01
外部からの「実践的」な
ペネトレーションテスト
Azure上のシステムに対し、インターネット経由で実際にアクセスを試みることで診断を行います。Azureのファイアウォール(NSG等)の設定ミスによる不要なポート開放や、外部から視認できるサービスの脆弱性を、攻撃者の視点で実践的に洗い出します。
MICROSOFT AZURE SECURITY
Microsoft Azure環境向け
脆弱性診断
プラットフォーム・ネットワークの設定不備と脆弱性を
「攻撃者視点」のペネトレーションテストで徹底検査。
不正侵入や情報漏洩につながるリスクを検出・評価します。
OUR APPROACH
クラウドインフラの設定不備と脆弱性を「攻撃者視点」で徹底検査
Azure上の仮想マシン、OS、サーバー、ネットワーク機器を対象とした脆弱性診断サービスです。
外部(インターネット)からの攻撃者と同じ視点で診断を行い、不正侵入や情報漏洩につながるリスクを検出・評価します。
WHY CHOOSE US
Sun*の診断が選ばれる理由
実践的な侵入テストと、国際基準に基づいた監査を組み合わせ、
高度な技術を持つ専門チームがリスクを洗い出します。
外部からの「実践的」な
02
「CIS Benchmarks」に基づいた
客観的な設定監査
OS(Windows/Linux)の設定状況を、世界的なセキュリティ基準である「CIS Benchmarks」に基づいてチェックします。デフォルト設定のまま放置された脆弱な設定や、セキュリティ強度の低い構成を確実に見つけ出します。
03
高度な技術を持つ
専門チームによる解析
自動ツール(Nessus等)によるスキャンに加え、国際的なセキュリティ資格(OSCP, CEH等)を持つエシカルハッカーが診断を行います。機械的なチェックでは発見が難しい、複合的な要因によるセキュリティホールや論理的な欠陥を専門家が特定します。
DIAGNOSTIC ITEMS
主な診断項目
ネットワークからプラットフォームまで、多角的にリスクを可視化します。
ネットワーク診断
公開ポート調査や
不要なサービスの検出
DoSリスクの確認を実施
プラットフォーム診断
OSやミドルウェアの
既知の脆弱性調査
パッチ適用状況を確認
侵入・漏洩リスク
不正ログイン試行
設定不備によるシステム情報の流出とリスクを診断
WORKFLOW
診断フローと期間
ヒアリングから報告書の提出まで、スムーズに進行します。
期間目安:診断開始から2週間程度(範囲により変動)。
STEP 01
環境準備・ヒアリング
対象となるAzure環境(IPアドレス、構成図等)を確認し、診断範囲とスケジュールを決定します。
STEP 02
自動・手動診断
専用ツールによるスキャンと、エンジニアによる手動診断を実施。 実際の攻撃手法を模倣し、多角的に検査します。
STEP 03
報告書提出
発見された脆弱性の詳細、再現手順、具体的な対策案を記載したレポートを提出します。 報告会を実施し、修正方針のアドバイスも可能です。
STEP 04
対策確認・再診断
修正対応後の環境に対して再スキャン・手動診断を実施。指摘事項が確実に改善されているかを検証し、診断を完了とします。
FAQ
よくある質問
Azure脆弱性診断に関するご質問にお答えします。
本番稼働中の環境でも診断できますか?
はい、可能です。ただし、擬似攻撃による負荷がかかる場合があるため、ステージング環境での実施を推奨しています。本番環境で実施する場合は、アクセス数の少ない時間帯に行うなどの調整をさせていただきます。
自動ツールによる診断と手動診断の違いは何ですか?
自動ツールは既知の脆弱性(CVE)を網羅的にチェックするのに適していますが、ビジネスロジックの欠陥や複雑な権限設定の不備などは検知しきれません。手動診断では、専門エンジニアが攻撃者の視点でシナリオベースの検証を行うため、より深く致命的なリスクを発見できます。
Webアプリケーション診断との違いはなんですか?
「プラットフォーム診断」は、OS、ミドルウェア、ネットワーク機器などのインフラ層を対象としています。一方、「Webアプリケーション診断」は、その上で動作するWebアプリ(SQLインジェクションやXSSなど)を対象とします。本サービスは前者のインフラ層の診断となります。
診断結果の報告書はどのような形式ですか?
詳細なPDFレポートとして提出します。発見された脆弱性の概要、リスクレベル(High/Medium/Low)、再現手順、推奨される対策方法などが具体的に記載されており、エンジニアが修正作業を行うための手順書としても活用いただけます。
CONTACT
無料で相談する
Azureへの移行診断や、具体的なアーキテクチャのご相談など、
まずはお気軽にお問い合わせください。