SlideShare a Scribd company logo

Ccsk 160927

Masahiro Morozumi
Masahiro Morozumi

CCSK 傾向と対策。 V4の対策と後半にV3の対策になっています。V4はV3の試験内容を含むようなので、両方見てください。 そのうちマージしたものを作ります。

Technology
1 of 42
Download to read offline
www.cloudsecurityalliance.org 一般社団法人 日本クラウドセキュリティアライアンス 業務執行理事 CCSP, CCSK, CSAリサーチフェロー 諸角 昌宏 CCSK V4 試験 概要と対策 2018年9月27日
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance • 言語: 英語、スペイン語、日本語より選択可能 日本語V4はYY/mm/ddより使用可能 • 試験時間: 90分 • 問題数: 60問 回答は選択式で、必ず1つを選択する (複数回答になる場合には、そのためのの選択 肢が1つ用意される)。 • 合格点: 80%(正解48) • 試験方法: オンラインでブラウザからアクセスして実施。 インターネット接続の安定しているところか ら実施することが望ましい。 • 資料参照可 • 一度の登録(トークン)で2回まで受験可能。 CCSK V3に合格している人は、1回だけ無料で受験可能
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ⚫ V4.0での変更点 ⚫ CCM(Cloud Control Matrixが出題範囲に加わった)! ⚫ V4.0の出題範囲 ⚫ CSAセキュリティガイダンス V4.0 日本語版 http://www.cloudsecurityalliance.jp/guidance.html ⚫ ENISAクラウドコンピューティング:情報セキュリティに関わる 利点、リスクおよび推奨事項 https://https://www.ipa.go.jp/security/publications/enisa/documents/Cloud%20Comput ing%20Security%20Risk%20Assessment.pdf ⚫ CCM V3.0.1 ➢ CSAジャパン会員 ➢ 日本語EXCEL版を会員専用ページからダウンロードして利用 ➢ 一般 ⚫ 日本語CCMのPDF版と英語のCCM EXCEL版を利用 https://cloudsecurityalliance.jp/WG_PUB/CCM_WG/CSA_CCM_v.3.0.1-03-18- 2016_ISO_J_Pub.pdf https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance • CCM:4問(6.7%) • ENISA:3問(5%) • 比較的出題数の多いド メイン: • 1: コンセプトとアーキテ クチャ • 7: インフラセキュリティ • 8: 仮想化とコンテナ技術 • 10: アプリケーションセ キュリティ • 11: データセキュリティ と暗号化 注意:あくまで目安。試験 ごとに変動はある。
https://www.chapters.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2014 Cloud Security Alliance Japan Chapter http://cloudsecurityalliance.jp/ 5 Domain 1 クラウドコンピューティングのコンセプトとアーキテクチャ Domain 2 ガバナンスと経営リスク管理 Domain 3 法的課題、契約および電子証拠開示 Domain 4 コンプライアンスと監査マネジメント Domain 5 情報ガバナンス Domain 6 管理画面と事業継続 Domain 7 インフラストラクチャ・セキュリティ Domain 8 仮想化とコンテナ技術 Domain 9 インシデントレスポンス Domain 10 アプリケーションセキュリティ Domain 11 データセキュリティと暗号化 Domain 12 アイデンティティ管理、 権限付与管理、アクセス管理 (IAM) Domain 13 Security as a Service Domain 14 関連技術
https://www.chapters.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2014 Cloud Security Alliance Japan Chapter http://cloudsecurityalliance.jp/ 1. インフラセキュリティ 2. ネットワークセキュリティ 3. アプリケーションセキュリティ 4. ID・アクセス管理 5. データ保護とプライバシー 6. データセンターセキュリティの削除 その他はV3でのポイントが引き続き重要 2016年8月勉強会資料参照 CSAジャパン会員は会員専用ページからダウンロード可能 6
https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ クラウドコンピューティング環境の変化 新しくフォーカスされている技術 コンテナ、マイクロサービス、サーバレス 「オンプレ vs クラウド」=>「適材適所へのコンポーネントの配 備」への移行 7 プラットフォーム化 • クラウドにどのように移行するかでは なく、クラウドを含めたプラットフォ ーム全体をどのようにセキュアにする か • クラウドサービスモデルの責任境界の 考え方だけでなく、コンポーネントが どこで稼働しているかをコントロール することが必要になる。 CSA勉強会 IoT環境を支えるイベント・ドリブン・アーキ テクチャ(EDA)とそのセキュリティ 資料より引用
https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ V4.0での新しいインフラセキュリティの考え方 ワークロード ワークロード = 処理の一単位 仮想マシンのOS上で稼働するアプリケーションから、GPU,FPGAベー スに特殊化されたタスクまでを含む。 クラウド利用モデルに関係なく、ワークロードが物理的にどこで稼働 するかをコントロールする必要がある。 イミュータブル(immutable) 変更無用という考え方 新しいイメージで稼働しているインスタンスを完全に置き換える 一部、OS更新だけのために新しいイメージをプッシュする場合がある 基本的には、全て自動であり、手動で操作することはない。 ログインは基本的に無効化される。 8
https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ ワークロードのセキュリティ ワークロードのセキュリティ(隔離等)は基本的にク ラウドプロバイダの責任 イミュータブルを利用することでワークロードのセキ ュリティが高まる リモートアクセスを無効にする イメージ作成の中にセキュリティテストを組み入れる ファイルの完全性モニタリングを使用し未承認の変更を監視 する 稼働してるインスタンスにパッチをあてるのではなく、イメ ージをバージョンアップする セキュリティは非常に強化される(SSHを用いたアクセスが不 要) 9
https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ 仮想ネットワークの分離方法 物理的な分離 クラウド環境のネットワークの分割には、セキュリティの観 点でも重要 VLAN 単一組織のネットワーク分離用に設計されているため、クラ ウド環境での分離には不十分 SDN(Software Defined Network) ガイダンスV4で強く推奨されている VLANとは違って、効果的なセキュリティ隔離の境界区分を提 供できる 10
https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ SDNのクラウドセキュリティ上の利点 隔離が容易。 ハードウエアの制約なく、必要な数の隔離されたネットワー クを構築可能 マイクロセグメンテーション 仮想マシンの生成、消滅、ライブマイグレーション等の動的な環 境に対応 SDNのファイアウォール、セキュリティグループにより、柔軟な 構成が可能 デフォルト禁止 非常に動的で細部にわたるポリシーの設定が可能 11
https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ クラウドネットワークのセキュリティ対策 物理ネットワークを直接管理できないという課題 セキュリティアプライアンス製品では対応できない 仮想アプライアンス 物理アプライアンスで対応できないことに対する解にはなる 仮想アプライアンスはボトルネックになる可能性がある パフォーマンス:ネットワーク性能要件を満たすために膨大なリソースを必要 とする フェイルオープンが不可のため、機器の故障時の対応ができない ホストベースの対応 クラウド環境においては適切な対応となる ローカルのリソース問題となる可能性がある この観点でもSDNが効果的なソリューションとなる! 12
https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ その他の新しいネットワークセキュリティ Bastionネットワーク(ガイダンスでは、「Bastion」を「要塞あるいは乗り継ぎ」と記 述) ハイブリッドクラウドクラウド環境において、クラウド間の接続を 安全にする Bastionと呼ばれる踏み台サーバを設置し、プライベートクラウド のネットワークへの侵入経路を限定する -> 安全な接続経路を作 成 13
https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ 変更点 V3 クラウド環境における一般的なセキュリティ対策・考慮点の説明 V4 クラウド環境でのセキュアな開発に加えて、セキュアな配備にフ ォーカス クラウドアプリケーションの開発・配備として、DevOpsと CI/CD(Continuous Integration / Continuous Delivery)にフ ォーカス セキュアな配備 配備パイプライン自体に 厳密なセキュリティの 確保が必要 ファイルの完全性モニタ リングも重要 14
https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ セキュアな配備 Infrastructure as a Codeに採用 インフラ構成の管理、環境全体の定義、プロビジョニングの自動 化 クラウド環境におけるプロビジョニングおよび展開を自動化 インフラ構築の手順や設定方法をコードとして記述 Immutableの配備 Infrastructure as a CodeとImmutableの配備により、セキュリティを大 きく向上させる 15
https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ DevOpsとCI/CD(Continuous Integration/Continuous Deployment) 開発チームと運用チームとの間の協力とコミュニケーションの改善 アプリケーション配備とインフラ運用を自動化 CI/CDを配備自動化パイプラインに組み合わせる プログラム式自動化ツールを利用 DevOps自体がクラウド環境に非常に適合している! 長所 標準化: 開発、テスト、本番のコードが同一ソースから派生 テストの自動化: セキュリティテストのCI/CDへの組み込み Immutable: マスターイメージに基づく配備の自動化と不可変 監査と変更管理の改善: バージョン管理による全履歴 16
https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ 「利用者が管理できる鍵」を新たに追加 クラウド事業者が暗号化エンジンを管理、クラウド利用者が自身 の暗号鍵を管理 例)SaaSプラットフォームの中でSaaSデータを暗号化するのに 利用者自身の鍵を使う。 17
https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ データ保護・プライバシに関するクラウド環境における 法的課題 国境を超えるデータ移転 契約とクラウド事業者の選定 電子情報開示 V4での変更点 データプライバシを統制する枠組み V4: 世界の各地域での情報のプライバシーとセキュリティに 関する法律と法的枠組みに言及 アジア/パシフィック、EU/EEA、北米/中南米、日本 国境を超えるデータ移転に関する変更 EUのGDPR, NIS指令に言及 ロシア、中国のデータを国内保存する法律に言及 18
https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ 国境を超えるデータ移転に関するV4でのポイント ヨーロッパ指令について特に言及 GDPR EU/EEA参加メンバーへの強制力 データ管理者(Data Controller)、データ処理者(Data Processor)の活動に関 連する個人データ処理に適用 EU/EEA域外で、同等の保護を提供しない国への個人データの移転の禁止 NIS 指令 ネットワークと情報システムに対して、一定レベルで可用性、真正性、完全 性、機密性を侵害する行為に対する体制を備えるための枠組み 保存中、移送中、処理中のデータ、データに関連するサービスが対象 加盟国の国内法が、重要サービス事業者への義務を課すことを要求 EU域外の事業者でEU域内でサービスを提供する事業者も対象 NIS指令では、セキュリティ遵守事項へのより厳密な要求 19
https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ 国境を超えるデータ移転に関するV4でのポイント ロシア、中国の新しいデータ国内処理保存法 ロシア: 情報保護法 国内在住の個人に関わる特定の個人データは、その国内に保 存することを義務づけ。 中国: サイバーセキュリティ法 データ国境規程: 国内在住の個人に関わる特定の個人デー タは、その国内に保存することを義務づけ。 越境データ移転規制法案: 海外へのデータ送信における新 たなセキュリティチェックを義務付け。 日本 改正個人情報保護法 個人データの第三者へのデータ移転は、データ主体の事前合意が 必要。 20
https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ 変更点 V3 データセンターのセキュリティ、物理セキュリティ、人的セキュ リティにフォーカス。クラウドカスタマが、クラウドプロバイダ の物理的セキュリティ管理・対策が十分かどうかを判断できる情 報の提供。 V4 データセンターの物理セキュリティは、ガイダンスの対象外 理由 各国、各業界にすでに標準、規格が存在しており、データセン ターセキュリティは既存の標準やガイダンスで十分カバー ガイダンスV4のインフラセキュリティは、データセンターセキ ュリティの上に位置するものとする 21
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance 1. 試験時間は十分ある。経験では、一度すべて回答し、再 度すべての回答をレビューしても余るくらいの時間はあ るので、あせらず進める。 2. 回答ごとのチェックをうまく利用する。「Mark for review...」というボタンがあるので、不確かな回答につ いては後でレビューできるようにこれをマークしてから 次の問題に進む。 3. 資料はすべて参照可能なので、ガイダンス等をPC上に開 いておく。また、検索をうまく使う。 4. 万が一不合格の場合、結果を見て、弱いドメインについ て勉強して再度受験する
www.cloudsecurityalliance.org
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン1:クラウドコンピューティングのアーキテクチャフレームワーク (注: 本スライド以降に引用されている図はCSAガイダンス3.0から引用したもの、あるいは、引用し て翻訳したののになります) • クラウドコンピューティングのNISTモデルの理解 (マルチテナントも含める) 幅広いネットワ ークアクセス 素早い弾力性 サービスが 測定可能 オンデマンド セルフサービス リソースプール 主な特徴 Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (Iaas) サービスモデル 展開モデル パブリ ック プライ ベート ハイブ リッド コミュニ ティ
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン1:クラウドコンピューティングのアーキテクチャフレームワーク • SPIモデルにおける利用者と事業者のセキュリティ対策と管理責任。 プロバイダー 利用者 セキュリティの責任 合わせて、IaaS, PaaS, SaaSにおけ るセキュリティ上 の利点および課題 の理解
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン1:クラウドコンピューティングのアーキテクチャフレームワーク • クラウド展開モデルと責任範囲の理解 • そのほか、Jerichoモデルについてはキューブモデルの4つの評価基準に ついて覚えておく。 インフラ管理1 インフラ所有2 インフラの場所3 アクセスと利用4 パブリック 第三者プロバイダ ー 第三者プロバイダ ー オフプレミス 信頼されない ユーザー プライベート/ コミュニティ 組織 サードパーティ プロバイダー 組織 サードパーティ プロバイダー オンプレミス オフプレミス 信頼されたユーザー ハイブリッド 組織とサードパー ティプロバイダー 両者 組織とサードパー ティプロバイダー 両者 オンプレミスとオ フプレミス両方 信頼されたおよび 信頼されないユー ザー Or
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン2:ガバナンスと企業リスク管理 • クラウドに移行することによるガバナンスの変更点について理解 • 増える • SLAと契約への依存 • 監査活動に対する制限 • 試験ではなく評価 • 減る • 資産に対する物理的制御 • インフラに対しての制御能力 • リスク管理はクラウド環境でも重要 • 守るべきものを知る • 利用者とプロバイダの責任分界点を理解する • SaaS, PaaS, IaaSでどのように責任分界点が変わるか • 責任分界点が変わったとしても説明責任は利用者に残る • クラウドに移行することで削減されたコストの一部はセキュリティ対策に振 り向ける
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン3:法的な問題:契約と電子証拠開示 • 各サブドメインの概要を押さえておく • 3.1 法律問題 • グローバルの観点からの法的責任範囲の理解 • 3.2 契約問題 • データをクラウドに移行した場合の責任範囲および契約 • デューデリジェンスの必要性 • サービスの定期的なモニター、テスト、評価の推奨 • 3.3 電子的証拠開示での特別な問題点 • 電子情報開示(Eディスカバリ)に対する考慮事項 • 保全、アクセス、フォレンジックなど • プロバイダと利用者の協力
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン4:コンプライアンスと監査管理 • GRC(特にGとC)の定義および理解 • ガバナンスとは • コンプライアンスとは • コンプライアンスの考慮点の理解 • 国境越えあるいは法域の問題 • サプライチェーン全体のコンプライアンス責任の分担 • プロバイダからのコンプライアンス情報 • 利用者、プロバイダ、監査人の関係(必要なアクセスの確認等) • 監査 • クラウドにおける監査の考慮点の理解 • スコープの特定 • クラウドの経験のある監査員の選定 • プロバイダを監査する権利の契約への盛り込み
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン5:情報管理とデータセキュリティ • クラウドストレージモデルの理解 • ボリューム、オブジェクト等のストレージの定義と特徴の理解 • データ分散(断片化)の特徴、セキュリティ上の利点 • データライフサイクルの理解 • 6つのフェーズ • 特に破棄における対策(クリプトシュレッディングなど) • データセキュリティの技術的ツールの理解 • DAM/FAM,Discovery,DLP,DRMなど • 暗号化によるデータの保護
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン6:相互運用性と移植容易性 • 相互運用性(interoperability)と移植容易性(portability)の定義の理解 クラウド環境では重要 • 相互運用性 クラウドのエコシステムの各要素が、お互いと共同で、期待した結果を出す ことができること • 移植容易性 プロバイダー、プラットフォーム、OS、インフラ、場所、ストレージ、デ ータ形式、APIなどに関わらず簡単にアプリケーションの要素を移動し、別 の環境で利用できる能力 • 相互運用性と移植容易性の考慮事項の理解 • どんな状況に対しても対応できる準備をする • ベンダー・ロックイン、プロバイダーの運用停止、プロバイダーの事業 計画の変更、SLA/契約が満たされない、など。 • コストとタイミングを考慮 • SPI特有の移植性の課題
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン7:従来からのセキュリティ、事業継続性、災害復旧 • 物理的なセキュリティとしての多階層防御 検出 阻止 遅延 拒否 検出 阻止 遅延 拒否 検出 阻止 遅延 拒否 • 境界セキュリティの4つの「D」 • 物理的なセキュリティの設計、実行 • 環境設計 • 機械的、電子的、手順的なコントロール • 検出、レスポンス、復旧の手順 • 個人の識別、認証、認可、アクセスコントロール • スタッフのトレーニングを含むポリシーと手順 • 人材に関するポリシーの理解 • 役割と責任、雇用契約、雇用終了、職務の分離、役 割ベースのアクセスコントロールなど • 一般的なリスク管理の知識:クラウドでも必要
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン8:データセンタの運用 • 基本的なデータセンターセキュリティ対策として、CCM(Cloud Control Matrix)に関連する物理セキュリティを確認 • CCMのDCSの内容を理解。 • 自動化されたデータセンタのユースケースマッピング • 通常、運用者やプロバイダはそれぞれの顧客が監査のために来訪 するといったことは受け入れることはできない。利用者は、オペ レータまたはプロバイダに独自監査の結果を要求すべきである。 • そのうえで、レポート生成、ロギング、および監査結果発行を自 動化のメリットについて確認。 • 新データセンタ ー 家庭におけるクラウドコンピューティング • 家庭ベースのクラウドプラットフォームとしてSETI@homeとは。 • クラウド基盤の分散とデータセンタ • 物理的な境界を越えて分散させることの意義と課題。
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン9:インシデントレスポンス • クラウド環境でのインシデントレスポンスの課題について理解 • オンデマンド・セルフサービス: プロバイダからのインシデント情報の入手が困難 • リソースプール: フォレンジックが難しくなる • マルチテナント: リソース共有とデータ分離による顧客データの収集と分析が難し くなる • データが法域を超える問題(クラウドの特性ではないが…) • クラウド環境でのインシデントレスポンスのメリットについて理解 • 作業時間の短縮および高度な対応: プロバイダでの継続的なモニタリングなど • 弾力性・拡張性: インシデント解析等で、クラウド基盤を利用した作業が可能。フ ォレンジックのためのイメージ取得、など。 • インシデントレスポンスのライフサイクルの理解(プロバイダが提供する情報と利用者が 収集する情報について) • インシデントレスポンスは、プロバイダと利用者で協力して行うが、「拡大防止」と「排 除と復旧」は利用者が自ら行うフェーズであることの理解。 準備 検知と 分析 拡大 防止 排除と 復旧
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン10: アプリケーションセキュリティ • 移植容易性と相互運用性の定義と理解 • クラウド環境で、移植容易性が重要な理由 • ベンダーロックイン、プロバイダーの運用停止、プロバイダの事業計画の変 更、SLA/契約が満たされない、など。 • 移植容易性に関する考慮事項の理解 • データ通信の遅延、既存のドキュメントが不十分な可能性、プロバイダ固有 のAPIやモジュール(抽象化することが必要)など • SDLC(ソフトウエア開発ライフサイクル)とセキュリティの関係を理解 • SDLCのすべてにわたってセキュリティを組み込む(Security-by-design) • 静的分析(セキュリティ仕様、脅威モデル、コードレビューなど) • 動的分析(脆弱性診断、ペネトレーションテスト、WAFなど) • アプリケーション実行の監視(ログ監視、パフォーマンス監視、侵入監視、 ポリシー違反監視、悪意を持った利用の監視など) • サービスモデル(SaaS,PaaS,IaaS)ごとの監視方法の理解
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン11: 暗号化と鍵管理 • 暗号化 • クラウド環境での暗号化の場所の理解 • データをクラウドに移行する前 • クラウドにデータを保存した直後 • 暗号化の代替方法の理解 • トークン化、データ匿名化、データベースのアクセスコントロー ルの活用など • 鍵管理 • 鍵管理のベストプラクティスの理解 • 組織が自身で鍵を維持するか、あるいはそのようなサービスを維 持している信頼できる暗号サービスを利用
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン12:アイデンティティ、権限付与、アクセス管理 • オンプレ環境でのID・アクセス管理とクラウド環境での違いを理解 • オンプレ: FWの内側でのポリシー設定 • クラウド: 機密情報が外に出ることを前提にしたポリシー設定およびセキ ュリティ対策 • ID管理で使われる用語およびそれらの関係の理解 • 認証(Authentification)、認可(Authorization: ガイダンスでは承認と訳されて いる部分もあり、CCSKでは読みかえる必要があるかも) • 属性、エンティティ、アイデンティティ、ペルソナなど • ID連携(フェデレーション)の理解 - クラウドで推奨されるID管理 • SAMLなど(OpenID ConnectはV3.0ガイダンスの段階では無し) • 承認とアクセス管理の理解 • PDPとPEP、ハブ&スポークモデルなど。 • ID/アクセス管理の推奨事項として、ガイダンス12.17に11項目上がっている。 これらに目を通しておく。
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン13:仮想化 • ハイバーバイザーレイヤの新しいセキュリティの問題、仮想化特有の新 しい脅威の理解 • VM間攻撃、パフォーマンスの低下、データの混合、VMの廃棄など • ハイパーバイザーの脆弱性の理解 • VMホッピング、VMスプロール、クラウドバースト、仮想環境でのデ ータの破棄など • ハイパバイザーのセキュリティ対策の理解 • パッチ適用、攻撃面(管理プレーン、API)の把握、ハイパーバイザ ーへの脆弱性スキャン、内部チャネル攻撃対策など。 • ゲストVMの安全化
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン14:Security as a Service • SECaaSが利用される理由の理解 • クラウドコンピューティングの5つの特性 • 特に、幅広いインテリジェンス情報が利用できる点と、多くのセキ ュリティの専門家にアクセスできる点 • SECaaSの種類と機能の理解。ガイダンスで上げているすべてのもの。 • ID、mail、DLP、SIEMなど
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ENISA • クラウド環境におけるセキュリティリスクの理解 • ガバナンスの喪失、ロックイン、隔離の失敗など • クラウドコンピューティングによるセキュリティ上の利点の理解 • 脆弱性リストの理解 • 一般的な情報セキュリティ上の脆弱性と、クラウドに特化した 脆弱 性の両方をまとめている • V1からV53まで *(ヒント)ENISAからの出題は、問題の頭に ENISA: というマークが 付いている。ENISAの問題に対してキーワードから該当箇所が見つけられ るようにしておく(質問と回答の両方にあるキーワード)。
www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance • 試験中、CSAガイダンス/ENISAのドキュメントを開いておいて、適宜 確認しながら進める。また、グーグル検索も最後の手段として有用。 • 特に、最終的な回答の確認に使用。(ガイダンス特有の表現がある)。 • ENISAからの出題は、リスクや脅威の用語に基づくものが多い。質問および 回答に含まれる用語を用いて検索するのも良い。 • 日本HPさんで、CCSKのトレーニングコースを開催。 http://h50146.www5.hpe.com/services/education/teiki/seihin/H8P75S.html CSAジャパンの会員(企業会員、個人会員)向けにCCSKトレーニングの特別割 引を用意。下記URLより専用申込書を使用していただきお申し込み頂ければ割 引価格での受講が可能。 http://www.hp.com/jp/education_security • CSAジャパンの企業会員には、入会時のサービスとしてCCSKフリーパ スを1本進呈 http://www.hp.com/jp/education_security http://www.hp.com/jp/education_security
www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance

Recommended

CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要Masahiro Morozumi
 
クラウド集中からクラウド分散へ ー新たな潮流とセキュリティー
クラウド集中からクラウド分散へ ー新たな潮流とセキュリティークラウド集中からクラウド分散へ ー新たな潮流とセキュリティー
クラウド集中からクラウド分散へ ー新たな潮流とセキュリティーMasahiro Morozumi
 
Japansecuritysummit2021 20211026 morozumi_2
Japansecuritysummit2021 20211026 morozumi_2Japansecuritysummit2021 20211026 morozumi_2
Japansecuritysummit2021 20211026 morozumi_2Masahiro Morozumi
 
Sdp 201902
Sdp 201902Sdp 201902
Sdp 201902Masahiro Morozumi
 
進むクラウドセキュリティ
進むクラウドセキュリティ進むクラウドセキュリティ
進むクラウドセキュリティMasahiro Morozumi
 
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)Masanori KAMAYAMA
 
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
シンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Networkシンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust NetworkRyuki Yoshimatsu
 

Recommended

CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要Masahiro Morozumi
 
クラウド集中からクラウド分散へ ー新たな潮流とセキュリティー
クラウド集中からクラウド分散へ ー新たな潮流とセキュリティークラウド集中からクラウド分散へ ー新たな潮流とセキュリティー
クラウド集中からクラウド分散へ ー新たな潮流とセキュリティーMasahiro Morozumi
 
Japansecuritysummit2021 20211026 morozumi_2
Japansecuritysummit2021 20211026 morozumi_2Japansecuritysummit2021 20211026 morozumi_2
Japansecuritysummit2021 20211026 morozumi_2Masahiro Morozumi
 
Sdp 201902
Sdp 201902Sdp 201902
Sdp 201902Masahiro Morozumi
 
進むクラウドセキュリティ
進むクラウドセキュリティ進むクラウドセキュリティ
進むクラウドセキュリティMasahiro Morozumi
 
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)
DevSecOpsのユースケースとDevSecOpsがもたらす未来(20191126)Masanori KAMAYAMA
 
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
シンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust Networkシンプルに考えよう Zero Trust Network
シンプルに考えよう Zero Trust NetworkRyuki Yoshimatsu
 
私がなぜZscalerに?
私がなぜZscalerに?私がなぜZscalerに?
私がなぜZscalerに?Takayoshi Takaoka
 
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日Masanori KAMAYAMA
 
マルチクラウドってそもそも何?いるの?いらないの? (20201005)
マルチクラウドってそもそも何?いるの?いらないの? (20201005)マルチクラウドってそもそも何?いるの?いらないの? (20201005)
マルチクラウドってそもそも何?いるの?いらないの? (20201005)Masanori KAMAYAMA
 
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118Masanori KAMAYAMA
 
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Takayoshi Takaoka
 
クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?Masanori KAMAYAMA
 
Symc solution overview_rev0.8
Symc solution overview_rev0.8Symc solution overview_rev0.8
Symc solution overview_rev0.8Takayoshi Takaoka
 
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)Masanori KAMAYAMA
 
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)オラクルエンジニア通信
 
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜Masanori KAMAYAMA
 
2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_online2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_onlineShinichiro Kawano
 
ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1Eiji Sasahara, Ph.D., MBA 笹原英司
 
FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介csig-info
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...オラクルエンジニア通信
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introductioncsig-info
 
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)Masanori KAMAYAMA
 
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_securityShinichiro Kawano
 
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshareShinichiro Kawano
 
オープン API 入門 (20180825)
オープン API 入門 (20180825)オープン API 入門 (20180825)
オープン API 入門 (20180825)Masanori KAMAYAMA
 
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol92020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9Shinichiro Kawano
 
180927 Juniper_Contrail_マルチクラウドの課題をシンプルに解決(RedHat-Juniper共催セミナ資料)
180927 Juniper_Contrail_マルチクラウドの課題をシンプルに解決(RedHat-Juniper共催セミナ資料)180927 Juniper_Contrail_マルチクラウドの課題をシンプルに解決(RedHat-Juniper共催セミナ資料)
180927 Juniper_Contrail_マルチクラウドの課題をシンプルに解決(RedHat-Juniper共催セミナ資料)Hiromi Tsukamoto
 
オブジェクトストレージのユースケース (Cloudweek2014 講演資料)
オブジェクトストレージのユースケース (Cloudweek2014 講演資料)オブジェクトストレージのユースケース (Cloudweek2014 講演資料)
オブジェクトストレージのユースケース (Cloudweek2014 講演資料)CLOUDIAN KK
 

More Related Content

What's hot

セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日Masanori KAMAYAMA
 
マルチクラウドってそもそも何?いるの?いらないの? (20201005)
マルチクラウドってそもそも何?いるの?いらないの? (20201005)マルチクラウドってそもそも何?いるの?いらないの? (20201005)
マルチクラウドってそもそも何?いるの?いらないの? (20201005)Masanori KAMAYAMA
 
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118Masanori KAMAYAMA
 
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Takayoshi Takaoka
 
クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?Masanori KAMAYAMA
 
Symc solution overview_rev0.8
Symc solution overview_rev0.8Symc solution overview_rev0.8
Symc solution overview_rev0.8Takayoshi Takaoka
 
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)Masanori KAMAYAMA
 
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)オラクルエンジニア通信
 
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜Masanori KAMAYAMA
 
2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_online2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_onlineShinichiro Kawano
 
FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介csig-info
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...オラクルエンジニア通信
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introductioncsig-info
 
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)Masanori KAMAYAMA
 
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_securityShinichiro Kawano
 
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshareShinichiro Kawano
 
オープン API 入門 (20180825)
オープン API 入門 (20180825)オープン API 入門 (20180825)
オープン API 入門 (20180825)Masanori KAMAYAMA
 
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol92020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9Shinichiro Kawano
 

What's hot (20)

私がなぜZscalerに?
私がなぜZscalerに?私がなぜZscalerに?
私がなぜZscalerに?
 
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
 
マルチクラウドってそもそも何?いるの?いらないの? (20201005)
マルチクラウドってそもそも何?いるの?いらないの? (20201005)マルチクラウドってそもそも何?いるの?いらないの? (20201005)
マルチクラウドってそもそも何?いるの?いらないの? (20201005)
 
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118
逆襲の Well-Architected Framework (Alternative Architecture DOJO #5) 20201118
 
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1
 
クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?クラウドの汎用的な基礎知識に自信はありますか?
クラウドの汎用的な基礎知識に自信はありますか?
 
Symc solution overview_rev0.8
Symc solution overview_rev0.8Symc solution overview_rev0.8
Symc solution overview_rev0.8
 
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
オープニング資料(詳解! クラウドセキュリティリファレンス (OSS マッピング2019)!)
 
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
ゼロトラスト、この1年でお客様の4つの気づき ~内部不正、ランサムウェアとの戦い方~ (Oracle Cloudウェビナーシリーズ: 2021年10月6日)
 
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
緊急オンライン開催! Fin-JAWS 第10回 〜金融エンジニア必見のAWS認定試験対策〜
 
2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_online2020 0328 jawsdays2020_online
2020 0328 jawsdays2020_online
 
ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1ヘルスケア・イノベーション公開勉強会 #1
ヘルスケア・イノベーション公開勉強会 #1
 
FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介FutureVuls導入支援・運用整備支援サービスのご紹介
FutureVuls導入支援・運用整備支援サービスのご紹介
 
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
ゼロトラスト時代のクラウドセキュリティ~ グローバル比較で見えてきたこれから取り組むべきこと (Oracle Cloudウェビナーシリーズ: 2020年9...
 
Future vuls introduction
Future vuls introductionFuture vuls introduction
Future vuls introduction
 
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
[国語] クラウドで効果的なドキュメンテーション Fin-jaws (2020年5月4日)
 
2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security2020 0910 f-secure_remote_work_and_cloud_security
2020 0910 f-secure_remote_work_and_cloud_security
 
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
2022 0129 jaws-ug_yokohama_43_security_re_cap_slideshare
 
オープン API 入門 (20180825)
オープン API 入門 (20180825)オープン API 入門 (20180825)
オープン API 入門 (20180825)
 
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol92020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
2020 0731 f-secure_radar_zeijakusei_benkyokai_vol9
 

Similar to Ccsk 160927

180927 Juniper_Contrail_マルチクラウドの課題をシンプルに解決(RedHat-Juniper共催セミナ資料)
180927 Juniper_Contrail_マルチクラウドの課題をシンプルに解決(RedHat-Juniper共催セミナ資料)180927 Juniper_Contrail_マルチクラウドの課題をシンプルに解決(RedHat-Juniper共催セミナ資料)
180927 Juniper_Contrail_マルチクラウドの課題をシンプルに解決(RedHat-Juniper共催セミナ資料)Hiromi Tsukamoto
 
オブジェクトストレージのユースケース (Cloudweek2014 講演資料)
オブジェクトストレージのユースケース (Cloudweek2014 講演資料)オブジェクトストレージのユースケース (Cloudweek2014 講演資料)
オブジェクトストレージのユースケース (Cloudweek2014 講演資料)CLOUDIAN KK
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方オラクルエンジニア通信
 
Asahikawa_Ict 20120726
Asahikawa_Ict 20120726Asahikawa_Ict 20120726
Asahikawa_Ict 20120726kspro
 
2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?itforum-roundtable
 
AWS re:Invent Security re:Cap 2018 ( Deep Security x Security Hub )
AWS re:Invent Security re:Cap 2018 ( Deep Security x Security Hub )AWS re:Invent Security re:Cap 2018 ( Deep Security x Security Hub )
AWS re:Invent Security re:Cap 2018 ( Deep Security x Security Hub )Kwiil Kang
 
エンプラに Kubernetes を 導入してみて分かった 4つの Lessons Learned
エンプラに Kubernetes を 導入してみて分かった 4つの Lessons Learnedエンプラに Kubernetes を 導入してみて分かった 4つの Lessons Learned
エンプラに Kubernetes を 導入してみて分かった 4つの Lessons LearnedDaiki Kawanuma
 
ビッグデータのセキュリティ/プライバシーにおける十大脅威(日本語訳)
ビッグデータのセキュリティ/プライバシーにおける十大脅威(日本語訳)ビッグデータのセキュリティ/プライバシーにおける十大脅威(日本語訳)
ビッグデータのセキュリティ/プライバシーにおける十大脅威(日本語訳)Eiji Sasahara, Ph.D., MBA 笹原英司
 
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイントKotaro Tsukui
 
Occセキュリティ分科会 河野
Occセキュリティ分科会 河野Occセキュリティ分科会 河野
Occセキュリティ分科会 河野OCC Cloud SECF
 
AWSで実現するバックアップとディザスタリカバリ
AWSで実現するバックアップとディザスタリカバリAWSで実現するバックアップとディザスタリカバリ
AWSで実現するバックアップとディザスタリカバリAmazon Web Services Japan
 
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521株式会社スカイアーチネットワークス
 
【VMware】jp developer-summit_2012_final_for_print
【VMware】jp developer-summit_2012_final_for_print【VMware】jp developer-summit_2012_final_for_print
【VMware】jp developer-summit_2012_final_for_printVMwareKK
 
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁KVH Co. Ltd.
 
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】Tomoyoshi Amano
 
<インフラ管理者向け>チームでのAI開発を支援するAI開発プラットフォームKAMONOHASHI
<インフラ管理者向け>チームでのAI開発を支援するAI開発プラットフォームKAMONOHASHI<インフラ管理者向け>チームでのAI開発を支援するAI開発プラットフォームKAMONOHASHI
<インフラ管理者向け>チームでのAI開発を支援するAI開発プラットフォームKAMONOHASHIKamonohashi
 
オンプレミスDWHは今すぐ止めよう!ここまで進化したクラウドDWH (Oracle Cloudウェビナーシリーズ: 2021年8月4日)
オンプレミスDWHは今すぐ止めよう!ここまで進化したクラウドDWH (Oracle Cloudウェビナーシリーズ: 2021年8月4日)オンプレミスDWHは今すぐ止めよう!ここまで進化したクラウドDWH (Oracle Cloudウェビナーシリーズ: 2021年8月4日)
オンプレミスDWHは今すぐ止めよう!ここまで進化したクラウドDWH (Oracle Cloudウェビナーシリーズ: 2021年8月4日)オラクルエンジニア通信
 
【Interop Tokyo 2018】 マルチクラウド環境のすべてをセキュアに統合運用する切り札
【Interop Tokyo 2018】 マルチクラウド環境のすべてをセキュアに統合運用する切り札【Interop Tokyo 2018】 マルチクラウド環境のすべてをセキュアに統合運用する切り札
【Interop Tokyo 2018】 マルチクラウド環境のすべてをセキュアに統合運用する切り札Juniper Networks (日本)
 
[hccjp#2] 忖度なし!自社にあったハイブリッドクラウドの選び方
[hccjp#2] 忖度なし!自社にあったハイブリッドクラウドの選び方[hccjp#2] 忖度なし!自社にあったハイブリッドクラウドの選び方
[hccjp#2] 忖度なし!自社にあったハイブリッドクラウドの選び方Daichi Ogawa
 

Similar to Ccsk 160927 (20)

180927 Juniper_Contrail_マルチクラウドの課題をシンプルに解決(RedHat-Juniper共催セミナ資料)
180927 Juniper_Contrail_マルチクラウドの課題をシンプルに解決(RedHat-Juniper共催セミナ資料)180927 Juniper_Contrail_マルチクラウドの課題をシンプルに解決(RedHat-Juniper共催セミナ資料)
180927 Juniper_Contrail_マルチクラウドの課題をシンプルに解決(RedHat-Juniper共催セミナ資料)
 
オブジェクトストレージのユースケース (Cloudweek2014 講演資料)
オブジェクトストレージのユースケース (Cloudweek2014 講演資料)オブジェクトストレージのユースケース (Cloudweek2014 講演資料)
オブジェクトストレージのユースケース (Cloudweek2014 講演資料)
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
 
Asahikawa_Ict 20120726
Asahikawa_Ict 20120726Asahikawa_Ict 20120726
Asahikawa_Ict 20120726
 
2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?2013年の最新セキュリティ課題に組織的に対応するには?
2013年の最新セキュリティ課題に組織的に対応するには?
 
AWS re:Invent Security re:Cap 2018 ( Deep Security x Security Hub )
AWS re:Invent Security re:Cap 2018 ( Deep Security x Security Hub )AWS re:Invent Security re:Cap 2018 ( Deep Security x Security Hub )
AWS re:Invent Security re:Cap 2018 ( Deep Security x Security Hub )
 
エンプラに Kubernetes を 導入してみて分かった 4つの Lessons Learned
エンプラに Kubernetes を 導入してみて分かった 4つの Lessons Learnedエンプラに Kubernetes を 導入してみて分かった 4つの Lessons Learned
エンプラに Kubernetes を 導入してみて分かった 4つの Lessons Learned
 
ビッグデータのセキュリティ/プライバシーにおける十大脅威(日本語訳)
ビッグデータのセキュリティ/プライバシーにおける十大脅威(日本語訳)ビッグデータのセキュリティ/プライバシーにおける十大脅威(日本語訳)
ビッグデータのセキュリティ/プライバシーにおける十大脅威(日本語訳)
 
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント
 
Occセキュリティ分科会 河野
Occセキュリティ分科会 河野Occセキュリティ分科会 河野
Occセキュリティ分科会 河野
 
AWSで実現するバックアップとディザスタリカバリ
AWSで実現するバックアップとディザスタリカバリAWSで実現するバックアップとディザスタリカバリ
AWSで実現するバックアップとディザスタリカバリ
 
クラウド検討の進め方
クラウド検討の進め方クラウド検討の進め方
クラウド検討の進め方
 
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521
スカイアーチセミナー:[スカイアーチ AWS共催]AWS移行のプロが教える!導入への3ステップ:150521
 
【VMware】jp developer-summit_2012_final_for_print
【VMware】jp developer-summit_2012_final_for_print【VMware】jp developer-summit_2012_final_for_print
【VMware】jp developer-summit_2012_final_for_print
 
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁
 
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
 
<インフラ管理者向け>チームでのAI開発を支援するAI開発プラットフォームKAMONOHASHI
<インフラ管理者向け>チームでのAI開発を支援するAI開発プラットフォームKAMONOHASHI<インフラ管理者向け>チームでのAI開発を支援するAI開発プラットフォームKAMONOHASHI
<インフラ管理者向け>チームでのAI開発を支援するAI開発プラットフォームKAMONOHASHI
 
オンプレミスDWHは今すぐ止めよう!ここまで進化したクラウドDWH (Oracle Cloudウェビナーシリーズ: 2021年8月4日)
オンプレミスDWHは今すぐ止めよう!ここまで進化したクラウドDWH (Oracle Cloudウェビナーシリーズ: 2021年8月4日)オンプレミスDWHは今すぐ止めよう!ここまで進化したクラウドDWH (Oracle Cloudウェビナーシリーズ: 2021年8月4日)
オンプレミスDWHは今すぐ止めよう!ここまで進化したクラウドDWH (Oracle Cloudウェビナーシリーズ: 2021年8月4日)
 
【Interop Tokyo 2018】 マルチクラウド環境のすべてをセキュアに統合運用する切り札
【Interop Tokyo 2018】 マルチクラウド環境のすべてをセキュアに統合運用する切り札【Interop Tokyo 2018】 マルチクラウド環境のすべてをセキュアに統合運用する切り札
【Interop Tokyo 2018】 マルチクラウド環境のすべてをセキュアに統合運用する切り札
 
[hccjp#2] 忖度なし!自社にあったハイブリッドクラウドの選び方
[hccjp#2] 忖度なし!自社にあったハイブリッドクラウドの選び方[hccjp#2] 忖度なし!自社にあったハイブリッドクラウドの選び方
[hccjp#2] 忖度なし!自社にあったハイブリッドクラウドの選び方
 

Recently uploaded

Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。iPride Co., Ltd.
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。iPride Co., Ltd.
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスCRI Japan, Inc.
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...Toru Tamaki
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Gamesatsushi061452
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルCRI Japan, Inc.
 
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptxsn679259
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。iPride Co., Ltd.
 
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsUtilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsWSO2
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video UnderstandingToru Tamaki
 

Recently uploaded (10)

Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
 
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
 
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイスLoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
 
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
 
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
 
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアルLoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
 
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
 
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
 
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native IntegrationsUtilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
 
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
 

Ccsk 160927

  • 1. www.cloudsecurityalliance.org 一般社団法人 日本クラウドセキュリティアライアンス 業務執行理事 CCSP, CCSK, CSAリサーチフェロー 諸角 昌宏 CCSK V4 試験 概要と対策 2018年9月27日
  • 2. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance • 言語: 英語、スペイン語、日本語より選択可能 日本語V4はYY/mm/ddより使用可能 • 試験時間: 90分 • 問題数: 60問 回答は選択式で、必ず1つを選択する (複数回答になる場合には、そのためのの選択 肢が1つ用意される)。 • 合格点: 80%(正解48) • 試験方法: オンラインでブラウザからアクセスして実施。 インターネット接続の安定しているところか ら実施することが望ましい。 • 資料参照可 • 一度の登録(トークン)で2回まで受験可能。 CCSK V3に合格している人は、1回だけ無料で受験可能
  • 3. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ⚫ V4.0での変更点 ⚫ CCM(Cloud Control Matrixが出題範囲に加わった)! ⚫ V4.0の出題範囲 ⚫ CSAセキュリティガイダンス V4.0 日本語版 http://www.cloudsecurityalliance.jp/guidance.html ⚫ ENISAクラウドコンピューティング:情報セキュリティに関わる 利点、リスクおよび推奨事項 https://https://www.ipa.go.jp/security/publications/enisa/documents/Cloud%20Comput ing%20Security%20Risk%20Assessment.pdf ⚫ CCM V3.0.1 ➢ CSAジャパン会員 ➢ 日本語EXCEL版を会員専用ページからダウンロードして利用 ➢ 一般 ⚫ 日本語CCMのPDF版と英語のCCM EXCEL版を利用 https://cloudsecurityalliance.jp/WG_PUB/CCM_WG/CSA_CCM_v.3.0.1-03-18- 2016_ISO_J_Pub.pdf https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/
  • 4. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance • CCM:4問(6.7%) • ENISA:3問(5%) • 比較的出題数の多いド メイン: • 1: コンセプトとアーキテ クチャ • 7: インフラセキュリティ • 8: 仮想化とコンテナ技術 • 10: アプリケーションセ キュリティ • 11: データセキュリティ と暗号化 注意:あくまで目安。試験 ごとに変動はある。
  • 5. https://www.chapters.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2014 Cloud Security Alliance Japan Chapter http://cloudsecurityalliance.jp/ 5 Domain 1 クラウドコンピューティングのコンセプトとアーキテクチャ Domain 2 ガバナンスと経営リスク管理 Domain 3 法的課題、契約および電子証拠開示 Domain 4 コンプライアンスと監査マネジメント Domain 5 情報ガバナンス Domain 6 管理画面と事業継続 Domain 7 インフラストラクチャ・セキュリティ Domain 8 仮想化とコンテナ技術 Domain 9 インシデントレスポンス Domain 10 アプリケーションセキュリティ Domain 11 データセキュリティと暗号化 Domain 12 アイデンティティ管理、 権限付与管理、アクセス管理 (IAM) Domain 13 Security as a Service Domain 14 関連技術
  • 6. https://www.chapters.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2014 Cloud Security Alliance Japan Chapter http://cloudsecurityalliance.jp/ 1. インフラセキュリティ 2. ネットワークセキュリティ 3. アプリケーションセキュリティ 4. ID・アクセス管理 5. データ保護とプライバシー 6. データセンターセキュリティの削除 その他はV3でのポイントが引き続き重要 2016年8月勉強会資料参照 CSAジャパン会員は会員専用ページからダウンロード可能 6
  • 7. https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ クラウドコンピューティング環境の変化 新しくフォーカスされている技術 コンテナ、マイクロサービス、サーバレス 「オンプレ vs クラウド」=>「適材適所へのコンポーネントの配 備」への移行 7 プラットフォーム化 • クラウドにどのように移行するかでは なく、クラウドを含めたプラットフォ ーム全体をどのようにセキュアにする か • クラウドサービスモデルの責任境界の 考え方だけでなく、コンポーネントが どこで稼働しているかをコントロール することが必要になる。 CSA勉強会 IoT環境を支えるイベント・ドリブン・アーキ テクチャ(EDA)とそのセキュリティ 資料より引用
  • 8. https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ V4.0での新しいインフラセキュリティの考え方 ワークロード ワークロード = 処理の一単位 仮想マシンのOS上で稼働するアプリケーションから、GPU,FPGAベー スに特殊化されたタスクまでを含む。 クラウド利用モデルに関係なく、ワークロードが物理的にどこで稼働 するかをコントロールする必要がある。 イミュータブル(immutable) 変更無用という考え方 新しいイメージで稼働しているインスタンスを完全に置き換える 一部、OS更新だけのために新しいイメージをプッシュする場合がある 基本的には、全て自動であり、手動で操作することはない。 ログインは基本的に無効化される。 8
  • 9. https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ ワークロードのセキュリティ ワークロードのセキュリティ(隔離等)は基本的にク ラウドプロバイダの責任 イミュータブルを利用することでワークロードのセキ ュリティが高まる リモートアクセスを無効にする イメージ作成の中にセキュリティテストを組み入れる ファイルの完全性モニタリングを使用し未承認の変更を監視 する 稼働してるインスタンスにパッチをあてるのではなく、イメ ージをバージョンアップする セキュリティは非常に強化される(SSHを用いたアクセスが不 要) 9
  • 10. https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ 仮想ネットワークの分離方法 物理的な分離 クラウド環境のネットワークの分割には、セキュリティの観 点でも重要 VLAN 単一組織のネットワーク分離用に設計されているため、クラ ウド環境での分離には不十分 SDN(Software Defined Network) ガイダンスV4で強く推奨されている VLANとは違って、効果的なセキュリティ隔離の境界区分を提 供できる 10
  • 11. https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ SDNのクラウドセキュリティ上の利点 隔離が容易。 ハードウエアの制約なく、必要な数の隔離されたネットワー クを構築可能 マイクロセグメンテーション 仮想マシンの生成、消滅、ライブマイグレーション等の動的な環 境に対応 SDNのファイアウォール、セキュリティグループにより、柔軟な 構成が可能 デフォルト禁止 非常に動的で細部にわたるポリシーの設定が可能 11
  • 12. https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ クラウドネットワークのセキュリティ対策 物理ネットワークを直接管理できないという課題 セキュリティアプライアンス製品では対応できない 仮想アプライアンス 物理アプライアンスで対応できないことに対する解にはなる 仮想アプライアンスはボトルネックになる可能性がある パフォーマンス:ネットワーク性能要件を満たすために膨大なリソースを必要 とする フェイルオープンが不可のため、機器の故障時の対応ができない ホストベースの対応 クラウド環境においては適切な対応となる ローカルのリソース問題となる可能性がある この観点でもSDNが効果的なソリューションとなる! 12
  • 13. https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ その他の新しいネットワークセキュリティ Bastionネットワーク(ガイダンスでは、「Bastion」を「要塞あるいは乗り継ぎ」と記 述) ハイブリッドクラウドクラウド環境において、クラウド間の接続を 安全にする Bastionと呼ばれる踏み台サーバを設置し、プライベートクラウド のネットワークへの侵入経路を限定する -> 安全な接続経路を作 成 13
  • 14. https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ 変更点 V3 クラウド環境における一般的なセキュリティ対策・考慮点の説明 V4 クラウド環境でのセキュアな開発に加えて、セキュアな配備にフ ォーカス クラウドアプリケーションの開発・配備として、DevOpsと CI/CD(Continuous Integration / Continuous Delivery)にフ ォーカス セキュアな配備 配備パイプライン自体に 厳密なセキュリティの 確保が必要 ファイルの完全性モニタ リングも重要 14
  • 15. https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ セキュアな配備 Infrastructure as a Codeに採用 インフラ構成の管理、環境全体の定義、プロビジョニングの自動 化 クラウド環境におけるプロビジョニングおよび展開を自動化 インフラ構築の手順や設定方法をコードとして記述 Immutableの配備 Infrastructure as a CodeとImmutableの配備により、セキュリティを大 きく向上させる 15
  • 16. https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ DevOpsとCI/CD(Continuous Integration/Continuous Deployment) 開発チームと運用チームとの間の協力とコミュニケーションの改善 アプリケーション配備とインフラ運用を自動化 CI/CDを配備自動化パイプラインに組み合わせる プログラム式自動化ツールを利用 DevOps自体がクラウド環境に非常に適合している! 長所 標準化: 開発、テスト、本番のコードが同一ソースから派生 テストの自動化: セキュリティテストのCI/CDへの組み込み Immutable: マスターイメージに基づく配備の自動化と不可変 監査と変更管理の改善: バージョン管理による全履歴 16
  • 17. https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ 「利用者が管理できる鍵」を新たに追加 クラウド事業者が暗号化エンジンを管理、クラウド利用者が自身 の暗号鍵を管理 例)SaaSプラットフォームの中でSaaSデータを暗号化するのに 利用者自身の鍵を使う。 17
  • 18. https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ データ保護・プライバシに関するクラウド環境における 法的課題 国境を超えるデータ移転 契約とクラウド事業者の選定 電子情報開示 V4での変更点 データプライバシを統制する枠組み V4: 世界の各地域での情報のプライバシーとセキュリティに 関する法律と法的枠組みに言及 アジア/パシフィック、EU/EEA、北米/中南米、日本 国境を超えるデータ移転に関する変更 EUのGDPR, NIS指令に言及 ロシア、中国のデータを国内保存する法律に言及 18
  • 19. https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ 国境を超えるデータ移転に関するV4でのポイント ヨーロッパ指令について特に言及 GDPR EU/EEA参加メンバーへの強制力 データ管理者(Data Controller)、データ処理者(Data Processor)の活動に関 連する個人データ処理に適用 EU/EEA域外で、同等の保護を提供しない国への個人データの移転の禁止 NIS 指令 ネットワークと情報システムに対して、一定レベルで可用性、真正性、完全 性、機密性を侵害する行為に対する体制を備えるための枠組み 保存中、移送中、処理中のデータ、データに関連するサービスが対象 加盟国の国内法が、重要サービス事業者への義務を課すことを要求 EU域外の事業者でEU域内でサービスを提供する事業者も対象 NIS指令では、セキュリティ遵守事項へのより厳密な要求 19
  • 20. https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ 国境を超えるデータ移転に関するV4でのポイント ロシア、中国の新しいデータ国内処理保存法 ロシア: 情報保護法 国内在住の個人に関わる特定の個人データは、その国内に保 存することを義務づけ。 中国: サイバーセキュリティ法 データ国境規程: 国内在住の個人に関わる特定の個人デー タは、その国内に保存することを義務づけ。 越境データ移転規制法案: 海外へのデータ送信における新 たなセキュリティチェックを義務付け。 日本 改正個人情報保護法 個人データの第三者へのデータ移転は、データ主体の事前合意が 必要。 20
  • 21. https://www.cloudsecurityalliance.jp/Copyright © 2018 Cloud Security Alliance Japan ChapterCopyright © 2018 Cloud Security Alliance Japan Chapter https://cloudsecurityalliance.jp/ 変更点 V3 データセンターのセキュリティ、物理セキュリティ、人的セキュ リティにフォーカス。クラウドカスタマが、クラウドプロバイダ の物理的セキュリティ管理・対策が十分かどうかを判断できる情 報の提供。 V4 データセンターの物理セキュリティは、ガイダンスの対象外 理由 各国、各業界にすでに標準、規格が存在しており、データセン ターセキュリティは既存の標準やガイダンスで十分カバー ガイダンスV4のインフラセキュリティは、データセンターセキ ュリティの上に位置するものとする 21
  • 22. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance 1. 試験時間は十分ある。経験では、一度すべて回答し、再 度すべての回答をレビューしても余るくらいの時間はあ るので、あせらず進める。 2. 回答ごとのチェックをうまく利用する。「Mark for review...」というボタンがあるので、不確かな回答につ いては後でレビューできるようにこれをマークしてから 次の問題に進む。 3. 資料はすべて参照可能なので、ガイダンス等をPC上に開 いておく。また、検索をうまく使う。 4. 万が一不合格の場合、結果を見て、弱いドメインについ て勉強して再度受験する
  • 24. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン1:クラウドコンピューティングのアーキテクチャフレームワーク (注: 本スライド以降に引用されている図はCSAガイダンス3.0から引用したもの、あるいは、引用し て翻訳したののになります) • クラウドコンピューティングのNISTモデルの理解 (マルチテナントも含める) 幅広いネットワ ークアクセス 素早い弾力性 サービスが 測定可能 オンデマンド セルフサービス リソースプール 主な特徴 Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (Iaas) サービスモデル 展開モデル パブリ ック プライ ベート ハイブ リッド コミュニ ティ
  • 25. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン1:クラウドコンピューティングのアーキテクチャフレームワーク • SPIモデルにおける利用者と事業者のセキュリティ対策と管理責任。 プロバイダー 利用者 セキュリティの責任 合わせて、IaaS, PaaS, SaaSにおけ るセキュリティ上 の利点および課題 の理解
  • 26. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン1:クラウドコンピューティングのアーキテクチャフレームワーク • クラウド展開モデルと責任範囲の理解 • そのほか、Jerichoモデルについてはキューブモデルの4つの評価基準に ついて覚えておく。 インフラ管理1 インフラ所有2 インフラの場所3 アクセスと利用4 パブリック 第三者プロバイダ ー 第三者プロバイダ ー オフプレミス 信頼されない ユーザー プライベート/ コミュニティ 組織 サードパーティ プロバイダー 組織 サードパーティ プロバイダー オンプレミス オフプレミス 信頼されたユーザー ハイブリッド 組織とサードパー ティプロバイダー 両者 組織とサードパー ティプロバイダー 両者 オンプレミスとオ フプレミス両方 信頼されたおよび 信頼されないユー ザー Or
  • 27. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン2:ガバナンスと企業リスク管理 • クラウドに移行することによるガバナンスの変更点について理解 • 増える • SLAと契約への依存 • 監査活動に対する制限 • 試験ではなく評価 • 減る • 資産に対する物理的制御 • インフラに対しての制御能力 • リスク管理はクラウド環境でも重要 • 守るべきものを知る • 利用者とプロバイダの責任分界点を理解する • SaaS, PaaS, IaaSでどのように責任分界点が変わるか • 責任分界点が変わったとしても説明責任は利用者に残る • クラウドに移行することで削減されたコストの一部はセキュリティ対策に振 り向ける
  • 28. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン3:法的な問題:契約と電子証拠開示 • 各サブドメインの概要を押さえておく • 3.1 法律問題 • グローバルの観点からの法的責任範囲の理解 • 3.2 契約問題 • データをクラウドに移行した場合の責任範囲および契約 • デューデリジェンスの必要性 • サービスの定期的なモニター、テスト、評価の推奨 • 3.3 電子的証拠開示での特別な問題点 • 電子情報開示(Eディスカバリ)に対する考慮事項 • 保全、アクセス、フォレンジックなど • プロバイダと利用者の協力
  • 29. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン4:コンプライアンスと監査管理 • GRC(特にGとC)の定義および理解 • ガバナンスとは • コンプライアンスとは • コンプライアンスの考慮点の理解 • 国境越えあるいは法域の問題 • サプライチェーン全体のコンプライアンス責任の分担 • プロバイダからのコンプライアンス情報 • 利用者、プロバイダ、監査人の関係(必要なアクセスの確認等) • 監査 • クラウドにおける監査の考慮点の理解 • スコープの特定 • クラウドの経験のある監査員の選定 • プロバイダを監査する権利の契約への盛り込み
  • 30. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン5:情報管理とデータセキュリティ • クラウドストレージモデルの理解 • ボリューム、オブジェクト等のストレージの定義と特徴の理解 • データ分散(断片化)の特徴、セキュリティ上の利点 • データライフサイクルの理解 • 6つのフェーズ • 特に破棄における対策(クリプトシュレッディングなど) • データセキュリティの技術的ツールの理解 • DAM/FAM,Discovery,DLP,DRMなど • 暗号化によるデータの保護
  • 31. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン6:相互運用性と移植容易性 • 相互運用性(interoperability)と移植容易性(portability)の定義の理解 クラウド環境では重要 • 相互運用性 クラウドのエコシステムの各要素が、お互いと共同で、期待した結果を出す ことができること • 移植容易性 プロバイダー、プラットフォーム、OS、インフラ、場所、ストレージ、デ ータ形式、APIなどに関わらず簡単にアプリケーションの要素を移動し、別 の環境で利用できる能力 • 相互運用性と移植容易性の考慮事項の理解 • どんな状況に対しても対応できる準備をする • ベンダー・ロックイン、プロバイダーの運用停止、プロバイダーの事業 計画の変更、SLA/契約が満たされない、など。 • コストとタイミングを考慮 • SPI特有の移植性の課題
  • 32. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン7:従来からのセキュリティ、事業継続性、災害復旧 • 物理的なセキュリティとしての多階層防御 検出 阻止 遅延 拒否 検出 阻止 遅延 拒否 検出 阻止 遅延 拒否 • 境界セキュリティの4つの「D」 • 物理的なセキュリティの設計、実行 • 環境設計 • 機械的、電子的、手順的なコントロール • 検出、レスポンス、復旧の手順 • 個人の識別、認証、認可、アクセスコントロール • スタッフのトレーニングを含むポリシーと手順 • 人材に関するポリシーの理解 • 役割と責任、雇用契約、雇用終了、職務の分離、役 割ベースのアクセスコントロールなど • 一般的なリスク管理の知識:クラウドでも必要
  • 33. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン8:データセンタの運用 • 基本的なデータセンターセキュリティ対策として、CCM(Cloud Control Matrix)に関連する物理セキュリティを確認 • CCMのDCSの内容を理解。 • 自動化されたデータセンタのユースケースマッピング • 通常、運用者やプロバイダはそれぞれの顧客が監査のために来訪 するといったことは受け入れることはできない。利用者は、オペ レータまたはプロバイダに独自監査の結果を要求すべきである。 • そのうえで、レポート生成、ロギング、および監査結果発行を自 動化のメリットについて確認。 • 新データセンタ ー 家庭におけるクラウドコンピューティング • 家庭ベースのクラウドプラットフォームとしてSETI@homeとは。 • クラウド基盤の分散とデータセンタ • 物理的な境界を越えて分散させることの意義と課題。
  • 34. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン9:インシデントレスポンス • クラウド環境でのインシデントレスポンスの課題について理解 • オンデマンド・セルフサービス: プロバイダからのインシデント情報の入手が困難 • リソースプール: フォレンジックが難しくなる • マルチテナント: リソース共有とデータ分離による顧客データの収集と分析が難し くなる • データが法域を超える問題(クラウドの特性ではないが…) • クラウド環境でのインシデントレスポンスのメリットについて理解 • 作業時間の短縮および高度な対応: プロバイダでの継続的なモニタリングなど • 弾力性・拡張性: インシデント解析等で、クラウド基盤を利用した作業が可能。フ ォレンジックのためのイメージ取得、など。 • インシデントレスポンスのライフサイクルの理解(プロバイダが提供する情報と利用者が 収集する情報について) • インシデントレスポンスは、プロバイダと利用者で協力して行うが、「拡大防止」と「排 除と復旧」は利用者が自ら行うフェーズであることの理解。 準備 検知と 分析 拡大 防止 排除と 復旧
  • 35. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン10: アプリケーションセキュリティ • 移植容易性と相互運用性の定義と理解 • クラウド環境で、移植容易性が重要な理由 • ベンダーロックイン、プロバイダーの運用停止、プロバイダの事業計画の変 更、SLA/契約が満たされない、など。 • 移植容易性に関する考慮事項の理解 • データ通信の遅延、既存のドキュメントが不十分な可能性、プロバイダ固有 のAPIやモジュール(抽象化することが必要)など • SDLC(ソフトウエア開発ライフサイクル)とセキュリティの関係を理解 • SDLCのすべてにわたってセキュリティを組み込む(Security-by-design) • 静的分析(セキュリティ仕様、脅威モデル、コードレビューなど) • 動的分析(脆弱性診断、ペネトレーションテスト、WAFなど) • アプリケーション実行の監視(ログ監視、パフォーマンス監視、侵入監視、 ポリシー違反監視、悪意を持った利用の監視など) • サービスモデル(SaaS,PaaS,IaaS)ごとの監視方法の理解
  • 36. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン11: 暗号化と鍵管理 • 暗号化 • クラウド環境での暗号化の場所の理解 • データをクラウドに移行する前 • クラウドにデータを保存した直後 • 暗号化の代替方法の理解 • トークン化、データ匿名化、データベースのアクセスコントロー ルの活用など • 鍵管理 • 鍵管理のベストプラクティスの理解 • 組織が自身で鍵を維持するか、あるいはそのようなサービスを維 持している信頼できる暗号サービスを利用
  • 37. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン12:アイデンティティ、権限付与、アクセス管理 • オンプレ環境でのID・アクセス管理とクラウド環境での違いを理解 • オンプレ: FWの内側でのポリシー設定 • クラウド: 機密情報が外に出ることを前提にしたポリシー設定およびセキ ュリティ対策 • ID管理で使われる用語およびそれらの関係の理解 • 認証(Authentification)、認可(Authorization: ガイダンスでは承認と訳されて いる部分もあり、CCSKでは読みかえる必要があるかも) • 属性、エンティティ、アイデンティティ、ペルソナなど • ID連携(フェデレーション)の理解 - クラウドで推奨されるID管理 • SAMLなど(OpenID ConnectはV3.0ガイダンスの段階では無し) • 承認とアクセス管理の理解 • PDPとPEP、ハブ&スポークモデルなど。 • ID/アクセス管理の推奨事項として、ガイダンス12.17に11項目上がっている。 これらに目を通しておく。
  • 38. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン13:仮想化 • ハイバーバイザーレイヤの新しいセキュリティの問題、仮想化特有の新 しい脅威の理解 • VM間攻撃、パフォーマンスの低下、データの混合、VMの廃棄など • ハイパーバイザーの脆弱性の理解 • VMホッピング、VMスプロール、クラウドバースト、仮想環境でのデ ータの破棄など • ハイパバイザーのセキュリティ対策の理解 • パッチ適用、攻撃面(管理プレーン、API)の把握、ハイパーバイザ ーへの脆弱性スキャン、内部チャネル攻撃対策など。 • ゲストVMの安全化
  • 39. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ドメイン14:Security as a Service • SECaaSが利用される理由の理解 • クラウドコンピューティングの5つの特性 • 特に、幅広いインテリジェンス情報が利用できる点と、多くのセキ ュリティの専門家にアクセスできる点 • SECaaSの種類と機能の理解。ガイダンスで上げているすべてのもの。 • ID、mail、DLP、SIEMなど
  • 40. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance ENISA • クラウド環境におけるセキュリティリスクの理解 • ガバナンスの喪失、ロックイン、隔離の失敗など • クラウドコンピューティングによるセキュリティ上の利点の理解 • 脆弱性リストの理解 • 一般的な情報セキュリティ上の脆弱性と、クラウドに特化した 脆弱 性の両方をまとめている • V1からV53まで *(ヒント)ENISAからの出題は、問題の頭に ENISA: というマークが 付いている。ENISAの問題に対してキーワードから該当箇所が見つけられ るようにしておく(質問と回答の両方にあるキーワード)。
  • 41. www.cloudsecurityalliance.orgwww.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance • 試験中、CSAガイダンス/ENISAのドキュメントを開いておいて、適宜 確認しながら進める。また、グーグル検索も最後の手段として有用。 • 特に、最終的な回答の確認に使用。(ガイダンス特有の表現がある)。 • ENISAからの出題は、リスクや脅威の用語に基づくものが多い。質問および 回答に含まれる用語を用いて検索するのも良い。 • 日本HPさんで、CCSKのトレーニングコースを開催。 http://h50146.www5.hpe.com/services/education/teiki/seihin/H8P75S.html CSAジャパンの会員(企業会員、個人会員)向けにCCSKトレーニングの特別割 引を用意。下記URLより専用申込書を使用していただきお申し込み頂ければ割 引価格での受講が可能。 http://www.hp.com/jp/education_security • CSAジャパンの企業会員には、入会時のサービスとしてCCSKフリーパ スを1本進呈 http://www.hp.com/jp/education_security http://www.hp.com/jp/education_security
  • 42. www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance www.cloudsecurityalliance.orgCopyright © 2014 Cloud Security Alliance