パブリッククラウド利用システムにおける
セキュリティ診断

Share

SQAT® Security Report 2019年9月号

雲とネットワークのイメージ図

※本記事は、SQAT®Security Report 2019年 9月号の記事、
「パブリッククラウド利用システムにおけるセキュリティ診断」の一部抜粋になります。

増えるパブリッククラウド利用とセキュリティ事情

クラウドサービスは、自社でサーバを抱える必要がないことから、導入および運用コストが大幅に削減できるため、今や企業ネットワーク環境構築における選択肢の1つとなっており、オンプレミスからクラウドに移行する企業は増えている(下グラフ参照)。その際、スケジュール等の事情によりシステムを見直す余裕がなく、そのままの状態で移行せざるを得ないケースもあるのが実情だろう。しかしながら、開発や改修後のリリース前にシステムの脆弱性診断を実施すべきであるのは、クラウドへの移行時も例外ではない。

クラウドサービスの利用状況

出典:総務省「平成30年通信利用動向調査の結果」(令和元年5月31日公開)

自組織が業務用のパブリッククラウド(AWS、Microsoft Azure等)を利用している場合、ハードウェアまではクラウド事業者が管理しているが、OSおよびそれより上の層については利用企業側に責任があることを忘れてはならない。パブリッククラウド上のWebアプリケーションやECツール等で使用しているOS、ミドルウェア、アプリケーションといった各コンポーネントは、経年により脆弱性が発見される宿命だ。セキュリティ対策として、定期的にそれらを更新する必要がある。

オンプレミスと同様、パブリッククラウド上にシステムを構築している場合も、自組織のシステムが情報漏洩や改竄、DoS攻撃等の被害に遭う危険性があるかどうか、適宜把握しておく責任がある。このため、パブリッククラウド上のシステムにおいても、定期的に脆弱性診断を実施するのが望ましい。

パブリッククラウド向け脆弱性診断の必要性

パブリッククラウド向けでない一般的なリモート診断では、ファイアウォール越しで実施するため、ファイアウォールでアクセスを許可しているポートに対してしか診断できない。これに対し、パブリッククラウド向け診断では、直接アクセスできるセグメントに対して実施するため、管理用ポート等、ファイアウォールでアクセス制限されていることの多いポートに対しても診断可能だ。

インシデントのリスクは、外部に公開されたシステムにとどまらないことを忘れてはならない。例えば、AWSを社内インフラとして使用している企業があるとする。そういったシステムは (…続き)


本記事はここまでになります。

この記事の続きでは、テレワークの隙を狙った攻撃の脅威をご紹介し、それに対して企業がどのように脆弱性対策に取り組むべきかということについて解説しています。ぜひご一読ください。

※参考(続き)
contents
3.CISベンチマークを利用したセキュリティチェックの必要性
4.診断を受けるにあたっての注意点

下記より無料でダウンロードいただけます。

まずは無料で資料をダウンロード

年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。


セキュリティレポート資料ダウンロードページボタン

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関するお問い合わせボタン

サービスに関する疑問や質問はこちらから
お気軽にお問合せください。


SQAT® Security Serviceページへのバナー

BBSecコーポレートサイトへのバナー



Share