パブリッククラウド向け脆弱性診断 -SQAT® for Cloud-

パブリッククラウド向け脆弱性診断

今までできなかったクラウド上のシステムに、オンサイトと同等のセキュリティ診断を提供します。

クラウドの利用率は今や全業種の約6割となっています。しかし、一方でクラウドサービスのセキュリティに不安を覚えている人も少なくありません。

【国内におけるクラウドサービス利用状況】
出典:総務省「平成30年通信利用動向調査の結果(令和元年5月31日公表)

BBSecが提供するマルチクラウド向け脆弱性診断サービスは、パブリッククラウド上に構築されたシステムへ、プライベートネットワーク経由で接続し、「内部」からセキュリティ診断を行います。
通常の脆弱性診断に加え、管理ルールの不備や権限設定ミスなど、情報漏洩や内部統制強化の観点からも診断します。


内部の悪意あるユーザによる攻撃やバックドア(不正な内部ネットワークへの侵入口)を仕掛けられていないか確認するためには内部からの診断が必要となります。


リモート診断とクラウド診断の比較(AWSの場合)

クラウド診断はリモート診断に加え、クラウドならではの診断項目が存在します。主な手法と項目の比較は以下の通りです。

手法診断概要主な検出項目
リモート診断インターネット経由で公開セグメント上のサーバに対する脆弱性、ネットワークACLやセキュリティグループ等のアクセス制限(ルール設定)の主な適切性を確認します 。 • 不要なポートのオープン
• 外部から取得可能なWebサーバなどの製品名
• バージョンから判別できる既知の脆弱性
• メール不正中継に悪用される危険性
クラウド診断Direct Connect経由でネットワークACLによるアクセス制御がない状態で、EC2単体のOSやミドルウェアの脆弱性を診断します。データベースのアカウントをご提示いただければ、データベースの設定不備なども確認可能です。 上記に加え、
• EC2上のOSやミドルウェアのパッチ未適用や設定ミス
• SSHサービスなどのバージョンに依存する脆弱性

プライベートアドレス経由で『内部』からセキュリティ診断するメリット

  • グローバルIPアドレスが固定できない環境でもセキュリティ診断できます。
  • クラウドサービス上に構築したシステムにオンサイト診断と同等のセキュリティ診断が可能です。
  • ファイアウォールなどのアクセス制御がない状態でサーバ単体の脆弱性を確認できます。
  • 設定ミス、パッチの未適用をついた内部ネットワークからの攻撃につながる脆弱性を発見することができます。
  • データベースサーバへのネットワーク接続、アクセス権限など内部関係者による情報漏洩や内部統制強化の観点から診断可能です。

価格

個別お見積りとなります。診断対象となるIP等の数等に応じて費用が変わりますので、お客様のご要件をヒアリングし、お見積りいたします。下記のお問い合わせボタンよりお気軽にお問い合わせください。

FAQ

クラウドセキュリティについてよくあるご質問(FAQ)はこちら。詳しいご案内は、下記のお問い合わせボタンよりお気軽にお申し付けください。

関連サービス

関連情報