NHN テコラス、「C-Chorus」でGoogle Cloud向けのセキュリティ診断サービスを提供

　NHN テコラス株式会社は16日、クラウド総合支援サービス「C-Chorus（シーコーラス）」において、Google Cloud利用企業向けにセキュリティ診断サービスを提供開始したと発表した。クラウドのインフラからプラットフォーム、アプリケーションまでの各種セキュリティ診断を実施するとともに、対策内容の提案、改善の実施までをカバーするという。

　C-Chorusは、Amazon Web Services（AWS）やGoogle Cloudといったクラウドサービスの活用を支援するサービス。その1メニューとして新たに提供される「Google Cloud セキュリティ診断サービス」は、一般的なインフラ診断で実施されるクラウド環境の脆弱性に限らず、クラウド環境で稼働しているアプリケーションの脆弱性まで幅広く診断するもので、検出された課題への改善提案を通じて、システム停止や情報漏えいなどの潜在的なセキュリティリスクを低減し、企業のセキュリティ強化を支援するという。

　診断では、クラウドのインフラからプラットフォーム、アプリケーションまでをカバー可能で、クラウドインフラでは、IAMと権限管理、ネットワークセキュリティ、ログ・モニタリングなどのメニューを用意する。

　例えばIAM（Identity and Access Management）と権限管理については、過剰な権限を持つロールや使われていないサービスアカウントがあるか、過度な管理者権限設定が行われていないかといった状況のチェックや、サービスアカウントキーが適切に管理されているかどうかなどをチェックする。

　またネットワークセキュリティでは、「0.0.0.0/0」からのアクセスが許可されていないか、不必要なポートがインターネットに開放されていないか、VM、データベース、バケットが意図せず公開されていないか、ファイアウォールルールの設定不備がないか、といった項目をチェックするとのこと。

　プラットフォーム診断では、OSやミドルウェア、ネットワークの設定不備、不要なサービスの検出、脆弱なパスワードの使用状況などを診断可能。アプリケーション診断では、権限昇格などの認証・認可の設定、SQLインジェクションをはじめとするパラメータ処理における脆弱性などを診断するとした。

　なお診断では、対象となる企業・団体のビジネス要件や環境をヒアリングし、診断スコープや課題を特定したうえで、自動スキャンとセキュリティエンジニアによる手動レビューを行って、多角的に診断を実施。リスク評価と対策の優先順位付けを行ったレポートを提供し、改善手法を提示するとともに、発見されたリスク・問題に対し、対策と対応を実施するとしている。