Recomendados
Mais conteúdo relacionado
Mais procurados
Mais procurados (20)
Destaque
Semelhante a Dev sumi 14-e-1-クラウドセキュリティ
Semelhante a Dev sumi 14-e-1-クラウドセキュリティ (20)
Dev sumi 14-e-1-クラウドセキュリティ
- 1. Session:【14-E-1】 #devsumiE クラウド時代のセキュリティガバナンス 〜~情報管理理機能の実装とセキュリティ 株式会社ディアイティ セキュリティサービス事業部 河野 省省⼆二 <kawano.shoji@security-‐‑‒policy.jp> サルでもわかーる!情報セキュリティシリーズ
- 3. 本⽇日のアジェンダ l 【再考】情報セキュリティ l 【復復習】リスクマネジメントを理理解する l ガバナンス時代の情報管理理の考え⽅方 l 保証のために「クラウドサービス」ができること w アクセス制御 w 暗号化 w バックアップ w ログ管理理 などなど・・・ l クラウドセキュリティの標準化動向 サルでもわかーる!情報セキュリティシリーズ
- 11. 組織づくりとはなにか l 指⽰示と報告による組織づく 経営陣 指⽰示 りと責任の明確化 報告 部⻑⾧長 指⽰示 報告 課⻑⾧長 指⽰示 報告 スタッフ サルでもわかーる!情報セキュリティシリーズ w 上司は部下に指⽰示をし、部 下はそれが完了了したことを 報告する。もしも問題があ る場合は相談や連絡を⾏行行う l IT経営の最終責任は経営陣 w ITに関する指⽰示は経営陣が ⾏行行う w それに応えて組織はすべて の報告(情報)が経営陣に 集まるようにする
- 15. たとえば・・・個⼈人情報はだれのものか? l 個⼈人情報は「本⼈人」のもの l ライフタイムにわたる情報管理理は「情報オーナー」の責 任です。個⼈人情報の場合は「本⼈人」です。 l もしも個⼈人情報を誰かに渡した場合には、渡した相⼿手が それを正しく管理理しているかを把握しておく必要があり ます。これが個⼈人情報保護法の「⾃自⼰己コントロール権」 の根拠です。 l クラウドサービスでは「⾃自⼰己コントロール権」に対応し た情報管理理機能を提供する必要があります サルでもわかーる!情報セキュリティシリーズ
- 16. 重要なのはIDマネジメント l 保証の基本は「説明責任(アカウンタビリティ)」 w 説明する責任ではなく、説明の根拠を⽰示すこと l 説明責任の基本は「だれが」「いつ」「なにをしたか」 w 「だれが」を特定できることが重要 w エンタープライズ向けのサービスでは管理理者が「だれが」を把 握できるようにしておく必要がある w 「なにをしたか」を明確にするために、何ができるのかを定義 しておくことが重要 l IDマネジメントは⼀一元管理理が望ましい w IDの紐紐付け(名寄せ)ができなければ、保証ができない サルでもわかーる!情報セキュリティシリーズ
- 17. IDマネジメントは他に任せる? l IDフェデレーションで安全で 簡単なアプリ開発を⾏行行なって もらうために w Active Directory on Azureとか Google+とか、組織が全体を把 握するための要となる w IDマネジメントやログマネジメ ントなどの統合化なども同時の ⾏行行うことができるようなAPI設 計のあり⽅方など l その他にも様々なモデルの検 討 w ストレージ管理理、DNS管理理など など・・・ サルでもわかーる!情報セキュリティシリーズ
- 18. パスワードはどんなに複雑にしてもダメ l 複雑なパスワードは世の中にはありません w 1と0はどちらが複雑かを説明できますか? l 3種類の⽂文字種で8⽂文字以上 w パスワード空間が限定されているので辞書攻撃がされやすい w 辞書攻撃とは「パスワード辞書」を利利⽤用した攻撃 w システムがダメなら、どんなにパスワードを変えても「パス ワード辞書」が鍛えられるだけ l 2要素認証、2段階認証の採⽤用を w これらを実装するのがむずかしい時はIDフェデレーションでの サービス構築を・・・ サルでもわかーる!情報セキュリティシリーズ
- 19. 暗号化するなら、鍵管理理をしっかり l メールのファイル暗号キーをメールで送ってくる? w 盗聴防⽌止のためにファイルの暗号化をしてるはずなのに、同じ 経路路で暗号キーを送ってくるのは意味が無い w アウトバウンド(他の経路路)によるキーの送付ができるように サービスの実装しましょう l 情報セキュリティでは「データ」と「管理理」は別にする ことが原則 w データと鍵の管理理を同じ範囲で⾏行行っていると失敗します w データの解読をされないために、鍵の安全管理理、鍵の有効性管 理理について正しく実装する サルでもわかーる!情報セキュリティシリーズ
- 20. FinQloudはうまい暗号化モデルになってる FinQloud – NASDAQのAmazon Web Serviceを利利⽤用した株式取引情報の管理理 確保 有効性 鍵の データ ジ ー ストレ 鍵管理理 性 真 ログの http://aws.amazon.com/jp/solutions/case-studies/nasdaq-finqloud/ サルでもわかーる!情報セキュリティシリーズ • データと管理理の分離離 • データは暗号化して AWSに置く • 管理理(データ管理理・鍵 管理理)はNASDAQが⾏行行 う • データの暗号化 • 暗号化されたデータと キーの分離離 • 責任分界点が明確に なっている • 危殆化した時の主導権 • NASDAQが権利利を持っ ている
- 21. とっておくだけのログはもう古い l ログはリアルタイムに閲覧できるように実装する w ⽣生のログではなく、利利⽤用者が必要な情報をサマリーで提供する ためのダッシュボードの提供 w ログをダウンロードさせることをメインとしない l ⽣生のログは信頼性に⽋欠ける w ログはテキストだったりデータベース内のデータだったり、書 き換えられているかもしれないことを前提に w リモートジャーナリングができるようなしくみを実装すること で、攻撃者のログ改ざん対策になるばかりではなく、攻撃検知 にも役⽴立立つ w ログを定期的にまとめたものにデジタル署名をするのも良良い サルでもわかーる!情報セキュリティシリーズ
- 22. 動的バックアップという考え⽅方 l クラウドのバックアップはデータのダウンロードやコ ピーではなく、動的バックアップで実装する w IaaSならばWebやミドルウェアをパラレルに、データベースを 共通化するなど、バックアップの前にインタフェース部分の多 重化を⾏行行う w 寝かせておくインスタンスの活⽤用について考える l SaaSではポータビリティを考えたデータのバックアッ プを実装する w Webから設定した情報はバックアップがとれているか w SaaSの多くはメタデータによるデータ連携を⾏行行っているため、 データだけダウンロードしても100%の活⽤用はできない サルでもわかーる!情報セキュリティシリーズ
- 25. 国際標準化をしています l ISO⽂文書として開発 w ISO/IEC 27017として発⾏行行 される予定 w ⽇日本発の取り組みとして、 国際化のリードを⾏行行ってい る l スケジュール w 2010/10 start w 2011/04 w 2011/10 w 2015/04 w 2015/10 サルでもわかーる!情報セキュリティシリーズ Study Period NP vote propose WD start FDIS 公開
- 27. 今後は「事業者」から「サービス単位」に l 事業者の認証じゃなくてサー ビスの認証に w I S M S は 事 業 者 を 認 定 し て た。 ただ、⼤大きな企業のサービスが 安全だとは限らない w クラウドセキュリティのアーキ テクチャモデルはNIST SP500-299を参照 l 国内では・・・ w サービスのモデル化、モデルに おけるセキュリティ、第三者認 証、モジュール化、モジュール 内での⾃自動監査機能の実装など を⽬目指して本年年度度から取り組ん でいます サルでもわかーる!情報セキュリティシリーズ
- 29. 終 制作・著作 ディアイティ