今までできなかったクラウド上のシステムに、オンサイトと同等のセキュリティ診断を提供します。
クラウドの利用率は今や全業種の約7割となっています。しかし、一方でクラウドサービスのセキュリティに不安を覚えている人も少なくありません。
BBSecが提供するパブリッククラウド向け脆弱性診断サービスは、パブリッククラウド上に構築されたシステムへ、プライベートネットワーク経由で接続し、「内部」からセキュリティ診断を行います。通常の脆弱性診断に加え、管理ルールの不備や権限設定ミスなど、情報漏洩や内部統制強化の観点からも診断します。
内部の悪意あるユーザによる攻撃やバックドア(不正な内部ネットワークへの侵入口)を仕掛けられていないか確認するためには内部からの診断が必要となります。
リモート診断とクラウド診断の比較
クラウド診断はリモート診断に加え、クラウドならではの診断項目が存在します。主な手法と項目の比較は以下の通りです。
手法 | 診断概要 | 主な検出項目 |
リモート診断 | インターネット経由で公開セグメント上のサーバに対する脆弱性、ネットワークACLやセキュリティグループ等のアクセス制限(ルール設定)の主な適切性を確認します 。 | • 不要なポートのオープン • 外部から取得可能なWebサーバなどの製品名 • バージョンから判別できる既知の脆弱性 • メール不正中継に悪用される危険性 |
クラウド診断 | Direct Connect経由でネットワークACLによるアクセス制御がない状態で、EC2単体のOSやミドルウェアの脆弱性を診断します。データベースのアカウントをご提示いただければ、データベースの設定不備なども確認可能です。 | 上記に加え、 • EC2上のOSやミドルウェアのパッチ未適用や設定ミス • SSHサービスなどのバージョンに依存する脆弱性 |
プライベートアドレス経由で『内部』からセキュリティ診断するメリット
- グローバルIPアドレスが固定できない環境でもセキュリティ診断できます。
- クラウドサービス上に構築したシステムにオンサイト診断と同等のセキュリティ診断が可能です。
- ファイアウォールなどのアクセス制御がない状態でサーバ単体の脆弱性を確認できます。
- 設定ミス、パッチの未適用をついた内部ネットワークからの攻撃につながる脆弱性を発見することができます。
- データベースサーバへのネットワーク接続、アクセス権限など内部関係者による情報漏洩や内部統制強化の観点から診断可能です。
価格
個別お見積りとなります。診断対象となるIP等の数等に応じて費用が変わりますので、お客様のご要件をヒアリングし、お見積りいたします。下記のお問い合わせボタンよりお気軽にお問い合わせください。
FAQ
クラウドセキュリティについてよくあるご質問(FAQ)はこちら。詳しいご案内は、下記のお問い合わせボタンよりお気軽にお申し付けください。