伊藤忠テクノソリューションズ(CTC)は2018年11月5日、AWS(Amazon Web Services)を利用する上でのセキュリティリスクを診断するサービスを発表、同日提供を開始した。価格(税別)は、AWSのアカウント1つあたり1回の診断につき25万円から。販売目標として、製造業や流通業などを中心に、関連サービスを含めて3年間で15億円を掲げる。
AWSの利用環境を対象に、セキュリティ上のリスクの有無を診断する。セキュリティを評価・改善するための指針であるCISベンチマークをはじめとしたセキュリティに関する規格と照合し、パスワードの脆弱性設定やアクセス権限の適切性、ネットワークの状況や監査ログの運用、アラートの管理状況など、AWSの設定や構成について診断する。
拡大画像表示
診断ツールとして、米McAfeeの「McAfee MVISION Cloud for Amazon Web Services」を使う。ユーザーやログに関するAWSが推奨するセキュリティへの対応を診断するツールであり、100項目以上の内容を瞬時に診断できるとしている。
規制やセキュリティ規格へのコンプライアンス状況も評価する。GDPRや、医療情報のセキュリティとプライバシー保護に関する米国の法律HIPAAなど、各種規制やセキュリティ規格について、コンプライアンス状況を定量値で評価する。
診断ツールとして、米Palo Alto Networksの「Evident」を使う。GDPRやHIPAAなどの準拠状況について診断できる
組織のクラウドの管理体制も調査する。クラウドサービスの提供や利用におけるセキュリティ規格ISO27017で求められるクラウド利用時の運用や管理の体制について、CTCのエンジニアがヒアリングによって調査する。