イエラエセキュリティとクラスメソッドは2021年3月18日、Amazon Web Services(AWS)のセキュリティ脆弱性を診断して対策を支援するサービスを開始した。イエラエセキュリティの「クラウド診断」で複数の観点からセキュリティ上の問題点を確認し、クラスメソッドが継続的な「対策サポート」を行う。
イエラエセキュリティの「クラウド診断」は、AWSをはじめとするパブリッククラウドを対象に、イエラエセキュリティのセキュリティエンジニアが手動で行う脆弱性診断サービスである(表1)。
拡大画像表示
診断対象のAWSサービスに応じて4つの診断プランを用意している。
- クラウド診断:Amazon EC2などのインスタンスで構成するクラウド環境を診断
- クラウド診断サーバーレス:AWS Lambdaなどのサーバーレス環境を診断
- クラウド診断コンテナ:Amazon ECS/EKS上のコンテナ環境を診断
- クラウド診断Salesforce:Salesforceを診断
クラスメソッドが提供する「対策サポート」は、診断サービスのオプションとして提供する。クラスメソッドのセキュリティエンジニアが、クラウド診断の報告書を基に、改修方法や具体的な対策を支援する。
対策サポートを利用する場合は、AWSの総合支援サービス「クラスメソッドメンバーズ」への加入が必要になる。
提供の背景として同社は、クラウドサービスにおける情報漏洩などのインシデントの原因として、設定不備や認可不備が高い割合を占めている状況を挙げる。
「設定不備の問題については、セルフチェックツールを提供するなど、パブリッククラウドのベンダー側でも対策を進めている。しかし、認証・認可の不備については、効果的なチェックが難しい場合が多く、適した診断サービスも少ない」(同社)