ITmedia Security Week 2021 autumn振り返り~徳丸さんセッション。事例ベースなので、納得感がある。2段階・2要素認証はもはや常識になりつつあるか~


 徳丸さんのセッションが大変勉強になったので、メモ。

これまでのクラウドにまつわる事件・事故事例。


過去の事件・事故は下記参照

産総研

シオノギアメリカ

韓国NAYANA

仏OVHcloud

ふくいナビ

Salesforceの一連の事故

岡山大学病院

クラウドサービス事業者が行うべき主要な情報セキュリティ対策(by 総務省


■利用者側の重点対応項目(1)認証の強化・ID管理

・SaaSの安全な利用の勘所は認証・ID管理にあり

・認証の強化・ID管理の原則
 -ポリシーで2段階・2要素認証を強制する
 -伝統的なIPアドレス制御はクラウド利用の阻害要因になるので、別の方法での対策が望ましい
 -一人1ID、最小権限の原則の徹底
 -退職者・異動者のアカウントの早期の削除・無効化
 -利用するSaaSの機能を有効活用する(とはいえ、SaaSの種類が増えると管理は大変)

・クラウド型ソリューションによる対策は?
 -IDaaS(Azure AD、Octa、HENNGE....)


■なぜVPN経由でSaaSを使うのか

・インターネットの出口でProxy、Webフィルタリング、次世代ファイアウォール等のセキュリティソリューションを適用しやすい。

 ※そもそもVPN経由でSaaSを使うと産総研みたいなインシデントは起きない。


■利用者側の重点対応項目(2)設定管理

・Salesforceの一連の事故のように、権限設定の間違いが大半

・古くはGoogleグループの一覧の事故(2013年~)
 -古くて新しい話題

・Googleグループの設定不備は利用者による確認は容易だったが、Salesforceの事例は利用者での確認は容易ではない。

・シャドーITとの合わせ技の事例も多数。


■利用者側の重点対応項目(3)シャドーIT対策

・シャドーITとは
 -統制の及ばないIT利用のこと
 -無料のSaaSを部門あるいは個人で「独自に」利用するケースが多い

・ポリシーでの基本が対応
 -そもそも「やってはいけないこと」と認識していない素朴なケースが多い
 -組織のポリシーで「やっていいことと駄目なこと」をさだめ、徹底を求める
 -ポリシーが厳しすぎると、こっそり使う社員が出てくるので、ポリシーの「さじ加減」が重要

・クラウドソリューションによる対策は?
 -CASB(Cloud Access Security Broker)
 -クラウドプロキシ(Cloud Proxy)

  ※費用の問題もあるが、まずはポリシーがないとツールの活用もできない


■まとめ(というか基本)

・とにかく認証・ID管理の強化が重要

・企業のポリシーを定め、SaaS利用の統制と利用ノウハウの集約

・SaaSのセキュリティ設定

・利用規模が大きい場合は、IDaaS、CASB、クラウドプロキシ等、クラウド型セキュリティソリューションの活用を検討する