top of page

クラウドセキュリティ

3952901_s.jpg

シースリーレーヴは、コンプライアンスを遵守した、脅威に強いクラウドセキュリティサービスを提供しています。クラウドセキュリティのあらゆる側面に精通しているため、お客様のニーズに合わせた最適なソリューションを業界最安値級の価格で提供可能です。

安心してクラウドを活用できるよう、シースリーレーヴがあなたのクラウドセキュリティをサポートします。

クラウドセキュリティの種類

弊社ではクラウドセキュリティ対策として

Amazon Web Services(AWS)、Microsoft Azure、Googleクラウドの3種類のクラウドセキュリティ対策をご用意しています

AWS

​ペネトレーションテスト

詳しくはこちら

Azure

​ペネトレーションテスト

詳しくはこちら

Googleクラウド

​ペネトレーションテスト

詳しくはこちら

クラウドセキュリティ
強化ソリューション特長

1.png

クラウドセキュリティサービス

クラウド環境がサイバー脅威に対して安全であることを保証するため、徹底的なペネトレーションテストサービスを提供します。クラウドインフラの脆弱性を特定し、潜在的なリスクを明確化して軽減する支援を行います。

  • AWS ペネトレーションテスト

  • GCP ペネトレーションテスト

  • Azure ペネトレーションテスト

2.png

クラウド監査

クラウド環境が業界標準や規制に準拠していることを確認します。クラウド監査サービスでは、必要なコンプライアンス要件の適合性を評価し、信頼性の高いセキュアな基盤を提供します。

  • 規制コンプライアンス評価

  • セキュリティ構成監査

  • ポリシーおよび手順のレビュー

3.png

脆弱性評価

クラウドインフラのセキュリティ弱点を積極的に発見するため、定期的な脆弱性評価を実施します。VAサービスは、脆弱性が悪用される前に検出し、対応策を講じるために設計されています。

  • 四半期ごとのVAスキャン

  • 詳細な脆弱性レポート

  • 修復ガイダンス

​このようなお悩みはありませんか?

  • 脆弱性診断とは何ですか?
    脆弱性診断とは、ITサービスやネットワークに潜在する脆弱性を特定し、セキュリティ攻撃を未然に防ぐためのテストです。これにより、不正アクセスやデータ漏洩を防ぐための対策を講じることができます。
  • 脆弱性診断の結果、どのようなレポートが提供されますか?
    脆弱性診断の結果、診断対象のシステムに存在する脆弱性の詳細なレポートが提供されます。このレポートには、発見された脆弱性の種類、リスクレベル、修正方法などが含まれています。
  • 脆弱性診断はどのくらいの頻度で実施すべきですか?
    脆弱性診断は、定期的に実施することをお勧めします。一般的には、少なくとも年に1回、または重要なシステム変更や新しいセキュリティ脅威が発生した際に診断を行うと良いでしょう。
  • 脆弱性診断を受けることで、どのようなメリットがありますか?
    早期に脆弱性の問題を発見して対策を講じることができます。これにより、自社サービスの問題点を把握し、未然に情報流出などの危険を防ぐことが出来ます。関係するお客様、従業員の方への影響を防ぐことに繋げることができます。
  • 脆弱性診断を受けるためには何が必要ですか?
    脆弱性診断を受けるためには、診断対象のURLもしくはIPアドレスが必要です。これにより、専門家が診断を実施し、結果を報告することができます。
  • 攻撃と侵入テスト
    ウェブアプリケーションで見つかった弱点に対して、安全な方法でテストを行います。発見された問題点が実際に存在するかを確認し、アプリケーションとそのデータを守るために細かくテストを行います。 実施テスト例: データベースへの不正なアクセスやウェブページ上での悪意のあるスクリプト実行のテスト ログイン機能に対して、流出したパスワードや自動入力ツールを使ったテスト ウェブアプリケーションの機能を調べて、安全性の低い通信方式や機能がないか確認する これらのテストは、実際の攻撃者が使う可能性のある方法を模倣して行いますが、システムに害を与えないよう細心の注意を払って行いますのでご安心ください。
  • リストアップ
    より詳しい情報を集めるために、自動化されたプログラムやツールを使い情報収集を行います。ここで集めた情報は、次の段階で活用するための基礎となります。 主な作業内容例: ウェブサイトの構造や関連するサブドメインを調べる クラウドサービスの設定に問題がないか確認する 使用しているソフトウェアやサービスに、既知の弱点がないか調べる これらの作業を通じて、セキュリティ上の問題点を見つけ出し、対策を考えるための重要な情報を集めます。
  • 情報収集
    当社のエンジニアが、様々な公開情報収集ツールやセキュリティ診断ツールを使って、対象のウェブサイトやシステムについて、できるだけ多くの情報を集めます。集めた情報は、組織の状況を理解するのに役立ち、セキュリティ対策を進める中で、リスクを正確に評価できるようになります。 収集される情報例として以下のものが挙げられます Googleで見つかった、誤って公開されているPDFや文書ファイル 過去に起きたデータ漏洩の記録 開発者が公開フォーラムに投稿した情報 ウェブサイトの設定ファイル(robots.txt)の内容 これらの情報を分析することで、セキュリティ上の弱点を見つけ出し、適切な対策を立てることができます。
  • 範囲を定義する
    Web アプリケーションのセキュリティ評価を行う前に、御社とテスト範囲を明確に決定します。 質の高いテストを行うために御社の要望をしっかりとヒアリングさせて頂きます。 具体例. 組織のどのアプリケーションまたはドメインをスキャン/テストするかを決定する 評価の除外箇所を確認する (特定のページ/サブドメイン) 公式テスト期間の決定とタイムゾーンの確認
  • 修復テスト
    さらに、お客様のご要望に応じて、セキュリティ対策の実施や、 セキュリティ対策後、当社が再度セキュリティ情報を確認を行います。 追加の確認例: 対策が適切に実施されているかを確認する 以前に見つかった問題点が解決されているかを確認する 新しい安全な状態を反映した報告書を作成する この追加の確認によって、お客様は実施した対策の効果を確認でき、さらなる改善が必要かどうかを判断できます。
  • レポート作成
    集めたすべての情報をまとめて、わかりやすく詳細なレポートを作成します。 このレポートは、サイト全体のリスクのレベルを記載し、セキュリティの強みと弱みを詳しく解説しています。またサイトのセキュリティ対策について適切な判断ができるように、具体的な改善策を提案します。
  • 既知の脆弱性があるコンポーネントの使用
    サードパーティのコンポーネントを最新かつ安全に保ちます。
  • XML外部エンティティ(XXE)
    悪意のあるXML入力からのリスクを軽減します。
  • 認証の欠陥
    ユーザーのアイデンティティと資格情報を保護するための強力な認証機構を確立します。
  • インジェクション攻撃
    SQL、NoSQL、OS、LDAPインジェクションの欠陥からデータを保護します。
  • クロスサイトスクリプティング(XSS)
    ユーザーセッションのハイジャックやウェブサイトの改ざんを防ぎます。
  • 安全でないデシリアライズ
    オブジェクトのデシリアライズプロセスの脆弱性を悪用する攻撃を防止します。
  • アクセス制御の欠陥
    システムやデータへの不正アクセスを防止するための適切なアクセス制御を実施します。
  • 機密データの露出
    暗号化と安全な保存方法を実装して機密情報を保護します。
  • セキュリティの設定ミス
    セキュリティ設定を見直し、修正して設定ミスを回避します。
  • 不十分なロギングと監視
    包括的なロギングと監視を実装し、インシデントを迅速に検出および対応します。
  • リストアップ
    より高度な情報収集のために自動化されたツールとスクリプトを活用します。想定されるあらゆる攻撃手法を綿密に調査します。ここで集めた情報は、次の段階での効果的なセキュリティ対策立案の基礎となります。 収集する情報例. ・ディレクトリ/サブドメインの列挙 ・クラウド サービスの構成ミスの可能性を確認する 既知の脆弱性とアプリケーションおよび関連サービスの関連付け
  • 攻撃と侵入
    見つかった脆弱性を実際に攻撃してみることで、その危険性を確認します。安全かつ制御された方法でテストを行いますのでご安心ください。 以下想定テスト例. SQLインジェクションやクロスサイトスクリプティング(XSS) Webアプリケーションが外部からのデータ入力をどのように処理するかを試みます。 認証システムへの攻撃 盗まれたログイン情報やブルートフォースツールを使って、認証メカニズムを試します。 アプリケーション機能の監視 不安全な通信方法や機能が利用されていないか確認します。
  • 修復テスト
    さらに、お客様のご要望に応じて、セキュリティ対策の実施や、 セキュリティ対策後、当社が再度セキュリティ情報を確認を行います。 追加の確認例: 対策が適切に実施されているかを確認する 以前に見つかった問題点が解決されているかを確認する 新しい安全な状態を反映した報告書を作成する この追加の確認によって、お客様は実施した対策の効果を確認でき、さらなる改善が必要かどうかを判断できます。
  • 範囲を定義する
    モバイルアプリのセキュリティ評価を行う前に、御社とテスト範囲を明確に決定します。 質の高いテストを行うために御社の要望をしっかりとヒアリングさせて頂きます。 具体例. 組織のどのアプリケーションをスキャン/テストするかを決定する 評価の除外箇所を確認する (特定のページ) 公式テスト期間の決定とタイムゾーンの確認
  • 情報収集
    当社のエンジニアが、様々な公開情報やセキュリティ専門家による脆弱性リスト(OWASP Top 10など)を使って、あなたの会社やサービスについて可能な限り多くの情報を集めます。 この情報収集は、あなたの会社の状況を理解し、セキュリティ上のリスクを正確に把握するために非常に重要です。 収集される情報例: Googleで見つかった、誤って公開されているPDFや文書ファイル 過去に起きたデータ漏洩の記録 開発者が公開フォーラムに投稿した情報 ウェブサイトの設定ファイル(robots.txt)の内容
  • レポート作成
    集めたすべての情報をまとめて、わかりやすく詳細なレポートを作成します。 このレポートは、アプリ全体のリスクのレベルを記載し、セキュリティの強みと弱みを詳しく解説しています。またサイトのセキュリティ対策について適切な判断ができるように、具体的な改善策を提案します。
  • 未許可のクラウドサービス利用を防ぎ、会社のセキュリティポリシーに沿った運用を徹底したいのですが、どうすれば良いですか?
    当社は、利用されているクラウドサービスを可視化し、適切に管理することで、セキュリティポリシーに準拠したクラウド環境の構築をサポートします。このプロセスにより、未許可のクラウドサービスの利用を防ぎ、会社のセキュリティポリシーに基づいた安全なクラウド運用を実現します。
  • クラウドサービスをビジネスに活用したいのですが、どのようなリスクがあるか分かりません。どうすれば良いでしょうか?
    当社のセキュリティコンサルタントが、クラウドサービス導入に伴うお客様の課題やリスクを明確にし、整理します。リスク評価から具体的な対策の立案、実施まで、総合的にサポートいたします。お客様のビジネスニーズに最適なセキュリティ対策を提案し、安心してクラウドサービスを活用できる環境を構築します。
  • クラウドサービスへの不正アクセスを防ぎたいのですが、どうすれば良いですか?
    当社では、多要素認証(MFA)の導入や、適切なアクセス制御を行うことで、クラウドサービス利用時の認証を強化し、不正アクセスを防止します。これにより、お客様のクラウド環境のセキュリティレベルを向上させ、安心してクラウドサービスを利用できる環境を提供します。

クラウドセキュリティテスト実施項目

ご相談・お問い合わせはお気軽にどうぞ

ホワイトハッカーによるペネトレーションテストであなたのサービスを守ります

bottom of page