徳丸さんのセッションが大変勉強になったので、メモ。
これまでのクラウドにまつわる事件・事故事例。
過去の事件・事故は下記参照
・産総研
クラウドサービス事業者が行うべき主要な情報セキュリティ対策(by 総務省)
■利用者側の重点対応項目(1)認証の強化・ID管理
・SaaSの安全な利用の勘所は認証・ID管理にあり
・認証の強化・ID管理の原則
-ポリシーで2段階・2要素認証を強制する
-伝統的なIPアドレス制御はクラウド利用の阻害要因になるので、別の方法での対策が望ましい
-一人1ID、最小権限の原則の徹底
-退職者・異動者のアカウントの早期の削除・無効化
-利用するSaaSの機能を有効活用する(とはいえ、SaaSの種類が増えると管理は大変)
・クラウド型ソリューションによる対策は?
-IDaaS(Azure AD、Octa、HENNGE....)
■なぜVPN経由でSaaSを使うのか
・インターネットの出口でProxy、Webフィルタリング、次世代ファイアウォール等のセキュリティソリューションを適用しやすい。
※そもそもVPN経由でSaaSを使うと産総研みたいなインシデントは起きない。
■利用者側の重点対応項目(2)設定管理
・Salesforceの一連の事故のように、権限設定の間違いが大半
・古くはGoogleグループの一覧の事故(2013年~)
-古くて新しい話題
・Googleグループの設定不備は利用者による確認は容易だったが、Salesforceの事例は利用者での確認は容易ではない。
・シャドーITとの合わせ技の事例も多数。
■利用者側の重点対応項目(3)シャドーIT対策
・シャドーITとは
-統制の及ばないIT利用のこと
-無料のSaaSを部門あるいは個人で「独自に」利用するケースが多い
・ポリシーでの基本が対応
-そもそも「やってはいけないこと」と認識していない素朴なケースが多い
-組織のポリシーで「やっていいことと駄目なこと」をさだめ、徹底を求める
-ポリシーが厳しすぎると、こっそり使う社員が出てくるので、ポリシーの「さじ加減」が重要
・クラウドソリューションによる対策は?
-CASB(Cloud Access Security Broker)
-クラウドプロキシ(Cloud Proxy)
※費用の問題もあるが、まずはポリシーがないとツールの活用もできない
■まとめ(というか基本)
・とにかく認証・ID管理の強化が重要
・企業のポリシーを定め、SaaS利用の統制と利用ノウハウの集約
・SaaSのセキュリティ設定
・利用規模が大きい場合は、IDaaS、CASB、クラウドプロキシ等、クラウド型セキュリティソリューションの活用を検討する