Cloudbase株式会社は、クラウドセキュリティプラットフォーム「Cloudbase」において、AWS環境を対象とした最新の国際セキュリティ基準「PCI DSS v4.0.1」への対応を開始しました。キャッシュレス決済の普及に伴い、より高度なセキュリティ管理が求められる中、日本企業の皆様が最新基準に則った安全なクラウド運用を迅速に実現できるよう支援いたします。
本アップデートにより、新たに6項目の診断項目を追加するとともに、既存の136項目をPCI DSS v4.0.1にマッピングし、より最新の国際基準に基づいたセキュリティ評価が可能となります。
開発背景
Cloudbaseでは、金融機関をはじめとするお客様に向けて、クレジットカード情報を保護するための国際セキュリティ基準「PCI DSS」に準拠したコンプライアンスチェック機能を提供してきました。
従来の「PCI DSS v3.2.1」はすでに旧バージョンとなり、最新のリスクに対応しきれないという課題をお客様から伺っていました。Cloudbaseでは、基準を満たすこと(Compliance)だけでなく、実効的なリスク排除(Security)を重視しています。 最新のv4.0.1に即応することで、お客様が迷いなく「今、取り組むべきリスク」を特定し、本質的な安全性を確保できる環境を目指しました。
アップデート内容
1.新規診断項目の追加(6項目)
AWS Security Hubのコントロールに基づき、以下の診断項目を新たに追加しました。
AWS Security Hub上のコントロール番号 AWS Security Hub 上の重要度 Cloudbase上のカテゴリ Cloudbase上のタイトル Cloudbase上の重要度 重要度変更理由
Inspector.1 HIGH Inspector Amazon InspectorでEC2スキャンが有効になっていない INFO Cloudbaseが提供するワークロード保護(CWPP)機能にて詳細な脆弱性管理が可能なため、運用負荷を考慮し、本項目での通知優先度を最適化しました。
Inspector.2 HIGH Inspector Amazon InspectorでECRスキャンが有効になっていない INFO 上に同じ
Inspector.3 HIGH Inspector Amazon InspectorでLambdaコードスキャンが有効になっていない INFO 上に同じ
Inspector.4 HIGH Inspector Amazon InspectorでLambda標準スキャンが有効になっていない INFO 上に同じ
RDS.36 MEDIUM RDS CloudWatch LogsにPostgreSQLログを発行していないRDS for PostgreSQL DBインスタンス MEDIUM  
S3.15 MEDIUM S3 オブジェクトロックが有効化されていないS3バケット MEDIUM  
2.既存診断項目のマッピング(136項目)
既存の診断項目のうち、136項目をPCI DSS v4.0.1に対応する形でマッピングしました。 これにより、従来の設定リスク検出結果をそのまま最新のコンプライアンス基準に紐づけて評価することが可能になります。
(※以下、一部抜粋)
AWS Security Hub上のコントロール番号 Cloudbase上のカテゴリ Cloudbase上のタイトル Cloudbase上の重要度
ACM.1 ACM 有効期限の迫ったACM証明書 INFO
ACM.2 ACM キー長 2048 ビット未満のRSA証明書 HIGH
CloudTrail.3 CloudTrail CloudTrailの証跡が存在しない HIGH
CloudTrail.6 CloudTrail パブリック公開されたCloudTrailバケット CRITICAL
EC2.8 EC2 安全でないEC2インスタンスメタデータサービスの利用 HIGH
IAM.5 IAM MFAが有効化されていないIAMユーザー HIGH
Lambda.1 Lambda パブリックアクセス可能なLambda関数 CRITICAL
RDS.2 RDS パブリックアクセスが有効化されたRDSインスタンス HIGH
S3.5 S3 HTTPでの通信を許容しているS3バケット HIGH
※全項目はCloudbase上でご確認いただけます。
期待される効果
本アップデートにより、AWS環境におけるPCI DSS準拠状況を最新基準に基づいて継続的に可視化・評価できるようになります。
最新のPCI DSS v4.0.1に基づいた準拠状況の把握 設定ミスやリスクの早期発見と優先度に基づく対応 クラウド環境における継続的なコンプライアンス運用の効率化
Cloudbaseは今後も、クラウド環境におけるセキュリティリスクの可視化と、実践的なリスク管理の実現を支援してまいります。
各社の商標帰属表示についてはこちらをご参照ください。
Cloudbase株式会社について
エンジニアとしてのバックグラウンドを持つ代表岩佐が2019年に創業したスタートアップ企業です。AWS・Microsoft Azure・Google Cloud・Oracle Cloudといったマルチクラウド環境におけるリスクを統合的に監視・管理できるセキュリティプラットフォーム「Cloudbase」を提供しています。クラウドのみならずオンプレミス環境も含め、企業のインフラ資産全体を横断的に可視化し、セキュリティリスクの継続的な管理を支援しています。
会社概要
社名:Cloudbase株式会社
代表取締役CEO:岩佐晃也
事業内容:クラウドセキュリティプラットフォーム「Cloudbase」の開発
本社所在地:東京都港区三田3-2-8 THE PORTAL MITA 2F
設立: 2019年11月
企業HP:https://cloudbase.co.jp/