伊藤忠テクノソリューションズ(CTC)は2018年11月5日、AWS(Amazon Web Services)を利用する上でのセキュリティリスクを診断するサービスを発表、同日提供を開始した。価格(税別)は、AWSのアカウント1つあたり1回の診断につき25万円から。販売目標として、製造業や流通業などを中心に、関連サービスを含めて3年間で15億円を掲げる。
AWSの利用環境を対象に、セキュリティ上のリスクの有無を診断する。セキュリティを評価・改善するための指針であるCISベンチマークをはじめとしたセキュリティに関する規格と照合し、パスワードの脆弱性設定やアクセス権限の適切性、ネットワークの状況や監査ログの運用、アラートの管理状況など、AWSの設定や構成について診断する。
図1:AWSの利用環境についてセキュリティリスクやコンプライアンス状況を評価できる(出典:伊藤忠テクノソリューションズ)拡大画像表示
診断ツールとして、米McAfeeの「McAfee MVISION Cloud for Amazon Web Services」を使う。ユーザーやログに関するAWSが推奨するセキュリティへの対応を診断するツールであり、100項目以上の内容を瞬時に診断できるとしている。
規制やセキュリティ規格へのコンプライアンス状況も評価する。GDPRや、医療情報のセキュリティとプライバシー保護に関する米国の法律HIPAAなど、各種規制やセキュリティ規格について、コンプライアンス状況を定量値で評価する。
診断ツールとして、米Palo Alto Networksの「Evident」を使う。GDPRやHIPAAなどの準拠状況について診断できる
組織のクラウドの管理体制も調査する。クラウドサービスの提供や利用におけるセキュリティ規格ISO27017で求められるクラウド利用時の運用や管理の体制について、CTCのエンジニアがヒアリングによって調査する。
