Gradion

インフラ運用に組み込まれたセキュリティ。後付けではありません。

クラウドへの移行は、これまでとは異なる脅威の領域を生み出します。インフラがAWS、Azure、GCPにまたがり、IDが従業員、契約社員、サービスアカウント、APIなど多岐にわたる状況では、境界型セキュリティでは対応しきれません。セキュリティの問いは、「誰がネットワーク内にいるか」から「あらゆるIDからのあらゆるリクエストが実際に認可されているか」へと変化します。

クラウドへの迅速な移行を進めた多くの組織では、不適切な権限設定、過度に緩いセキュリティグループ、コード内の認証情報、ログの不備など、設定のずれ(ドリフト)が蓄積されがちです。クラウドプラットフォームはこれらの問題を解決するためのツールを提供していますが、通常不足しているのは、体系的に問題を解消するためのエンジニアリング時間と規律です。

グラディオンは、B2Bマーケットプレイスの主要事業者様向けにインフラ強化プログラムの一環としてAWS WAFの導入と多層的なクラウドポリシーを適用し、より強固なセキュリティ体制で99.9%の稼働率を達成するなど、クラウドインフラおよびセキュリティ関連の業務を提供してきました。また、スイスの銀行テクノロジープロバイダー様向けには、AzureとGCPを組み合わせたマルチクラウドアーキテクチャを設計し、厳格なFINMAデータ主権要件を満たしつつ、大手監査法人のセキュリティおよびコンプライアンス監査を修正なしでクリアしました。本ページでは、これらの実績に基づいたサービスをご紹介します。

クラウドセキュリティ評価と強化

お客様のコンプライアンス要件に基づき、CIS、NIST、PCI DSS、SOC 2などのベンチマークに照らしてクラウド環境を評価します。評価期間は3~5日間、強化作業は1~2週間です。成果物として、セキュリティポスチャーレポート、強化ロードマップ、監視設定を提供します。強化作業は本サービスに含まれており、レポート作成のみで改善を他社に委ねることはありません。

よく見られる課題として、プライベートであるべき公開リソース、過度に緩いIAMポリシー、暗号化されていないストレージ、ログの欠落または不完全性、CI/CDパイプライン内のハードコードされた認証情報などが挙げられます。これらは特殊な脆弱性ではなく、セキュリティベースラインなしで迅速に移行した結果、日常的に蓄積されるものです。

IDおよびアクセス管理

私たちが最も一貫して発見するギャップは、特権の乱立です。管理者権限を持つサービスアカウント、特権ユーザーに対するMFAの未適用、長期にわたる認証情報に対するローテーションポリシーの欠如などが挙げられます。私たちはクラウドおよびオンプレミスシステム全体のIAM設定を監査し、最小特権アクセスを強制し、MFAが不足している箇所に導入し、サービスアカウントの権限を管理します。金融、ヘルステック、デジタルIDなどの規制対象環境では、FINMAの規制下にあるスイスの銀行テクノロジー顧客向けに行ったように、FINMA、NIS2、ISO 27001の要件に設定を合わせます。

ネットワークセグメンテーション

フラットなクラウドネットワークは、ラテラルムーブメントを容易にします。私たちは、環境と機密性に応じてワークロードをセグメント化します。具体的には、ティアごとのVPCまたはVNetの分離、公開サービスへの露出をプライベートエンドポイントに置き換え、侵害されたワークロードが拡散する前に封じ込める東西トラフィック制御などを実施します。ネットワークセグメンテーションのレビューは、ITとOTを合わせて評価する必要がある組織向けの、より広範なサイバーセキュリティ&インフラストラクチャ安全チェックの一部でもあります。

シークレット管理とパイプライン強化

アプリケーションコードやCI/CDパイプラインにハードコードされた認証情報は、根強く見過ごされがちなリスクです。私たちはシークレットの乱立を監査し、集中型シークレット管理(HashiCorp Vault、AWS Secrets Manager、Azure Key Vaultなど)を導入し、パイプラインの権限を強化します。これは、一般的でありながら通常の監査では見落とされやすいため、多くの場合、最も影響の大きい改善策となります。

グラディオンを選ぶ理由

グラディオンはISO 27001認証を取得しています。私たちのクラウドセキュリティ業務は、大規模なクラウドインフラを実際に運用する実務家によって提供されます。他チームが埋めるべきギャップ分析を作成するアドバイザーではありません。クラウド、セキュリティ、DevSecOps担当リードコンサルタントであるヤン・モーザーは、Azure Administrator、Solution Architecture Expert、Cybersecurity Expertの認定資格を保有しています。

お客様の環境と、確信を得たい点をお聞かせください。私たちが評価範囲を定め、真のリスクがどこにあるかをお伝えします。

大手監査法人による監査をクリア

グラディオンは、スイスの銀行向けテクノロジープロバイダーに対し、マルチクラウド(Azure、GCP)アーキテクチャを設計しました。これにより、大手監査法人によるセキュリティおよびコンプライアンス監査を指摘事項なしでクリアしました。

クラウド移行をご検討されており、セキュリティを最初から組み込みたいとお考えですか?

当社は、クラウドネイティブチーム向けに、現実的な脅威モデルに基づいたゼロトラストアーキテクチャを設計します。単なる形式的なコンプライアンス対応に留まりません。

ご相談を予約する導入事例を見る