クラスメソッドとイエラエセキュリティ、パブリッククラウドの脆弱性診断サービスを提供

　クラスメソッド株式会社と株式会社イエラエセキュリティは18日、Amazon Web Services（AWS）などのパブリッククラウド利用企業向けに、クラウドサービスの脆弱性診断サービス「クラウド診断」、およびその結果を基にした対策支援サービス「対策サポート」を販売開始すると発表した。

　サービスのうち「クラウド診断」は、AWSやMicrosoft Azure、Google Cloud Platformなどのパブリッククラウドを対象に、イエラエセキュリティのセキュリティエンジニアが脆弱性を洗い出す診断サービス。パブリッククラウドの設定やコンテナを採用したシステムの設定ファイルをホワイトボックス形式で分析し、脆弱性を洗い出す静的解析と、診断対象のアプリケーションの動作を解析し、攻撃を試みる動的解析を併用したセキュリティ診断を行う。

　具体的なメニューとしては、Amazon EC2やAzure Virtual Machinesなど、インスタンスで構成されたクラウド環境を対象とした「クラウド診断」、AWS Lambda、Azure Functionsといったサーバーレス環境を対象とした「クラウド診断サーバレス」、Amazon ECS/EKS上のコンテナ環境を対象とした「クラウド診断コンテナ」と、SaaSであるSalesforceを対象とした「クラウド診断Salesforce」が提供される。

　なおSalesforceの診断では、Experience Cloudを利用した組織を主な対象としており、アクセス権限をはじめとした設定の検証に加えて、Apexに対するソースコード診断に対応する。従来のブラックボックスなWeb診断のテクニックと合わせ、認可制御の問題を中心に細やかな検証を実施するとのこと。SaaSを対象とした診断サービスは、今後、順次追加される予定だ。

　また「クラウド診断」のオプションとして、クラスメソッドのセキュリティエンジニアがクラウド診断の報告書を基に、改修方法や具体的な対策を支援する「対策サポート」を提供する。なお、「対策サポート」の申し込みにあたっては、クラスメソッドのAWS総合支援サービス「クラスメソッドメンバーズ」への加入が条件となる。