■入口対策(攻撃の侵入を防ぐ対策)
- DDoS対策:有
- アンチウィルス対策:有
アンチウィルスソフトをインストールし、自動で常時パターンファイルを最新にしています。 - WAF:有
WAF導入に加えて、Amazon GuardDutyおよびアプリケーションレイヤーでも不正アクセス対策を実施しております。 - IPアドレス制限/ポート制限等FW設定:有
(1) アプリケーションレイヤーでのIP 制限
外部とネットワーク接続しているのはサービス用エンドポイントのみです。
その他の内部通信のみを行うリソースについては、インターネットゲートウェイとパブリック IP アドレスの発行を行わず、制限されたプライベート IP アドレスからのみアクセス可能な設定をしています。
(2) ポート制限
顧客情報を送受信するサービス用プロトコルは HTTPS に限定しています。
内部の通信については、不要なポートを全て閉じています。 - 証明書認証:有
電子証明書の発行会社から発行されたサーバ証明書を使用しています。 - 不正アクセス監視:有
サービス内部では、CloudWatch、Athena等を利用してセキュリティログの収集・分析を実施しております。
※ SOC運用は、今後、検討予定です。 - 不正アクセス防御/検知:有
WAF導入に加えて、Amazon GuardDutyおよびアプリケーションレイヤーでも不正アクセス対策を実施しており、不正アクセスの検知、不正アクセスのブロック、万が一不正アクセスされた場合の調査用にログを管理しています。(監視対策:脅威検出、侵入防御対策、DDoS対策)
※ IPS/IDSは、今後、検討予定です。
■出口対策(侵入後に被害の発生を防ぐ対策)
DirectConnectを利用していないユーザはインターネット経由で接続しておりますが、インターネットとの接続箇所における出口対策については、以下の通り対策を実施しております。
- ボットネット対策(フィルタリング等):有
未知の外部ネットワークへの接続については、NACL、及びセキュリティグループによるアクセス遮断を実施しております。
また、AWS GuardDutyを有効化しており、機械学習プログラムによりトロイの木馬プログラムの攻撃が疑われると判定された場合には検知することが可能です。 - 不正アクセス監視(SOC等によるモニタリング):無
サービス内部では、CloudWatch、Athena等を利用してセキュリティログの収集・分析を実施しておりますが、SOC運用までは実施していません。
今後、サービス内部でのセキュリティログの運用改善、及びSOC運用については、検討中となります。 - 必要に応じてDLP機能の有効化等:有
作業PCには「LANSCOPE」(Windows用)、「jamf Pro」(Mac用)を導入し、以下の情報漏洩対策を施しています。
- PCの稼働状況・ログ管理
- 情報漏洩時の経路特定
- 個人データ保存フォルダや機密フォルダへの不正アクセスの監視
- 外部記録媒体の制御
■内部対策(その他の対策)
クラウド設定、脆弱性検知(CSPMなど)
DX Suite は、ユーザーリソースについてデータ保護を実施し、厳重な管理を行っています。
- ネットワークの脆弱性:有
WAF をサービス用エンドポイントに導入し、ウェブアプリケーションの脆弱性を狙うサイバー攻撃を防御します。定期的に最新の脅威情報を取り込んでおり、常に最新の脅威情報に対応しています。また、ネットワークの脆弱性診断を第三者機関による DX Suite のネットワーク脆弱性診断を1年に1回実施しています。
実施内容:
・ポートスキャン
・Webサーバ脆弱性
・バックドア調査
・ファイアウォール脆弱性
・他ホスト全体調査
・運用サーバ自動セキュリティアップデート - ウイルス対策:有
ウイルス対策ソフトウェアを導入しており、ウイルスパターンファイル及びウイルススキャンを定期的に自動実行しています。 - ソフトウェアのアップデートやパッチの適用:有
フルスキャン:1ヶ月に1回
WindowsUpdate:2週間に1回程度(マストではない)
セキュリティアップデート:2週間に1回程度(マストではない)
パッチの適用:日々脆弱性情報データベースを確認し、影響範囲・深刻度を精査し、必要に応じてセキュリティパッチを適用しています。 - データの暗号化:有
DBインスタンスを暗号化しております。
ログ監視
CloudWatch, Athena等の利用で一部のログ分析などを行っています。
DX Suite では、不正アクセスの検知、不正アクセスのブロック、万が一不正アクセスされた場合の調査用にログを管理しています。
(監視対策:脅威検出、侵入防御対策、DDoS対策)