SERVICE サービス
AWSクラウド設定診断
複雑なAWS設定を隅々までチェック 安心のクラウド運用を支えます
ポルトが解決できる課題
こんなお悩みはありませんか?
- 過剰な権限付与や不適切なポリシー設定がされていないか心配
- ログやモニタリングの設定漏れがないか心配
サービス概要
CISベンチマークを基準にお客様のAWSクラウド環境を診断し、設定がベストプラクティスに沿っているかを確認・評価します。
CISベンチマークを基準に、AWSクラウド環境の設定を診断します。
実際の攻撃シナリオを考慮したRed Team視点を加えたアドバンスドプランも提供しています。
サービスの特徴
経験豊富なエンジニアによる実践的な診断
業種やサービスの特性を理解した上で、最適な診断手法を用いてセキュリティリスクを検証します。
また、セキュリティに詳しくない方でも理解できるよう、検出された脆弱性によってどのようなリスクが発生する可能性があるのかを分かりやすく説明します。
幅広いクラウドサービスに対応
お客様の利用環境に合わせてご提案します。
業務の流れ
お見積もり
- 当社作業
-
- NDA締結
- 診断対象確認
- 対象一覧作成
- 貴社作業
-
- NDA締結
- 診断環境準備
- データ作成
発注
- 当社作業
-
- 見積書送付
- 診断期間調整
- 貴社作業
-
- 発注内容確認
- 発注書送付
診断
- 当社作業
-
- 環境確認
- 脆弱性診断
- 貴社作業
-
- 発注内容確認
- 発注書送付
報告書
- 当社作業
-
- 脆弱性精査
- 証跡確保
報告会
- 当社作業
-
- 必要に応じて実施
※現地開催の場合は、オプション料金
- 必要に応じて実施
納品
- 当社作業
-
- 報告書送付
- 請求書送付
- 貴社作業
-
- 報告書確認および検収
再診断
- 当社作業
-
- 再診断無料
※現地開催の場合は、オプション料金
- 再診断無料
- 貴社作業
-
- 脆弱性診断修正
- 診断環境準備
診断観点
| 利用機能 | 診断観点 |
|---|---|
| IAM (IDおよびアクセス管理) | 誤った権限付与や認証情報の漏えい、運用上の管理ミスにより、意図しないアクセス権限の取得や攻撃の永続化につながるおそれがあります。そのため、認証・認可の各種設定がベストプラクティスに沿っているかを網羅的に調査します。 |
| ストレージ (S3/EBS/RDSなど) | 各種ストレージサービスの設定ミスは機密データの漏えいにつながる可能性があります。保存されているデータの公開制御や暗号化、監査設定の有無といった項目を調査します。 |
| ロギング | ログが適切に管理されていない場合、インシデント発生時の原因調査や影響範囲の特定が困難になります。主要なログの有効化と保存先の設定状況を調査します。 |
| モニタリング | モニタリング設定の不備は、重要なセキュリティイベントを見逃す原因となり、攻撃の兆候を早期に発見できず被害の拡大につながるおそれがあります。監視対象の網羅性や通知設定の適切さを調査します。 |
| ネットワーク | ネットワークにおける設定ミスは、外部からの不正アクセスや、内部ネットワークに侵入された際のさらなる攻撃につながる可能性があります。開放されているポートやメタデータ経由の侵害経路が存在しないかを重点的に調査します。 |
| Red Team視点 | CISベンチマークではカバーされていない、権限昇格や横展開、攻撃の永続化が可能な経路が存在しないかを確認します。たとえば、IAMにおけるPassRoleの悪用や、Lambdaでの関数改ざんやC2設置の可能性などといった実際の攻撃シナリオを考慮し、クラウドの設定を調査します。 |
関連する診断サービス
よくある質問
一般的には、サービス公開前や大きな機能追加・改修のタイミングでの実施が推奨されています。
また、運用中のサービスでも定期的に診断を行うことで、新たに発見された脆弱性や設定変更によるリスクを早期に発見することができます。
基本的には、本番環境と同じ構成の診断用環境(検証環境)での実施を推奨しています。
脆弱性診断では疑似攻撃を行うため、本番環境で実施するとデータベースの不整合やサーバーへの負荷など、予期しない影響が発生する可能性があります。
安全に診断を行うためにも、診断用の環境をご用意いただくことを推奨しています。
診断費用は、各サービスの違いに基づく見積りと、見積方法に基づく違いがあります。
◯Webアプリ/API診断
・画面遷移図からの概算見積り
診断対象が開発前や開発途中で場合である場合、処理がわかる遷移フローや全体の画面遷移図から見積りを行います。
想定される機能や処理から、1画面のリクエスト数を想定しお見積りします。
・クローリングによる見積り
クローリングと呼ばれるサイト巡回作業により、診断対象のリンクやボタンを押下し、HTTPリクエスト(通信)数をカウントします。
データ登録・更新処理などを中心に、診断の優先度の高いリクエストを選定し、お見積りします。
◯CMS診断/プラットフォーム診断など
・ドメイン単位でのお見積り
ドメイン数×スキャン実行数を元にお見積りします。
診断で検出された脆弱性は、再現手順と合わせて、修正方法・推奨される対策をまとめた報告書を作成いたします。
実際の修正作業は、報告書をご参考にお客様の開発チームにて行っていただきます。
また、修正後の「再診断」は1度まで無料でご案内しております。