コンテンツへスキップ

Azureペネトレーションテストについて

Microsoft Azureクラウドプラットフォームのセキュリティを評価するテストです。

専門家がAzureサブスクリプションの構成を検証し、データの機密性、可用性、および整合性を確保するための対策を提案します。

Azureクラウドのセキュリティの脆弱性をチェック

Azureクラウドの
重大事故を未然に防ぐ

高度な専門知識と技術を持つ専門家がAzureクラウド環境のセキュリティに脆弱性がないか検証し、改善策を提案します。Azureの不正利用や設定ミスによる、情報漏洩など重大事故の発生を未然に防ぎます。

常に変化するクラウド環境はツール診断だけでは脆弱性を発見できないこともあります。弊社の専門家が最新の知識と技術でセキュリティリスクを見つけ出します。

Azureペネトレーションテストの方法

Microsoft Azureクラウドプラットフォームのセキュリティを評価するテストです。

指定された基準、規制要件、ベストプラクティスを満たしているかを確認し、クラウドサービスのさまざまな側面を調査します。

Azureクラウドの安定性とセキュリティの確保はユーザーの任されています。

Azure には、Microsoftが用意したセキュリティがありますが、経験豊富なユーザー向けで難しいものです。

Azureサービスは、仮想マシン、ネットワーク、およびアプリケーションを作成するサービスで、機密性の高いデータを扱うAzureクラウドのセキュリティ運用は最も重要です。セキュリティに問題がないか定期的に監視することが不可欠です。

2017 年 6 月時点で、Azure サービスでペネトレーションテストを実施するために事前承認は必要ありませんので、承認手続きをする時間を短縮できますが、事前に調査する項目がまだたくさんあります。
特定のテスト方法は、他の Azureユーザーを保護するために禁止されているので注意が必要です。中には、サーバー上でサービス拒否(DoS)攻撃を実行するなど、明らかに破壊的なものもあります。
スコープ外のサービスのスキャンや、過剰なトラフィックを生成するスキャナーの実行など、その他の操作も、Azureユーザーベースに意図しない悪影響を与える可能性があるので禁止されています。
これらのルールは、他のAzureユーザーがペネトレーションテストで影響を受けないようにするために必要です。
Azureクラウドのセキュリティに詳しい経験豊富な専門家によるペネトレーションテストを実施することは、大規模な障害が起きる可能性を減らすために非常に重要です。
Webサービスは、SQLインジェクション攻撃(Webアプリケーションの脆弱性につけこみ不正なSQL文を入力し、データ窃取や改ざんをする攻撃)の脅威など、一般的な脆弱性と無縁ではありません。弊社は、最先端の技術と業界のベストプラクティスを採用して、このような脅威からWebサービスを保護します。重要なアプリケーションのセキュリティと整合性を確保します。

ペネトレーションテストができるAzureクラウドは下記のものです。

  • Microsoft Azure
  • Microsoft Intune
  • Microsoft Dynamics 365
  • Microsoft Account
  • Office 365
  • Visual Studio Team Services

Azureペネトレーションテストのレポートは、ネットワークまたはWebアプリケーションペネトレーションテストのレポートに似ています。

サンプルは下記のダウンロードボタンからダウンロードできます。弊社のレポートは、発見された脆弱性のリスクの深刻度や成功した攻撃の分析と対策などセキュリティを強化するための具体的な提案が記載されています
また、Azureペネトレーションテストのレポートには、プラットフォーム固有の脆弱性の検証結果を記載しています。さらに、Azureインスタンス(仮想マシン)とクラウド環境全体に関するセキュリティ評価とセキュリティ向上対策も記載しています。

Azureペネトレーションテストの主なテスト項目

認証セキュリティ診断

破損したオブジェクトレベル認証診断

破損した認証診断

破損したオブジェクトプロパティレベル認証診断

制限されていないリソース消費診断

制限されていないリソース消費診断

破損した関数レベルの認証診断

機密ビジネスフローへの無制限アクセス診断

サーバー側のリクエスト偽造診断

セキュリティの誤構成確認

不適切なインベントリ管理

安全でないAPIの利用診断

複雑でカスタマイズ可能な攻撃シナリオ診断

脆弱性を狙う巧妙な攻撃

高度な偵察

ゼロデイ脆弱性診断

高度な回避技術/バイパス技術

高度持続型攻撃のシミュレーション

シナリオベース診断

総合的なレポート