 |
コンプライアンスとベストプラクティスの適用 | M365のセキュリティポリシーとコンプライアンス基準に従った設定が実施されているかをチェックします。 |
M365設定レビューについて
弊社の営業スタッフが丁寧にお客様の課題をヒアリングさせていただき、
必要な診断項目などをご提示いたします。
Salesforce設定レビューとは?
Salesforceの設定不備を要因として、意図しない外部からのアクセスによって顧客情報の漏えいを招いた事例が多数報道されました。
Salesforceでの情報漏えいの原因はゼロデイ(未知の脆弱性)やプラットフォーム固有の脆弱性に起因するものではなく、
ユーザ側のアクセス制御の権限設定が適切に行われていない場合に発生する可能性があると報告しています。
これは、Salesforceの管理ユーザーが仕様の変更内容を正しく理解しないまま利用していたため、 設定の不備に気づくことができなかったと推測されます。
実施内容
診断項目 | 調査概要 |
---|---|
公開サイト機能の利⽤ | 公開サイト機能の利⽤の有無を確認します。 |
共有設定の確認 | 共有設定を適切に⾏っているか確認します。 |
プロファイルの確認 | プロファイル設定を適切に⾏っているか確認します。 |
リリース更新の確認 | リリース更新対応を⾏っているか確認します。 |
パスワードポリシーの確認 | パスワードポリシー設定を適切に⾏っているか確認します。 |
セッション設定の確認 | セッション設定を適切に⾏っているか確認します。 |
多要素認証(MFA)の確認 | 多要素認証設定を適切に⾏っているか確認します。 |
サイトの詳細設定の確認 | 公開サイト機能を利⽤している場合、サイトの詳細設定を適切に⾏っているか確認します。 |
ゲストユーザプロファイルの確認 | 公開サイト機能を利⽤している場合、ゲストユーザのプロファイル設定を適切に⾏っているか確認します。 |
ゲストユーザ権限セットの確認 | 公開サイト機能を利⽤している場合、ゲストユーザの権限セット設定を適切に⾏っているか確認します。 |
Aura APIによる情報漏えい | 公開サイト機能を利⽤している場合、Aura APIによる情報漏えいが起きていないか確認します。 |
Salesforce設定レビューについて
弊社の営業スタッフが丁寧にお客様の課題をヒアリングさせていただき、
必要な診断項目などをご提示いたします。
弊社のクラウド設定レビューはこんな方におすすめです
- クラウドの設定に不備がないか不安
- どこから手を付けて良いか分からない
- 現在のクラウドにおける設定についてリスクの大きさを把握したい
- クラウドの利用におけるセキュリティ対策を把握し、社内ルールを作成したい
- セキュリティの専門知識が不足している
- クラウドの設定レビューを行ったことがない
- セキュリティを保護するために、定期的な脆弱性診断を行いたい
- 他社で診断を行ったが具体的なアドバイスが得られなかった
- セキュリティ診断には興味があるが、予算が確保できるかわからない
ご安心ください。
弊社の営業スタッフが丁寧にお客様の課題をヒアリング
させていただき、
必要な診断項目などをご提示いたします。
CIS Benchmarksとは?(※1)
米国のインターネット・セキュリティ標準化団体(CIS)が推奨する、セキュリティに関するベストプラクティス集です。
CIS Benchmarksはセキュリティの専門家や対象分野の専門家によって開発され、政府、企業、研究機関、学術機関など多くの組織に認識されている、世界的にも認められたセキュリティ基準です。