シーイーシー、パブリッククラウド環境の脆弱性を可視化する「パブリッククラウド監査サービス」

　株式会社シーイーシーとソフォス株式会社は16日、パブリッククラウド環境に潜むセキュリティ上の脆弱性を可視化し、その後の対策を支援する「パブリッククラウド監査サービス」を発表した。サービス提供にあたっては、ソフォスのセキュリティプラットフォーム「Sophos Cloud Optix」を利用する。

　「パブリッククラウド監査サービス」は、顧客企業のパブリッククラウド環境をセキュリティコンサルティングチームが調査・分析し、現状の問題点について対策の立案を行うサービス。システム監査人およびクラウドベンダー認定資格を保有する、プロフェッショナル監修によるセキュリティ監査を提供するという。

　また、PCI DSS、HIPAA、PCI DSSなど、さまざまな国際的なセキュリティ規格に準拠した監査を行うことにより、パブリッククラウド上の設定誤りといった、人的エラーに起因する情報漏えいを未然に防げるとのこと。

　さらに、Kubernetesクラスター、Amazon Web Services、Microsoft Azure、Google Cloud Platform、Infrastructure-as-Code環境がどのように構成されているのかを明確にし、完全なネットワーク可視化と、詳細なクラウド資産インベントリ管理を可能にしている点も特徴。監査報告にて、パブリッククラウドのサービス構成図を併記し、監査時の構成を可視化するが、年次など定期的な監査を実施することで、サービス構成の変更も管理できるとした。

　なお基本サービスでは、ヒアリングシート形式で顧客企業の環境や要望をヒアリングし、その結果に基づいて、企業と協議の上、監査範囲や監査内容などを決定する。また、顧客企業が用意する、監査に必要なリソースの準備を支援するほか、監査終了後には監査・報告会を実施し、報告書をもとに監査結果や改善案について説明するとのこと。

　報告会は、顧客企業に訪問し、2カ月の契約期間に1回実施するほか、オプションにて追加の監査・報告会を行うことも可能としている。