Flatt Securityが「クラウドプラットフォーム診断」サービスの提供を開始。AWS, GCP利用環境のセキュリティをチェック。

 

「クラウドプラットフォーム診断」詳細ページ
URL：https://flatt.tech/assessment/cloud_platform
​
■「クラウドセキュリティ診断サービス」提供の背景

近年多くの企業でパブリッククラウドやプライベートクラウドを活用しサービスを提供しているという事例を目にします。そのクラウドの活用の中にも Firebase をはじめとする mBaaS や AWS EC2 のような VM を提供する IaaS、GKE や EKS のような Kubernetes 環境を提供するなど、多種多様なクラウド配信モデルが存在しており、このような抽象化されたクラウドサービスを利用することにより、自社でサービスを提供する利用者は比較的容易かつ安定してアプリケーションを提供することが可能になりました。

しかし、これらサービスにおいて設定のミスが起因となるインシデントが近年話題としてあがることがあります。すなわち、アプリケーションやOS、ミドルウェアのセキュリティ対策が万全であっても利用しているクラウド起因で情報漏洩などのインシデントにつながる可能性があるのです。

実際に、(ISC)²が公開した2020 CLOUD SECURITY REPORTにおけるアンケート調査では68%の回答者は使用しているクラウドサービスの設定ミスを最も大きな脅威として挙げました。前年度の調査では第3番目の脅威だったところから、大きくその存在感を高めています。

「Flatt Security Learning Platform」などの自社プロダクトを開発・運営しているように、Flatt Securityの強みはモダンな開発体制に精通したチームによるセキュリティ診断の提供です。9月にはGraphQLやFirebase採用のアプリケーションにもより柔軟に対応できるよう「ホワイトボックス診断」プランの提供を開始しましたが、同様に弊社の強みを生かしてクラウド環境の設定ミスやセキュリティリスクなどを総合的に診断できるよう、「クラウドセキュリティ診断」サービスを提供開始するに至りました。

■サービス概要

AWS や GCP などのパブリッククラウドを利用する中で、責任共有モデルのような提供者と利用者の責任分解の原則に基づき、利用者はコンポーネントが提供する設定を利用用途に合わせて設定しなければなりません。しかし、この設定において不備があると、ユースケース上で意図していない動作ができてしまう場合や、保存しているデータが公開されてしまう恐れがあります。

本サービスでは、そのような設定の不備を事前に把握するためにパブリッククラウドが提供するコンポーネント固有の観点についてセキュリティ診断を提供します。

クラウドプラットフォーム診断の主な診断観点と、Flatt Securityが別のサービスとして提供するWebアプリケーション診断・スマートフォンアプリケーション診断・プラットフォーム診断との診断対象・観点の違いは以下をご覧ください。（例としてAWSを利用している場合を示します。）

クラウドプラットフォーム診断では、通常のアプリケーション診断やプラットフォーム診断とは異なり、パブリッククラウドの提供するコンポーネント単位、またはそれに連動する一連の流れを一つの診断単位としており、コンポーネントの設定検証はもちろん、IAMのリソースへのアクセス制御やイベント通知で駆動するLambdaの診断も行います。

Cognito

• ユースケースにあったアカウント発行プロセス検証
• 属性の書き込み等の設定検証
• ID Pool から発行されたIAMのアクセス制御の検証

 S3

• 利用ユーザーからのオブジェクト/バケットのアクセス権限の検証
• パブリックからのオブジェクト/バケットのアクセス権限の検証

DynamoDB

•  Cognito ID Pool を利用したFGAC(Fine-Grained Access Control)の検証

Lambda

• イベント通知により動作する Lambda の動的/静的なセキュリティ診断

■対応可能なクラウド環境
 

• AWS(Amazon Web Services)
• GCP(Google Cloud Platform)

■サービスの提供価格

ヒアリングを通して個別にお見積もりさせていただきます。

■技術ブログ公開中

今回の「クラウドプラットフォーム診断」サービス提供開始に際して弊社公式ブログにて技術記事を公開しております。

「AWS 診断を事例としたクラウドセキュリティ。サーバーレス環境の不備や見落としがちな Cognito の穴による危険性」
https://flattsecurity.hatenablog.com/entry/cloud_security_aws_case

AWSを題材にクラウド環境のセキュリティに関する概論を紹介し、さらにAWSの設定ミスによってどのようなリスクが発生するのか、実際にデモアプリを作成し解説をしています。ぜひご覧ください。

■Flatt Securityはお客様のニーズに合わせたセキュリティサービスを提供します。

Flatt Securityは本プレスリリースで紹介した「クラウドプラットフォーム診断」の他にも、弊社が独自に用意したデータセットを用いてアンチウイルスソフトウェアの検証を行う「アンチウイルスソフト性能検証サービス」、エンジニアが セキュアにWebアプリケーションの設計・開発を行うために必要な知識・技術の習得を支援するSaaS型eラーニングサービス「Flatt Security Learning Platform」を提供しています。 

各サービスの詳細・お問い合わせは以下のURLよりアクセス可能です。

• セキュリティ診断サービス：https://flatt.tech/assessment/detail
• アンチウイルスソフト性能検証サービス：https://flatt.tech/service/antivirus
• Flatt Security Learning Platform：https://flatt.tech/learning_platform

◼︎会社情報

社名：株式会社Flatt Security
代表取締役社長：井手康貴
所在地：〒113-0033 東京都文京区本郷3丁目43−16 コア本郷ビル 2A
設立：2017年5月23日
Webサイト： https://flatt.tech
ブログ：https://blog.flatt.tech
事業内容：サイバーセキュリティ関連サービス