IaaSセキュリティ診断について
「クラウドサービスに特化した守り方があります。」
情報システムの基盤に必要な仮想サーバやネットワークなどの機能を提供するサービス、IaaS – Infrastructure as a Service – (サービスとしてのインフラ)を使用する企業が増えてきています。eGISはIaaS専用のセキュリティ診断サービスを提供します。
「IaaS」とは?
Infrastructure as a Service(サービスとしてのインフラ)とは、情報システムの基盤に必要な仮想サーバやネットワークなどの機能を提供するサービスです。従来はシステム構築をする際、サーバやソフトウェアを自社で購入し、運用・メンテナンスも必要でした。IaaS(イアース)では、自社でサーバなどのハードウェアを持たずに、インターネット経由で必要な時に必要なだけサーバやストレージ、ネットワークリソースを利用することが出来ます。
便利で手軽に使えるIaaSだからこそ、セキュリティが重要です。
1つの会社で複数の事業部が複数のIaaSサービスを利用しているといった場合、社内でルール設定が統制されておらず、設定ミスが生じ、セキュリティ事故に繋がるケースが増えています。
▲
OSや環境の管理を利用者自身で行う必要があり、自由度が高いがゆえに設定が複雑。
そのため、正しい設定を行うには十分なセキュリティ知識が必要になります。
見安全に使うための診断が必要不可欠です
◆IaaS全体の管理設定に対して診断します
IaaSセキュリティ診断はIaaS全体の管理設定に対し、セキュリティ診断を行います。
◆設定不備を発見します
診断の実施により、サイバー攻撃を引き起こすようなセキュリティ上の設定不備を発見することができます。
◆安全な運用につなげます
不適合項目に対する対策方法が明確に示され、安全な運用につなげていただけます。
脆弱性診断と組み合わせるとより強固に
【IaaSセキュリティ診断】
IaaSセキュリティ診断では、お客様ご利用のIaaSサービスに対し、API連携を行いCISベンチマークに沿った診断をすることでシステムの基盤であるIaaSの設定不備を見つけていきます。
+
【脆弱性診断】
エンジニアがお客様所有のWebサーバやネットワーク機器に対し、疑似攻撃をすることで認知されている脆弱性を見つけていきます。
CISベンチマークに沿って診断いたします
Center for Internet Security(CIS)ベンチマークプログラムとは、組織がセキュリティを評価して強化できるようシステム設計などを明確に定義し、提供されています。
IaaSセキュリティ診断項目
(AWSの例)
| カテゴリ | 内容 |
| IAM | ・rootアカウントが利用されていないか ・パスワードポリシーが設定されているか(桁数、利用される文字種類、期限等) ・アクセスキーがローテーションされているか(90日以内) |
| ログ出力 | ・全リージョンでCloudTrailが有効であるか ・CloudTrailログの格納パケットが公開設定ではないか ・CloudTrailログの格納パケットに対するログが有効化されているか |
| 監視 | ・不正なAPI呼び出しに対してログメトリックフィルターとアラームが出力されるか ・IAmポリシー/CloudTrail設定/NetWork ACl等の変更に対してアラームが出力されるか ・セキュリティ担当者の連絡先が設定されているか |
| ネットワーク | ・Security Groupが、0.0.0.0/0 port 22(SSH)への接続を許可しないか ・Security Groupが、0.0.0.0/0 port 3389(RDP)への接続を許可しないか |
診断の流れ
<STEP1>
API連携により診断を実施
<STEP2>
設定項目の確認
<STEP3>
設定項目のヒアリング
事前準備事項(AWSの例)
| カテゴリ | 内容 |
| ヒアリングシート | 診断前にご記入頂きます。 アカウント情報が含まれますので、情報の授受についてはお客様指定の方法で行います。 |
| AWS側の設定 | ①弊社の診断ツールからAWS環境に対してAPI連携するためAWS側の設定を行って頂きます。 (設定マニュアルがございます。) ②連携先AWSの管理アカウント(観覧権限アカウント)情報をご提供頂きます。 (ご提供頂けない場合、お客様先での作業になるため別費用を申し受けます。) |
| IaaS側の設定 | ①APIや管理画面観覧での診断実施時、お客様側の環境や設定により情報が取得できない項目がございます。ヒアリングシートへ設定内容をご記入いただいています。 ②診断時においてMFA(2要素認証)などがかかっている場合、環境へのログイン日時をご指定頂いています。 |
※基本的にAPIでの診断において、お客様環境への影響はございません。
※AWS側で公開されているAPIから情報を取得しておりますので、通常の運用にて使われるものとなります。