クラウドサービス設定診断の提供を開始
お客様が利用するパブリッククラウドサービスにおける設定不備リスクについて、診断会社の目線で診断、評価、ご報告することで、予防や対策につなげていただくサービスです。
1. 本サービス開始の背景
ここ数年、クラウドサービスを利用する事業者において、設定不備による顧客の個人情報など重要情報が流出する事案が増加しており、クラウドサービスの利用におけるリスクとして社会的な問題になっています。
(1)事業環境の変化
2023年5月に公表された、総務省の「令和4年通信利用動向調査報告書」によると、クラウドサービスを全社的に、または一部の事業所や部門で利用している企業の割合は7割を超えている状況です。また、利用用途については、「ファイル保管・データ共有」が6割を超えており、場所や機器を選ばずに利用できるクラウドサービスは、多くの企業における事業環境を変化させています。
(2)事業環境の変化に伴い増加する新たなリスク(クラウド設定不備)
事業環境変化に伴い、システムを自社で持つ従来の運用から、システムを自社で持たない新たな運用へとシステム(データ)移行が進む中で、管理の手法と責任範囲の考え方が、大きく変化しています。(詳細は、本リリース内の参考情報「2.事業環境の変化に伴う管理側の意識変化の必要性」についてご一読ください。)
特に管理面においては、「設定に関する理解不足」や「サービス事業者による適切な設定がされているという誤解等によって、安全ではない設定が放置されてしまう」など、設定不備によって情報の漏えい等につながるリスクが増大しています。
【設定不備事例】
2. 本サービスの概要
本サービスでは、専門のツールを用いて網羅的なクラウドサービス設定状況を診断、機械的な対応優先度を洗い出し、その結果をご報告することで、対応の優先順位の参考にしていただくことが可能です。
さらに、ファイブドライブのプロの診断者の目でお客様の実態に合わせた個別評価や推奨対策のご提案をおこなうオプションサービスをご用意しています。
これらによって、クラウドサービスの設定状況を洗い出し、リスクの解決や運用の改善に繋げていただくことが狙いです。
3.サービスの特徴
(1)複数種類のクラウドサービスを診断可能
AWS(Amazon Web Services)、GCP(Google Cloud Platform)、Microsoft Azure、Microsoft 365、OCI(Oracle Cloud Infrastructure)、FJcloud(FUJITSU Hybrid IT Service FJcloud-O)の診断が可能です。記載のないクラウドサービスはご相談ください。クラウドサービスによってはサービスから提供される情報(ドキュメント)を考慮してセキュリティ設定項目を整理し、手作業で診断することが可能です。(カスタマイズ対応となります)
(2)セキュリティ設定のベストプラクティスであるCISベンチマークを基準とした診断
診断の基準とするCISベンチマーク※はセキュリティ設定ガイドラインとしてセキュリティベストプラクティスとして、セキュリティ専門家によって分析された結果に基づき、個別のクラウドサービスにおける主要な設定項目のセキュリティ設定の推奨事項が記載されています。そのため、多角的かつ深い内容でセキュリティ設定の確認が可能です。また、基準は常にアップデートされており、クラウドサービス機能の変化、セキュリティ脅威状況の変化に合わせた対応を行うことができます。
(詳細は、本リリース【参考情報】「1.クラウドサービス設定診断の診断項目例」をご確認ください。)
(3)ツール結果に加え、オプションで運用実態を踏まえた改善提案が可能
クラウドサービスの中には、サービス事業者が提供する設定監査機能(セキュリティチェック機能)を利用することで本サービスと同様の調査を行うものもあります。クラウド機能の一部として利用できる利点はありますが、機械的に項目の判定が行われるものの自動確認の検出結果(取得情報)だけでは、システム設計や運用方針を踏まえた上での設定値の妥当性や問題有無の判別ができません。本サービスでは、機械的な判定を行うだけでなく診断技術者がシステム要件やユーザー管理方針等のヒアリングを行い、運用実態を踏まえた上で設定値の判定とリスクの評価を行うことも可能です。
※CIS benchmarkとは
4.サービス提供の流れ
サービスは、ツールによる診断を基本プランとしています。お客様の運用実態に即した評価をご要望の場合は、評価オプションを基本プランに追加してお申し込みください。
5.サービス提供価格
【価格イメージ】
・基本プラン(ツールを使用した診断と機械的な評価)
1アカウント 50万円~(5営業日~)
・評価オプション
お客様とのお打ち合わせにより、必要となる内容、日数などを考慮してお見積りします。
(注意)価格については参考です。ご要望や状況に応じて変動する可能性がございますので、弊社営業にお問い合わせください。
株式会社ファイブドライブについて
ファイブドライブは、何よりも大切なお客さまの「情報」をお護りするため、最新の知識と技術を持つ日本人スタッフにより、一件一件手作業で細部まで丁寧に診断します。あらゆる情報セキュリティを想定したサービスをご用意しておりますのでお気軽にご相談ください。
本リリースに関するお問い合わせ先
株式会社ファイブドライブ 営業部
メール:sales@fivedrive.jp
TEL :03-5577-5030
【参考情報】
1.クラウドサービス設定診断の診断項目例
お客様要望を取り入れたカスタマイズもおこなっていますので、詳細についてはお問い合わせください。
2.事業環境の変化に伴う管理側の意識変化の必要性
ここでは、オンプレミス環境からクラウド環境へと事業環境を移行させるケースについて、管理の視点の変化の必要性を解説いたします。
(1)システム移行時に留意しておくべきリスク
オンプレミスからクラウド環境への移行が急激に進む理由は様々ありますが、その大きな理由の一つとして、システム構築を素早く柔軟に行える点が挙げられます。クラウドでは、ネットワーク、サーバ、OS、ミドルウェア等がサービスとして提供されるため、素早くシステムを構築し状況に応じて柔軟にシステム構成の変更ができます。
その一方で、従来では個別にサーバ管理を行っていたものが、クラウドでは管理画面から全体的な管理を行えるようになり、クラウドサービスの管理画面やセキュリティ設定がシステム全体のセキュリティに影響します。クラウドサービスの設定次第で危険な構成や設定になり、大規模な情報漏えいにつながる危険性が新たに生じるようになりました。
(2)責任共有モデルの認識
クラウド環境はサービス事業者の責任範囲とユーザー側の責任範囲が提供サービスごとに異なりますが、どのサービスにおいてもユーザー側はクラウド内のセキュリティ設定及び管理を行う責任があります。クラウド利用の誤解からサービス事業者によって自動的に適切な設定がされていると誤って認識され、安全でない設定が放置されるケースがありリスクが潜んでいる可能性があります。
(3)自由度が高い反面、複雑かつ膨大な設定項目
クラウド環境では設定一つでサーバやストレージの公開・非公開の変更や、一般・管理者等の権限追加など、ユーザーが様々な機能を自由に設定できるようになっていますが、その反面、複雑で多岐にわたる設定項目が各サービスに存在しているため、セキュリティに関わる設定ミスを見逃す可能性があります。
参考「責任共有モデルの認識」イメージ
「クラウドサービスの分類」(出典)国民のためのサイバーセキュリティサイト
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/basic/basic_service_13.html
すべての画像