クラウドサービス設定診断の提供を開始

2023.08.28

お客様が利用するパブリッククラウドサービスにおける設定不備リスクについて、診断会社の目線で診断、評価、ご報告することで、予防や対策につなげていただくサービスです。

株式会社ファイブドライブ（以下「ファイブドライブ」）は、2023年８月22日、パブリッククラウドサービスにおけるセキュリティにかかわる設定状況を診断、評価、ご報告することで、設定不備の予防・対策につなげていただくことを目的に「クラウドサービス設定診断」（以下「本サービス」）の提供を開始しました。

1.　本サービス開始の背景

　ここ数年、クラウドサービスを利用する事業者において、設定不備による顧客の個人情報など重要情報が流出する事案が増加しており、クラウドサービスの利用におけるリスクとして社会的な問題になっています。

（１）事業環境の変化

　2023年５月に公表された、総務省の「令和４年通信利用動向調査報告書」によると、クラウドサービスを全社的に、または一部の事業所や部門で利用している企業の割合は７割を超えている状況です。また、利用用途については、「ファイル保管・データ共有」が６割を超えており、場所や機器を選ばずに利用できるクラウドサービスは、多くの企業における事業環境を変化させています。

（２）事業環境の変化に伴い増加する新たなリスク（クラウド設定不備）

　事業環境変化に伴い、システムを自社で持つ従来の運用から、システムを自社で持たない新たな運用へとシステム（データ）移行が進む中で、管理の手法と責任範囲の考え方が、大きく変化しています。（詳細は、本リリース内の参考情報「２．事業環境の変化に伴う管理側の意識変化の必要性」についてご一読ください。）

　特に管理面においては、「設定に関する理解不足」や「サービス事業者による適切な設定がされているという誤解等によって、安全ではない設定が放置されてしまう」など、設定不備によって情報の漏えい等につながるリスクが増大しています。

【設定不備事例】

2.　本サービスの概要

本サービスでは、専門のツールを用いて網羅的なクラウドサービス設定状況を診断、機械的な対応優先度を洗い出し、その結果をご報告することで、対応の優先順位の参考にしていただくことが可能です。

　さらに、ファイブドライブのプロの診断者の目でお客様の実態に合わせた個別評価や推奨対策のご提案をおこなうオプションサービスをご用意しています。

　これらによって、クラウドサービスの設定状況を洗い出し、リスクの解決や運用の改善に繋げていただくことが狙いです。

３．サービスの特徴

（１）複数種類のクラウドサービスを診断可能

　AWS（Amazon Web Services）、GCP（Google Cloud Platform）、Microsoft Azure、Microsoft 365、OCI（Oracle Cloud Infrastructure）、FJcloud（FUJITSU Hybrid IT Service FJcloud-O）の診断が可能です。記載のないクラウドサービスはご相談ください。クラウドサービスによってはサービスから提供される情報（ドキュメント）を考慮してセキュリティ設定項目を整理し、手作業で診断することが可能です。（カスタマイズ対応となります）

（２）セキュリティ設定のベストプラクティスであるCISベンチマークを基準とした診断

　診断の基準とするCISベンチマーク※はセキュリティ設定ガイドラインとしてセキュリティベストプラクティスとして、セキュリティ専門家によって分析された結果に基づき、個別のクラウドサービスにおける主要な設定項目のセキュリティ設定の推奨事項が記載されています。そのため、多角的かつ深い内容でセキュリティ設定の確認が可能です。また、基準は常にアップデートされており、クラウドサービス機能の変化、セキュリティ脅威状況の変化に合わせた対応を行うことができます。

（詳細は、本リリース【参考情報】「１．クラウドサービス設定診断の診断項目例」をご確認ください。）

（３）ツール結果に加え、オプションで運用実態を踏まえた改善提案が可能

　クラウドサービスの中には、サービス事業者が提供する設定監査機能（セキュリティチェック機能）を利用することで本サービスと同様の調査を行うものもあります。クラウド機能の一部として利用できる利点はありますが、機械的に項目の判定が行われるものの自動確認の検出結果（取得情報）だけでは、システム設計や運用方針を踏まえた上での設定値の妥当性や問題有無の判別ができません。本サービスでは、機械的な判定を行うだけでなく診断技術者がシステム要件やユーザー管理方針等のヒアリングを行い、運用実態を踏まえた上で設定値の判定とリスクの評価を行うことも可能です。

　※CIS benchmarkとは

４．サービス提供の流れ

サービスは、ツールによる診断を基本プランとしています。お客様の運用実態に即した評価をご要望の場合は、評価オプションを基本プランに追加してお申し込みください。

５．サービス提供価格

【価格イメージ】

　・基本プラン（ツールを使用した診断と機械的な評価）

　　１アカウント５０万円～（５営業日～）

　・評価オプション

　お客様とのお打ち合わせにより、必要となる内容、日数などを考慮してお見積りします。

（注意）価格については参考です。ご要望や状況に応じて変動する可能性がございますので、弊社営業にお問い合わせください。

株式会社ファイブドライブについて

　ファイブドライブは、何よりも大切なお客さまの「情報」をお護りするため、最新の知識と技術を持つ日本人スタッフにより、一件一件手作業で細部まで丁寧に診断します。あらゆる情報セキュリティを想定したサービスをご用意しておりますのでお気軽にご相談ください。

https://www.fivedrive.jp/

出典：PRTimes クラウドサービス設定診断の提供を開始