ニュース

Flatt Security、パブリッククラウド固有のセキュリティ診断を提供する「クラウドプラットフォーム診断」

 株式会社Flatt Securityは18日、セキュリティ診断サービスの新メニューとして、クラウド利用環境のセキュリティをチェックする「クラウドプラットフォーム診断」を提供開始すると発表した。

 パブリッククラウドを利用するうえでは、責任共有モデルのような提供者と利用者の責任分解の原則に基づき、利用者はコンポーネントが提供する設定を、利用用途に合わせて設定する必要がある。しかし、この設定に不備があると、ユースケース上で意図していない動作ができてしまう場合や、保存しているデータが公開されてしまう恐れがあるとのこと。

 今回発表された「クラウドプラットフォーム診断」は、Amazon Web Services(AWS)、GCP(Google Cloud Platform)のクラウド環境に関する設定などをチェックするサービス。構成や設定ミスを洗い出す診断を中心とし、外部から直接アクセス可能な範囲の診断や、クラウドにデプロイされているアプリケーションも加えてのペネトレーションテストなどにも対応できるという。

 また同サービスでは、通常のアプリケーション診断やプラットフォーム診断とは異なり、パブリッククラウドの提供するコンポーネント単位、またはそれに連動する一連の流れを一つの診断単位としており、コンポーネントの設定検証はもちろん、IAMのリソースへのアクセス制御やイベント通知で駆動するLambdaの動的/静的なセキュリティ診断も行うとしている。

 なお、それ以外の例としては、Amazon Cognitoについては、ユースケースに合ったアカウント発行プロセス検証、属性の書き込み等の設定検証、ID Poolから発行されたIAMのアクセス制御の検証などを実施。Amazon S3では、利用ユーザーからのオブジェクト/バケットのアクセス権限の検証、パブリックからのオブジェクト/バケットのアクセス権限の検証などを実施するとした。