脆弱性診断が必要な時、どれくらい早く対応できますか?AWS、Google Cloud といった人気クラウドを利用するシステム管理者なら、「その時」に備えて事前に知っておきたい3種類の脆弱性診断サービスをご紹介いたします。
クラウドセキュリティの課題は突然やってくる
クライアント、時には経営層や上長、営業・サポート担当から、クラウドセキュリティに関する対応要請があった際、迅速に対処できる自信はありますか?それは、突然やってくることが大半です。
- 「クラウド環境の設定ミスや脆弱性の見落としなど不安要素はないか?」
- 「アプリの大型アップデート前は、脆弱性診断を受けてほしい」
- 「システム納品時に脆弱性診断の診断結果報告書を提出する必要がある」
- 「コンプライアンスの一環で、脆弱性診断を定期的に受けよう」
- 「情報漏えいの可能性について、お客さまから指摘があった」
通常業務だけでも忙しいのに、セキュリティに関する要請となると、プライオリティを高くして素早く対処する必要があるでしょう。AWS、Google Cloud のシステム担当者であれば、いざという時に慌てないためにも、覚えておきたい脆弱性診断 3種をご紹介いたします。
(1)クラウドの設定不備などを見つける「クラウド診断」
クラウド診断は、AWS、Google Cloud を対象としたクラウド向けセキュリティ診断です。セキュリティのベストプラクティスを参考にしてシステム構築・運用する努力を積み重ねても、常に万全かつセキュアなシステム環境を守り続けるのは至難の業です。そして、日々多くの脆弱性が発見されて、セキュリティのリスクはあがっています。それだけではなく、社内や業務提携先など、人の手による小さなオペレーション・ミスが起きても何ら不思議はありません。
クラウド診断では、クラウドの設定不備や脆弱性の有無、また、Webアプリケーションに関するクラウド上の設定や脆弱性に関して評価します。「Amazon Inspector」、「Orca Security」といった業界でも定評あるツール・ソリューションによる診断から、診断経験豊富なセキュリティエンジニアによる手動診断まで、予算・要件に応じて選べるようになっています。
>> 「クラウド診断」の詳細へ
(2)Webアプリケーションの脆弱性を顕在化する「Webアプリケーション診断」
昨今の企業サイト、商用サイトの仕組みは複雑化しており、CMS、メールフォームなどさまざまなWebアプリケーションが使われています。また、SaaSなど、便利なITサービスを支えるWebアプリケーションもしかり。Webアプリケーションの脆弱性によるセキュリティインシデントは多く、これまで以上に安全性を問われています。
Webアプリケーション診断とは、AWS上のWebアプリケーションを対象に脆弱性を検出し、セキュリティリスクを排除できるよう技術支援するサービスです。Google Cloud にも対応。高度な知見を持つセキュリティエンジニアが攻撃者目線で疑似攻撃を行い、Webアプリケーションに潜む脆弱性を調査します。一般的な脆弱性診断やWebアプリケーションによる脆弱性スキャナーでは発見できない脆弱性まで見つけ出します。
(3)多様化するAndroid/iOSアプリに対応「スマートフォンアプリケーション診断」
スマートフォンアプリケーション診断は、AWS、Google Cloud 上で構築されたAndroid/iOS/iPadOS対応のスマートフォンアプリケーションを対象にした脆弱性診断サービスです。スマートフォンアプリケーションの新規リリース時だけでなく、メジャー/マイナーアップデートを控えて、セキュリティ評価を行う必要がある際に役立ちます。
スマートフォンアプリケーション診断では診断対象となるフレームワーク、通信プロトコルなどに柔軟に対応。クロスプラットフォーム環境、通信プロトコル、SDK/フレームワーク、またアンチデバッグ機構が有効な状態のアプリケーションであっても、高度な知見を持つセキュリティエンジニアが、完全手動による診断を行います。
まとめ
AWS上のクラウド環境の安全性を高める上で脆弱性診断は大いに有効です。そして、脆弱性診断の事業者、サービスなどの知識を事前に得ておくことは大切です。自社やクライアントのセキュリティ・コンプライアンスに応えるため、または想定外のセキュリティ・インシデントに迅速に対処できるからです。今すぐは必要ないかもしれません。しかし、クラウドセキュリティ強化に役立つ脆弱性診断はきちんと把握しておきましょう。その時が来たら、どの事業者に相談すればいいのか、知っているか、知らないのでは、初動対応の迅速さ、的確さに大きな違いが生まれるからです。
今回は、クラウド診断、Webアプリケーション診断、スマートフォンアプリケーション診断をご紹介しました。それぞれの脆弱性診断に興味がある方は、AWSのプロフェッショナルに相談してみることをおすすめいたします。AWS上のクラウド環境やセキュリティのベストプラクティスに詳しいプロフェッショナルから、最善のアドバイスを受けられます。セキュリティの課題や不安を気軽に相談してみましょう。
