よくあるご質問（クラウドセキュリティ診断編）

皆様のセキュリティ強化や、サービス検討の一助にお役立てください。

クラウドサービスで事故が起きる主な要因としては

• 不用意なクラウドサービス利用
• 脆弱な認証によるなりすまし
• 管理設定ミス

の3つがあげられます。

まず、1つ目不用意なクラウドサービス利用ですが、これはクラウドサービス提供側に問題がある場合です。サービス自体にサーバーにウィルスが侵入したり、不正アクセスを受けることで情報の漏洩などにつながる場合があります。そのため、クラウドサービスを利用する際には信用できるクラウドサービスを選定する必要があります。

次に2つ目の脆弱な認証によるなりすましについてです。こちらはクラウドサービスにアクセスする際の認証情報が攻撃者に推測可能なアカウント名になっているなど認証の設定に不備があることにより、攻撃者が正規のユーザーに成りすましてログインできることに起因しています。対策としては、推測できないアカウント名にする、多要素認証の設定、不要なアカウントの削除などがあります。

3つ目に管理設定ミスになります。先に挙げた2つよりも事例として多く報告されている事故原因です。事例として、管理者設定により外部公開範囲を定めることができますが、その設定に不備があり、公開してはいけない情報などが外部に公開されてしまっているなどがあります。対策としては、設定の見直しがあげられますが、自社、もしくはクラウド構築ベンダーでの確認だけでなく第3者による確認を実施することを推奨しています。

クラウドの事故の多くは管理者の設定を適切なものにすることで防ぐことができます。

クラウドの設定を監査する診断サービスを活用頂くと、現状の設定を把握し適切なセキュリティ設定を確認することが可能です。

クラウドサービスは外部公開設定やアカウントの管理など、ユーザー側の責任範囲で管理されるべき設定事項が多数あります。

これらの設定が適切なものになっていないと、サービスへの不正アクセスや、情報漏洩につながる可能性があります。

クラウドサービスの設定項目は多岐にわたり、また、設定項目の更新も頻度が高いため、セキュリティ設定を確認するためには定期的に第三者による確認をすることを推奨いたします。

構築中のシステムであればリリース前にクラウド診断を実施し、適切な設定に修正したのちにリリースすることを推奨します。

また、システムの改修等でクラウドサービスの設定に大きな変更が加えられた際にはクラウド診断を受けていただき、設定に問題がないかご確認いただくことを推奨しています。

現在、弊社では下記クラウドサービスへの診断に対応しております。

下記以外のクラウドサービスへの診断をご希望の方はご相談ください。

IaaSセキュリティ診断：AWS、Azure、GCP

SaaSセキュリティ診断：Microsoft365、BOX、Zoom、Google Workspace、Salesforce

診断ベンダーの多くはCISベンチマークに基づいた診断項目を用いて診断していますが、ベンダーによってCISベンチマークの一部のみを確認する等、診断項目の違いによる金額の違いがあります。

弊社の提供するクラウド診断サービスではCISベンチマークのセキュリティ項目を網羅しています。また、弊社では最新のCISベンチマークの項目に加え、一部弊社独自の診断項目を用いて診断を実施します。

弊社クラウド診断サービス報告書には報告書提出時点での不適合事項に対する設定の変更方法、サービス内の影響範囲が記載されております。こちらを参考にしていただき、実際の運用に合わせて対応をご検討いただくことが可能です。

また、報告書では弊社が独自に定めた対応優先度を診断項目ごとに設定しておりますので、対応優先度の高い、セキュリティ的に早急に対応した方が良い項目について優先的に対応をご検討いただくことが可能です。

クラウドサービスの設定項目は更新の頻度が高く、診断項目も随時更新されております。

そのため、1年に1回など定期的に診断を受け、設定内容をご確認されることを推奨しています。

お客様から良くお問い合わせ頂く内容をまとめてみましたが、いかがでしたでしょうか。

「もっとこんな事を知りたいなぁ」「うちのホームページだと具体的にいくら位掛かるのかな？」など、個別にご質問がありましたらお問い合わせください。