AWSトップへ 相談する
TOP / AWS Services / Security Assessment
AWS SECURITY ASSESSMENT

AWS環境向け脆弱性診断

Amazon Inspectorでは検知できない「外部攻撃者視点」のリスクを網羅的に検査。
エシカルハッカーによる擬似攻撃で、潜在的なセキュリティホールを特定します。

診断について相談する
AWS脆弱性診断イメージ
OUR APPROACH

設定ミスから未知の脅威まで、
AWS特有のリスクを徹底的に排除

AWS環境において、セキュリティ事故の多くは「設定ミス」に起因します。セキュリティグループの開放、S3の公開設定、IAM権限の過剰付与など、AWSならではのリスクポイントを重点的に診断します。

ツール診断だけでなく、専門エンジニアが手動で攻撃シナリオを検証するため、ビジネスロジックに潜む脆弱性も発見可能です。

WHY CHOOSE US

Sun*の診断が選ばれる理由

実践的な侵入テストと、国際基準に基づいた監査を組み合わせ、
AWS認定資格を持つ専門チームがリスクを洗い出します。

01

外部からの「実践的」な
ペネトレーションテスト

インターネット経由でAWS上のシステム(EC2, ELB等)に実際にアクセスを試みます。セキュリティグループの設定ミスによる意図しないポート開放や、WAFをすり抜ける攻撃パターンを、攻撃者の視点で実践的に洗い出します。

侵入テスト
02

「CIS Benchmarks」に基づいた
客観的な設定監査

AWS環境の構成が、世界的なセキュリティ基準である「CIS AWS Foundations Benchmark」に準拠しているかをチェックします。CloudTrailの無効化や、ルートアカウントの使用など、重大なリスクにつながる設定不備を検出します。

設定監査
03

高度な技術を持つ
専門チームによる解析

自動ツールによるスキャンに加え、国際的なセキュリティ資格(OSCP, CEH)やAWS認定資格を持つエンジニアが診断を行います。機械的なチェックでは発見が難しい、AWSサービスの仕様を突いた攻撃シナリオも検証します。

専門チーム
DIAGNOSTIC ITEMS

主な診断項目

ネットワークからプラットフォームまで、多角的にリスクを可視化します。

ネットワーク診断

ネットワーク診断

Port Icon

セキュリティの設定不備を確認

DoS Icon

VPC/Subnet構成の脆弱性評価

プラットフォーム診断

プラットフォーム診断

Bug Icon

EC2/RDS等のパッチ適用状況

IAM Icon

IAM権限の過剰付与チェック

侵入・漏洩リスク

侵入・漏洩リスク

Login Icon

S3バケットの公開設定ミス

Leak Icon

機密情報の外部流出リスク

WORKFLOW

診断フローと期間

ヒアリングから報告書の提出まで、スムーズに進行します。
期間目安:診断開始から2週間程度(範囲により変動)。

STEP 01

環境準備・ヒアリング

対象となるAWSアカウントや構成図を確認し、診断範囲(ブラックボックス/ホワイトボックス)とスケジュールを決定します。

STEP 02

自動・手動診断

ツールによるスキャンと、エンジニアによる手動診断を実施。実際の攻撃手法を模倣し、多角的に検査します。

STEP 03

報告書提出・報告会

発見された脆弱性の詳細(Risk Level)、再現手順、具体的な対策案を記載したレポートを提出し、解説を行います。

STEP 04

対策確認(再診断)

修正対応後の環境に対して再スキャン・手動診断を実施。脆弱性が解消されたことを確認し、完了とします。

FAQ

よくある質問

AWS脆弱性診断に関するご質問にお答えします。

本番稼働中の環境でも診断できますか?
はい、可能です。ただし、擬似攻撃による負荷がかかる場合があるため、ステージング環境での実施を推奨しています。本番環境で実施する場合は、アクセス数の少ない時間帯に行うなどの調整をさせていただきます。
Amazon Inspectorなどの自動ツール診断との違いは何ですか?
Inspectorは既知の脆弱性(CVE)や設定不備を自動検知するのに優れていますが、ビジネスロジックの欠陥や、複数の脆弱性を組み合わせた複雑な攻撃シナリオまでは検知できません。本サービスでは、専門エンジニアが手動で攻撃者の視点から診断を行うため、より深く致命的なリスクを発見できます。
Webアプリケーション診断との違いはなんですか?
「プラットフォーム診断(本サービス)」は、AWS上の仮想マシン、NW機器、OS、ミドルウェアなどのインフラ層を対象としています。一方、「Webアプリケーション診断」は、その上で動作するWebアプリ(SQLインジェクションやXSSなど)を対象とします。
診断結果の報告書はどのような形式ですか?
詳細なPDFレポートとして提出します。発見された脆弱性の概要、リスクレベル(High/Medium/Low)、再現手順、推奨される対策方法などが具体的に記載されており、エンジニアが修正作業を行うための手順書としても活用いただけます。
CONTACT

無料で相談する

AWS環境のセキュリティ診断や、構成のレビューなど、
まずはお気軽にお問い合わせください。