クラウドサービスのセキュリティ診断手順
クラウドサービスのセキュリティ診断手順は以下の流れです。
1:ヒアリング・準備
システムのネットワーク構成・機密情報の保管状況などを基に診断方法を決定。また、顧客の予算に応じた診断範囲の設定も可能です。
2:診断
診断方法に従って疑似攻撃・侵入を行い、結果を記録します。結果を基に脆弱性を洗い出し、セキュリティリスクを分析できます。
3:報告
診断報告書を基に脆弱性による影響やその対策、さらに対策の優先順位付けを行います。またセキュリティ診断は、システムのリリース前や運用後の監査(年1度、四半期に1度)のタイミングで実施することが多いです。
クラウドサービスをセキュリティ診断する際の注意点
クラウドサービスを対象とするセキュリティ診断は通常のものと少し異なるため、注意点を解説します。
事前に申請が必要な場合がある
セキュリティ診断を実施する場合、クラウド事業者への事前申請が必要な場合があります。
システムのセキュリティ診断は攻撃者の視点に立ち、疑似攻撃や侵入を実施します。しかし、疑似攻撃なのか実際の攻撃なのかの判断は難しいため、無断でのセキュリティ診断を禁止している事業者が複数あります。
一方で、事前申請が不要のクラウドサービスもあります。セキュリティ診断を行いたい場合は、利用サービスの事業ポリシーを確認しましょう。
診断ができない場合がある
クラウドサービスによってはセキュリティ診断ができない場合があるため注意しましょう。
複数の顧客で利用する共有ホスティングのような環境では、セキュリティ診断を認めていないケースもあります。セキュリティ診断により、他の顧客に何らかの影響が出るかもしれないからです。
事業者により方針が異なり、また変更されることもあるため、事前に確認しましょう。
セキュリティ診断サービス選定の3つのポイント
セキュリティ診断サービス選定の3つのポイントを解説します。
手動診断の有無
セキュリティ診断サービスを導入する際は、手動診断ができるかを確認しましょう。診断サービスには以下の2種類があります。
- 【ツール診断】
-
- ■導入コストが安価
- ■網羅的な診断が可能
- ■診断が標準化されているため、誰が操作しても同じ結果を得られる
- ■ツール購入により自社で行う事も可能(操作の習熟・結果を読み取るスキルは必要)
- 【手動診断】
-
- ■なりすましや高度な脅威に対して有効
- ■サイトの特性や機能などを熟知した高い専門性が必要
- ■人的コスト・時間がかかる
- ■高い精度が期待できる
手動診断は、ツール診断と比べるとさまざまなコストがかかります。しかし、疑似攻撃や侵入を手動で行い、目視で脆弱性の発見が可能です。そのため、高いセキュリティを実現できます。
診断レベルの高さ
セキュリティ診断サービスを選定する際は、診断レベルの高さがポイントになります。手動診断では、ベンダーの技術レベルが重要です。担当者によって技術レベルは違いますが、勤務年数や診断数、資格などから判断可能でしょう。
ツール診断の場合も、報告書の内容や担当者による指導力の高さには注目しましょう。事前にサンプルをもらい報告書の内容を確認することをおすすめします。
さらに診断レベルの高さの選定基準として、在席する技術者の数にも注目しましょう。困難な課題でも複数の技術者の知恵があれば解決を図れるかもしれません。また技術者同士、切磋琢磨し合うことで、高水準のサービスを期待できるでしょう。
アフターケアの充実度
アフターケアが充実しているかという点も、セキュリティ診断サービス選定時に確認しましょう。セキュリティ診断で自社システムに脆弱性が見つかった場合、適切な対応が必要です。
課題点や改善策の相談に乗ってくれたり、課題が解決したのか再診断を提供しているベンダーだと安心です。提示した期間内であれば無償で再診断を行うベンダーもあります。また、定期的に診断を提供するサービスなら、高いセキュリティを実現できるでしょう。
クラウドサービスにもセキュリティ診断を実施して対策を!
クラウドサービスを利用する企業はセキュリティ診断を活用すべきです。セキュリティ診断は以下の流れです。
- ■ヒアリング
- ■診断
- ■報告
セキュリティ診断を行う前にベンダーに確認しましょう。利用環境によっては診断ができない場合もあります。セキュリティ診断の種類では、コストがかかりますが手動診断がおすすめです。
充実したアフターケアや、診断レベルの高いサービスを提供しているベンダーを選定しましょう。
