GCPペネトレーションテストについて
Google Cloud Platform(GCP)のセキュリティを評価するテストです。
専門家がGCPサービスの設定とアクセスコントロールを検証し、
データの保護とプラットフォーム全体のセキュリティを向上させるための推奨事項を提案します。
外部と内部からの攻撃を防御
クラウド環境のセキュリティを向上
クラウド環境は脆弱性を突いて外部から攻撃される可能性があります。
外部からの攻撃以外にも注意すべきことがあります。悪意を持った内部の従業員も監視しなければいけません。他にも、クラウド環境とは別の侵入口から攻撃される可能性やシステムやアプリケーション自体にセキュリティ上の欠陥がある可能性にも対処する必要があります。
専門家がGCPサービスの設定とアクセスコントロールを検証し、アプリケーションやインフラストラクチャーのセキュリティに問題がないかチェックできます。
また、外部と内部の攻撃者が使用する可能性のある攻撃手法や機能の濫用など様々な手法で疑似攻撃し、攻撃の目標が達成できるか検証します。
GCPペネトレーションテストの方法
GCPサービスの設定とアクセスコントロールを検証し、サイバーセキュリティの課題への対処とリスク管理をし、データの保護とプラットフォーム全体のセキュリティ体制を強化するための専門的な支援をします。
高度な専門知識を持つコンサルタントがお客様のニーズに合わせた最適なサイバーセキュリティ対策を提供します。
- 外部からの攻撃
- 悪意のある攻撃者が不正に侵入し、データを盗み取ったり、破壊したりすること。
- 取引先など信頼していた関係者が不正に侵入し、データを盗み取ったり、破壊したりすること。
- Gitリポジトリのデータ漏洩
- 誤った構成のリポジトリで機密データが漏洩すること。
- コミット(追加・変更したファイルをGitに登録するためのコマンド)のミス、機密データの誤公開。
- アプリケーション・サーバーレベルの脆弱性
- LFIやRCEを介してローカルに保存された情報が盗まれる。
- SSRF攻撃やRCEなどにより、サーバーメタデータを介した情報の盗難。
※LFI:ローカルファイルインクルージョン。閲覧権限のないサーバー内のファイルを閲覧するためにファイルパスをリクエストのパラメータに挿入して送信し、対象ファイルを表示させる攻撃。 ※SSRF:サーバーサイドリクエストフォージェリ。外部から到達できない領域にあるサーバーなどに対して、バグを悪用したリクエストを偽造し、本来公開されてないサーバにアクセスすること。 ※RCE:リモートコード実行。攻撃者が組織のコンピュータやネットワーク上で悪意のあるコードを実行させようとする攻撃。
- パスワードの再利用
- 古い第三者データベースが不正アクセスされたにも関わらず、ユーザーが依然として不正利用されたパスワードを使用している。
- ユーザーが複数のアカウントで同じパスワードを使用している。
- ソーシャルエンジニアリング
※人間の心理を利用して重要情報を盗み取る攻撃- フィッシング。偽のサイト上でIDやパスワードを入力させ盗み取る。
- トロイの木馬など、無害なソフトやアプリに偽装してユーザーにダウンロードさせる。
- 電話などでもっともらしい作り話をし相手を騙して情報を聞き出す。
- PC画面を覗き見て情報を盗む。
- 机の中やゴミ箱から情報を盗む。
- マルウェアが仕込まれたUSBメモリを放置し、誰かに使用させる。
- 内部人員による攻撃
- 従業員が不正に侵入し、データを盗み取ったり、破壊したりすること。
- 従業員のミスが不正アクセスのきっかけになったり、データ漏洩する。
GCPペネトレーションテストを実施して、これらの攻撃を防御できているか検証する必要があります。
下記のようなさまざまな脆弱性や誤構成などを検証します。
- クラウド環境にアクセスする全IAMメンバー(ユーザー・サービスアカウント)の権限チェック。
- 権限の不足をチェックし、その脆弱性を利用した攻撃手法を予想して偽装攻撃を行ない、目的が達成できるか検証する。
- Google Kubernetes Engine(GKE)の構成分析と悪用の可能性を検証。
- セキュリティコントロールのテスト。
(仮想マシン、Google Storage、データベース、または他の場所からのデータの外部転送を検出できるか、技術的なコントロールを回避できるか、悪意のある行為を検出できるか、などを検証) - ベストプラクティスができているか検証。
(Stackdriverログ・モニタリング、暗号化、Cloud Security Scannerなどの組み込みのセキュリティツールを使用しているか) - 公開すべきでないものが公開されているかどうかなど公開設定のチェック。
- ユーザー・プロジェクト・組織間の権限が適切かチェック。
- アカウント内のバックドア(システム内部へ侵入するため、意図的に作られる入口)の検出やそれらが検出されても存続しうるかチェック。
- Cloud Functionsのコードレビュー、Cloud Functionトリガー、構成、および設定を介した悪用を検証。
- クラウド間・オンプレミス環境間のピボット。
※オンプレミス:サーバーやネットワーク機器、ソフトウェアなどを自社で管理する施設内に設置して運用すること。
※ピボット:不正に侵入したマシンをルータとして利用し、別のネットワークにアクセスするハッキング技術
GCPペネトレーションテスト実施後、検出された全ての脆弱性と誤構成の詳細、成功した攻撃の詳細をレポートに記載します。
テスト結果を分析し、データの保護とプラットフォーム全体のセキュリティ体制を強化するための支援をします。高度な専門知識を持つ専門家がお客様のニーズに合わせた最適なサイバーセキュリティ対策を提供します。
また、GCPペネトレーションテスト中に重要度が高いと判断されるもの(重大なリスクの脆弱性やテスト以前の侵害の兆候など)が発見された場合、すぐさま報告し現時点でできる最善の対策を提案いたします。
テスト結果を分析し、データの保護とプラットフォーム全体のセキュリティ体制を強化するための支援をします。高度な専門知識を持つ専門家がお客様のニーズに合わせた最適なサイバーセキュリティ対策を提供します。
また、GCPペネトレーションテスト中に重要度が高いと判断されるもの(重大なリスクの脆弱性やテスト以前の侵害の兆候など)が発見された場合、すぐさま報告し現時点でできる最善の対策を提案いたします。
GCPペネトレーションテストを実施する際、Googleの許可は必要ありません。
しかし、Googleの利用規約に従う必要はありますので、お客様の所有していないリソースをテスト対象にすることはできません。
また、GoogleのAUPに違反したり、GCPペネトレーションテスト中にお客様の業務を妨害しないように、「サービス妨害」のカテゴリーに属する脆弱性のテストは行いません。
しかし、Googleの利用規約に従う必要はありますので、お客様の所有していないリソースをテスト対象にすることはできません。
また、GoogleのAUPに違反したり、GCPペネトレーションテスト中にお客様の業務を妨害しないように、「サービス妨害」のカテゴリーに属する脆弱性のテストは行いません。
GCPペネトレーションテストの主なテスト項目
認証セキュリティ診断
破損したオブジェクトレベル認証診断
破損した認証診断
破損したオブジェクトプロパティレベル認証診断
制限されていないリソース消費診断
制限されていないリソース消費診断
破損した関数レベルの認証診断
機密ビジネスフローへの無制限アクセス診断
サーバー側のリクエスト偽造診断
セキュリティの誤構成確認
不適切なインベントリ管理
安全でないAPIの利用診断
複雑でカスタマイズ可能な攻撃シナリオ診断
脆弱性を狙う巧妙な攻撃
高度な偵察
ゼロデイ脆弱性診断
高度な回避技術/バイパス技術
高度持続型攻撃のシミュレーション
シナリオベース診断