このサービスは、セキュリティリスクと各種コンプライアンスへの準拠状況について、AWSの利用環境に対する診断を行うもの。アクセス権限の管理、インシデント発生時の監査ログの取得、監視のためのアラート通知など、AWSの設定についてセキュリティ上のリスクの有無を診断し、また、GDPRや医療情報のセキュリティとプライバシー保護に関する米国の法律HIPAA(Health Insurance Portability and Accountability Act)などのコンプライアンス状況について評価する。
このサービスは、ユーザーやログに関するAWSが推奨するセキュリティへの対応を診断するMcAfee社の「McAfee MVISION Cloud for Amazon Web Services」や、GDPRやHIPAAなどの準拠状況について診断するパロアルトネットワークス社の「Evident」などのツールを使用しており、合計100以上の診断項目に対して短期間での診断が可能だという。クラウドの運用や管理の体制については、CTCのエンジニアがヒアリングにより調査を行う。
セキュリティ診断サービスの概要
1. AWSの利用におけるセキュリティ上のリスクの有無を診断
セキュリティを評価・改善するための指針であるCISベンチマークをはじめとしたセキュリティに関する規格と照合し、パスワードの脆弱性設定やアクセス権限の適切性、ネットワークの状況や監査ログの運用、アラートの管理状況など、AWSの設定や構成について診断。診断ツールを利用することで、100項目以上の内容を瞬時に診断。
2. 規制やセキュリティ規格へのコンプライアンス状況を評価
GDPRやHIPAAなどの各種規制やセキュリティ規格についてコンプライアンス状況を定量値で評価。
3. 組織のクラウドの管理体制を調査
クラウドサービスの提供や利用におけるセキュリティ規格ISO27017で求められるクラウド利用時の運用や管理の体制についてCTCのエンジニアがヒアリングにより調査を行う。
