Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ

280 views

Published on

クラウドコンピューティングの利用が拡大し、コストの低減と効率を向上することが可能になった。しかし最終的に、クラウドによってアウトソースされたサービス全体のセキュリティについては、ユーザー側のIT部門が責任を持つことに変わりはない。クラウドプロバイダーがクラウド基盤に対するセキュリティを強化する一方、情報漏えい、ランサムウェア被害等事故の大半はメール等内部要因によるものである。医療、金融、製造などのあらゆる組織内に残された問題を炙り出し、クラウドの安全な活用に向けた提言を行う。

Published in: Technology
  • Be the first to comment

クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ

  1. 1. クラウドファースト時代における 重要インフラを守る セキュリティ・ゲートウェイ 2017年7月12日 博士(医薬学) 笹原英司 特定非営利活動法人ヘルスケアクラウド研究会 理事 在日米国商工会議所 ヘルスケアIT小委員会 委員長 一般社団法人日本クラウドセキュリティアライアンス
  2. 2. AGENDA 1. クラウドセキュリティアライアンスにおける 電子メールセキュリティの取組 2. 重要インフラを支えるクラウドファースト戦略 ~米国、英国の政府クラウド事例~ 3. 海外のセキュリティインシデント事例 4. まとめ/Q&A 2
  3. 3. 1. クラウドセキュリティアライアンスにおける 電子メールセキュリティの取組 3
  4. 4. 1-1.クラウドコンピューティングのためのセキュリティ ガイダンス(現行版 V3.0)と電子メールセキュリティ クラウドコンピューティングのアーキテクチャフレームワーク ガバナンスとエンタープライズリスクマネジメント 法律問題:契約と電子的証拠開示 コンプライアンスと監査マネジメント 情報管理とデータセキュリティ 相互運用性と移植容易性 従来からのセキュリティ対策、事業継続性、災害復旧 データセンタ運用 インシデントレスポンス アプリケーションとセキュリティ 暗号化と鍵管理 アイデンティティ、権限付与。アクセス管理 仮想化 Security as a Service 4 電子メール: クラウドセキュリティに 横断的に関わる ・ネットワーク ・アプリケーション ・データ ・サービス ↓ 「多層防御」の エコシステムが 必要
  5. 5. 1-2.SecaaS(Security as a Service)導入ガイダンス カテゴリー4:電子メールセキュリティ(1) ガイダンスのスコープ(2012年9月) (https://cloudsecurityalliance.org/download/secaas-category-4-email-security- implementation-guidance/) 共通の電子メール構成要素 電子メール・アーキテクチャの保護 共通の電子メール脅威 peer認証 電子メール・メッセージ標準規格 電子メール暗号化と電子署名 電子メール・コンテンツ検査とフィルタリング メールクライアントのセキュア化 電子メール・データの保護と可用性保証技術 5
  6. 6. 1-2.SecaaS(Security as a Service)導入ガイダンス カテゴリー4:電子メールセキュリティ(2) エンタープライズ導入を補完する クラウド型電子メールサービス <機能の例> ウイルス予防対策 アイデンティティ管理 ログイン・セキュリティ スパム・フィルタリング コンテンツ・フィルタリング レポーティング 暗号化 アーカイブ化・保存 事業継続・災害対策 など 6 出典:Cloud Security Alliance 「SecaaS Category 4 // Email Security Implementation Guidance」 (2012年9月)
  7. 7. 1. クラウドセキュリティアライアンスにおける 電子メールセキュリティの取組(まとめ) 7 ・クラウドコンピューティング環境のゲートウェイ に位置する電子メールのセキュリティは、影響範 囲も幅広い ・電子メールセキュリティには、「多層防御」の エコシステムが必要
  8. 8. 2. 重要インフラを支える クラウドファースト戦略 8 2-1. 米国の「FedRAMP」事例 2-2. 英国の「G-Cloud」事例
  9. 9. 2-1.重要インフラを支えるクラウドファースト戦略 ~米国の「FedRAMP」事例~(1) 「連邦情報セキュリティマネジメント法」(FISMA:Federal Information Security Modernization Act)(2002年12月) (https://www.dhs.gov/fisma) 連邦政府の各機関に対して情報および情報システムのセキュリティ を強化するためのプログラムの開発・文書化・実践を義務付ける 米国国立標準技術研究所(NIST)に連邦政府がFISMAに準拠す るための支援をすることを義務付ける 国土安全保障省(DHS)配下に情報セキュリティ対策組織「US- CERT」(United States Computer Emergency Readiness Team)を 設置する 9
  10. 10. 2-1.重要インフラを支えるクラウドファースト戦略 ~米国の「FedRAMP」事例~(2) 「FedRAMP」(Federal Risk and Authorization Management Program)(2011年12月) (https://www.gov.uk/government/publications/government-cloud-strategy) 連邦政府共通のクラウドサービス調達のためのセキュリティ基準 「連邦政府一般調達局」(GSA:General Services Administration)の FedRAMP PMOが、標準的な契約用語やサービス・レベル・アグ リーメント(SLA)のテンプレート開発などを含むプロジェクト全体の 運営を担う 「合同認定委員会」(JAB:Joint Authorization Board)が、調達対象 のクラウドサービスを承認する 評価基準や技術要件については、NISTが所管する 「FedRAMPセキュリティ評価フレームワーク」:具体的なリスク評価 基準や要求事項をとりまとめたもの 10
  11. 11. 2-1.重要インフラを支えるクラウドファースト戦略 ~米国の「FedRAMP」事例~(3) 「FedRAMP」(続き) 「行政管理予算局」(OMB:Office of Management and Budget)が政 府調達や予算執行について調整する。 各省庁の最高情報責任者(CIO)の連絡機関である「CIO協議会」 (CIO Council)が戦略統括と省庁間調整を担う クラウドサービス事業者がFedRAMPの認定を受けるには、 FedRAMP認定の第三者評価機関(3PAO:3rd-Party Assessment Organization)による評価報告書を提出し、JABによる承認を受ける 必要がある。 11
  12. 12. 2-1.重要インフラを支えるクラウドファースト戦略 ~米国の「FedRAMP」事例~(4) (参考)「FedRAMP」のステークホルダー構成 12 出典:General Services Administration 「FedRAMP Security Assessment Framework Version 2.1」(2015年12月4日)
  13. 13. 2-1.重要インフラを支えるクラウドファースト戦略 ~米国の「FedRAMP」事例~(5) 「FedRAMP Accelerated」(2016年3月28日) (https://www.fedramp.gov/participate/fedramp-accelerated-process/) 承認申請プロセスの迅速化を目的とする 13 出典:General Services Administration「FedRAMP Accelerated Process Overview」(2016年3月28日))
  14. 14. 2-1.重要インフラを支えるクラウドファースト戦略 ~米国の「FedRAMP」事例~(6) 国防総省・国防情報システム局(DISA)のクラウド コンピューティングセキュリティ要求事項ガイド(SRG) (http://iase.disa.mil/cloud_security/Pages/index.aspx) インパクトレベル1:一般公開を認められた非機密情報(※現在はレベル2に統合) インパクトレベル2:管理されていない非機密情報(FedRAMP認証または同等レベ ルのパブリッククラウドオファリングであること) インパクトレベル3:管理されている非機密情報(※現在はレベル4に統合) インパクトレベル4:管理されている非機密情報(FedRAMP Moderateベースライン ンと国防総省固有のコントロール/要求事項の組み合わせにより認証を受ける) インパクトレベル5:管理されている非機密情報でミッションクリティカル/国家安全 全保障情報(FedRAMP Moderateベースラインと国防総省固有のコントロール/ 要求事項の組み合わせにより認証を受ける) インパクトレベル6:機密情報でSECRET扱いまで(外部運用する国防総省契約先 の施設および情報システムの評価および認証を受けたもの) 14
  15. 15. 2-1.重要インフラを支えるクラウドファースト戦略 ~米国の「FedRAMP」事例~(7) 政府機関のユーザーとクラウド事業者の責任分界点 ⇒「多層防御」(Defense-in-Depth)のエコシステム 15 出典:DoD Defense Information Systems Agency「Department of Defense Cloud Computing Security Requirements Guide Version 1, Release 2」(2016年3月18日)
  16. 16. 2-1.重要インフラを支えるクラウドファースト戦略 ~米国の「FedRAMP」事例~(8) 国防総省・国防情報システム局(DISA)のアーキテクチャに 関する要求事項 クラウドアクセスポイント(CAP) ネットワークプレーン クラウドサービスプロバイダー(CSP)アーキテクチャ CSPサービスアーキテクチャ……SaaS CSPサービスアーキテクチャ……IaaS/PaaS CSP災害復旧(DR)-事業継続(COOP) インターネットプロトコル(IP)アドレスとドメイン名サービス SaaSを利用するミッションオーナーの要求事項 IaaS/PaaSを利用するミッションオーナーのシステム/アプリケーション要求事項 クラウドのためのアクティブディレクトリ統合 (例.クラウドのAzure Active DirectoryとオンプレミスのExchange Server) 16
  17. 17. 2-1.重要インフラを支えるクラウドファースト戦略 ~米国の「FedRAMP」事例~(9) 国防総省クラウドにおけるサイバーインシデントレスポンス 体制(例) 全体を統括する統合部隊司令部-国防総省情報ネットワーク(JFHQ-DODIN: Joint Force Headquarters - Department of Defense Information Network) 境界サイバーディフェンス (BCD) ミッションサイバーディフェンス (MCD) ミッション管理者 CSP ミッションオーナー milCloud(DISAが内部開発 したクラウドサービス) 17 出典:DoD Defense Information Systems Agency 「Department of Defense Cloud Computing Security Requirements Guide Version 1, Release 2」(2016年3月18日 )
  18. 18. 2-2.重要インフラを支えるクラウドファースト戦略 ~英国の「G-Cloud」事例~(1) 英国内閣府「政府ICT戦略」(2011年3月) (https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/85968/uk- government-government-ict-strategy_0.pdf) 無駄とプロジェクトの失敗を削減し、経済成長を刺激する 共通ICTインフラストラクチャを構築する ICTを利用して変化を実現し、提供する ガバナンスを強化する 英国内閣府「政府クラウド(G-Cloud)戦略」(2011年10月) (https://www.gov.uk/government/publications/government-cloud-strategy) コモディティサービスの特定と委託に向けた共通の戦略とアプローチ コモディティICTサービスの形成・採用・管理に向けた、一貫性のある包 括的なアプローチと標準規格 単純で包含的なガバナンスのアプローチ センター・オブ・エクセレンスに権限委譲された管理と責任 18
  19. 19. 2-2.重要インフラを支えるクラウドファースト戦略 ~英国の「G-Cloud」事例~(2) 英国内閣府「政府クラウド(G-Cloud)戦略」(続き) (https://www.gov.uk/government/publications/government-cloud-strategy) G-Cloudプログラムの共通フェデレーションモデル 19 出典:U.K. Cabinet Office 「Government cloud strategy」(2011年10月27日)
  20. 20. 2-2.重要インフラを支えるクラウドファースト戦略 ~英国の「G-Cloud」事例~(3) 英国英国内閣府「政府セキュリティ分類」(2014年4月施行) (https://www.gov.uk/government/publications/government-security-classifications) 政府機関が保有する情報資産の取扱いルール:3区分のセキュリティ 分類 「OFFICIAL」 「SECRET」 「TOP SECRET」 20 出典:U.K. Cabinet Office「Government Security Classifications April 2014」(2013年10月18日)
  21. 21. 2-2.重要インフラを支えるクラウドファースト戦略 ~英国の「G-Cloud」事例~(4) 英国デジタルサービス(GDS)「マーケットプレイスのための G-Cloudフレームワーク」(初版:2013年9月12日、最新版: 2017年5月22日) (https://www.gov.uk/guidance/the-g-cloud-framework-on-the-digital-marketplace) 政府機関が利用可能なデジタルマーケットプレイス上のサービス 「G-Cloud」フレームワークを介したクラウドサービス 「Digital Outcomes and Specialists 」フレームワークを介したデジタルアウ トカム、デジタルスペシャリスト、ユーザー調査サービス 「Crown Hosting Data Centres」フレームワークを介した物理的なデータセ ンター空間 「G-Cloud」フレームワーク(最新版はG-Cloud 9) クラウドホスティング クラウドソフトウェア クラウドサポート 21
  22. 22. 2-2.重要インフラを支えるクラウドファースト戦略 ~英国の「G-Cloud」事例~(5) 政府通信本部(GCHQ)・国家サイバーセキュリティセンター (NCSC)「クラウドセキュリティ原則導入ガイドライン」 (2016年9月21日) (https://www.ncsc.gov.uk/guidance/implementing-cloud-security-principles) 「G-Cloud」フレームワークのセキュリティに関する要求事項14原則 クラウドサービス事業者が、「G-Cloud」認定サプライヤーとなるた めには、クラウドセキュリティ14原則について自己評価を行い、対 象となるサービスがその原則に準拠していることを証明するドキュ メントを準備した上で、証拠を提出する必要がある ⇒英国政府機関向け調達窓口のデジタルマーケットプレイスで、 各事業者のクラウドセキュリティ管理策などが公開される 22
  23. 23. 2-2.重要インフラを支えるクラウドファースト戦略 ~英国の「G-Cloud」事例~(6) 「G-Cloud」フレームワークのセキュリティに関する要求事項14原則(1) 23 原則 表題 内容 原則1 転送中のデータ の保護 ネットワーク転送中のユーザーデータは、改ざんや傍受に対 し、適切に保護されるべきである。 原則2 資産の保護とレ ジリエンス ユーザーデータと保存または処理する資産は、物理的な改 ざん、損失、損害または占拠に対して保護されるべきである。 原則3 ユーザー間の分 離 悪意のあるまたは感染したサービス・ユーザーは、他のサー ビスまたはデータに影響が及ばないようにすべきである。 原則4 ガ バ ナ ン ス ・ フ レームワーク サービスプロバイダーは、そのサービスと情報の管理を調整 して方向づける、セキュリティガバナンス・フレームワークを 有するべきである。このフレームワーク外に導入された、い かなる技術的コントロールも、根底から覆されるであろう。 原則5 運 用 セ キ ュ リ ティ 攻撃を妨害・検知・予防するために、サービスを、セキュアに 運用・管理する必要がある。優れた運用セキュリティは、複 雑、官僚的、時間の浪費、高額のプロセスを必要とすべきで はない。
  24. 24. 2-2.重要インフラを支えるクラウドファースト戦略 ~英国の「G-Cloud」事例~(7) 「G-Cloud」フレームワークのセキュリティに関する要求事項14原則(2) 24 原則 表題 内容 原則6 従業員のセ キュリティ 信頼するのに高い信頼性が必要なデータやシステムに、 サービスプロバイダーの従業員が、アクセスするところ。適切 なトレーニングによりサポートされた審査により、サービスプ ロバイダーの従業員による偶発的もしくは悪意のある漏えい の可能性を少なくする。 原則7. セ キ ュ ア な 開発 サービスは、セキュリティに対する脅威を特定して低減する ために、設計・開発されるべきである。そうでない場合、セ キュリティ課題に対する脆弱性があって、データを漏えいした り、サービスの損失を引き起こしたり、その他悪意のある行 動を可能にしたりすることがある。 原則8 サ プ ラ イ チェーン・セ キュリティ サービスプロバイダーは、サービスが実行を要求するすべて のセキュリティ原則を、サプライチェーンが満足のいくように サポートすることを保証すべきである。
  25. 25. 2-2.重要インフラを支えるクラウドファースト戦略 ~英国の「G-Cloud」事例~(8) 「G-Cloud」フレームワークのセキュリティに関する要求事項14原則(3) 25 原則 表題 内容 原則9 セキュアなユー ザー管理 サービスプロバイダーは、ユーザーがサービス利用をセ キュアに管理するためのツールを提供すべきである。管 理インタフェースと手順は、権限のないアクセスやユー ザーのリソース、アプリケーション、データの変更を予防す る、セキュリティの壁の重要な部分である。 原則10 アイデンティティ と認証 サービス・インタフェースへのアクセスはすべて、認証され て権限が付与された個人に制限すべきである。 原則11 外 部 イ ン タ フェースの保護 サービスの外部または信頼できないインタフェースをすべ て特定して、適切に防御すべきである。 原則12 セキュアなサー ビス運営 クラウドサービスの運営に使用するシステムは、高い特権 が付与されたサービスにアクセスする。これらの漏えいは、 セキュリティコントロールを回避して大容量のデータを盗 むまたは操作する手段となるなど、重大なインパクトを及 ぼすことがある。
  26. 26. 2-2.重要インフラを支えるクラウドファースト戦略 ~英国の「G-Cloud」事例~(9) 「G-Cloud」フレームワークのセキュリティに関する要求事項14原則(4) 26 原則 表題 内容 原則13 ユ ー ザ ー の 監 査情報 サービスへのアクセスをモニタリングする必要がある監査 記録とその中に保有するデータを提供すべきである。ユー ザーが利用できる監査情報のタイプは、相当の時間的尺 度内で、不適切または悪意のある活動を検知して対応す る機能に直接インパクトをもたらすことがある。 原則14 サ ー ビ ス の セ キュアな利用 クラウドサービスとその内部に保持されるデータのセキュ リティは、貧弱なサービスを利用した場合、覆されることが ある。その結果として、ユーザーのデータが適切に保護さ れるためのサービスを利用する時、一定の責任を負うこと になる。 出典:GCHQ - NCSC「Guidance - Implementing the Cloud Security Principles」(2016年9月21日)を基に ヘルスケアクラウド研究会作成 (2017年6月)
  27. 27. 2-2.重要インフラを支えるクラウドファースト戦略 ~英国の「G-Cloud」事例~(10) 通信電子セキュリティグループ(CESG)「Microsoft Office 365セキュリティガイドライン:電子メール」(2015年11月4日) (https://www.gov.uk/government/publications/microsoft-office-365-security- guidance/microsoft-office-365-security-guidance-email) 電子メールの保護(例.保存/転送時の暗号化) トランスポート層セキュリティ(TLS) 電子メールフロー Outlookルーティング Outlookゲートウェイと第三者メールサービス MX (Mail Exchanger) レコード ハイブリッド導入 信頼性と証明書 Microsoftとハイブリッド導入 シングルサインオンとハイブリッド導入 27
  28. 28. 2. 重要インフラを支えるクラウドファースト戦略 (まとめ) 28 ・クラウドファースト戦略は、オープンガバメント /オープンデータ/オープンソースによる国家 イノベーション推進策の要 ・クラウド起点の標準化・共通基盤化により、オ ンプレミス型の陰に隠れていたユーザー側のリ スクが表面化する ・電子メールゲートウェイは、「多層防御」エコシ ステムのサンドボックス的役割を果たす
  29. 29. 3. 海外のセキュリティインシデント事例 29
  30. 30. 3-1.サポート切れOSに起因する セキュリティインシデント事例(1) 2014年11月: 米国US-CERTの注意喚起 30 出典:US-CERT「Alert (TA14-310A) Microsoft Ending Support for Windows Server 2003 Operating System」 (2014年11月)
  31. 31. 3-1.サポート切れOSに起因する セキュリティインシデント事例(2) 2016年1月: オーストラリア・ビクトリア州のロイヤルメルボルン病院で、 スタッフ宛の電子メールが発端で、病理部門のWindows XP コンピューターがウイルス感染し、院内の部門システムや Webサイトがダウンする事案が発生 ⇒病院スタッフは、人海戦術で対応する事態となった *病院建て替え費用をどう捻出するかが問題となり、 Windows XPのリプレースを先送りにした矢先に発覚 2016年3月: 米国土安全保障省(DHS)傘下のICS-CERTが、医療機器メー カー・ケアフュージョンの製薬剤管理システム「Pycis SupplyStation」について、ベンダーサポートが切れた Windows Server 2003/XP版に多数の脆弱性が存在するとし て、注意喚起を行う 31
  32. 32. 3-2.ランサムウェアおよびその亜種に起因する セキュリティインシデント事例(1) 2016年2月: カリフォルニア州ロサンジェルスのハリウッド長老教会医療 センターが、ランサムウェアの攻撃(起点は電子メール)に 遭ってネットワークが使用不能となり、ハッカーに40BTC(約 170,000米ドル)支払った事案が発覚 2016年6月: ダークサイト専門の情報提供Webメディア「DeepDotWeb」で 「TheDarkOverload」と呼ばれるハッカー集団が、米国の医 療関連組織から盗まれた電子カルテの個人データベース総 計655,000件分を、151BTC(約100,000米ドル)~607BTC(約 395,000米ドル)で販売していることが報じられる 32
  33. 33. 3-2.ランサムウェアおよびその亜種に起因する セキュリティインシデント事例(2) 2016年7月: 米国保健福祉省(HHS)が、HIPAAのランサムウェア対策ガイ ドラインを公表 電子的な保護対象保健情報(ePHI)への脅威や脆弱性を特定するた めに、リスク分析を実施して、特定したリスクを軽減し、解決するため の計画を策定する。 悪意のあるソフトウェアから保護する手順を導入する。 悪意のあるソフトウェアの検知や検知結果の報告に関する研修を権 限のあるユーザーに対して行う。 ePHIへのアクセスを、アクセスする必要がある人やソフトウェアプログ ラムに限定する。 災害復旧、緊急対応、小まめなデータバックアップ、復元テストを含む 全体的な危機管理計画を維持する。 33
  34. 34. 3-2.ランサムウェアおよびその亜種に起因する セキュリティインシデント事例(3) 2017年5月: 英国・国民保健サービス(NHS)関連の医療施設で、ランサ ムウェア「WannaCry」に起因する被害が多発 (*NHSのクラウド側は被害なし) 政府通信本部(GCHQ)傘下の国家 サイバーセキュリティセンター(NCSC)、 保健省、NHSイングランドと連携して、 各組織の支援に当たっていることを 公表 <NHSデジタルの対策> • サイバー攻撃に対する保護策としてのパッチに 関する説明文書、テクニカルガイドライン、FAQ集 • 予防策としてインターネットから遮断したネット ワークの再接続に関するテクニカルガイドライン • NHSmail • CareCERT bulletin 34 出典:NHS Digital (2017年5月18日更新)
  35. 35. 3-2.ランサムウェアおよびその亜種に起因する セキュリティインシデント事例(4) <NHSデジタルの対策(続き)> このインシデントのケースと同様に、既知のサイバーセキュリティ脅威 およびこれらのリスクを最小化するための適切なステップに関する情 報を、NHSの組織に拡散する 強固なセキュリティ措置を有するように全て設計された、国のNHS IT サービスのシステムに対する予防的なリアルタイムのモニタリング NHS組織向けの無料サイバーセキュリティ検証に着手し、彼らが採る ことができる適切なステップに関する特別なアドバイスをする 最前線の従事者が、組織におけるサイバーセキュリティの保証に向 けた自分自身の責任を認識するとともに、組織のセキュリティ維持に 役立てるために採ることができる簡単なステップを知ることを確実にす るように設計された、保健医療スタッフ向けのトレーニング 35
  36. 36. 3-2.ランサムウェアおよびその亜種に起因する セキュリティインシデント事例(5) (参考)英国保健省NHSデジタル (旧保健・社会医療情報センター(HSCIC)) 「ケア向上のための情報技術:保健・社会医療情報センター戦略2015~ 2020年」(2015年7月21日) (https://www.gov.uk/government/publications/hscic-strategy-2015-2020) 保健・社会医療データの収集、転送、保存、分析、普及のための戦略 (NHS傘下の保健機関、NICE、病院、診療所などが対象) 全ての市民のデータが保護されていることを保証する みんなに便益のある共有アーキテクチャや標準規格を構築する 国および地域のニーズを満たすサービスを実行する 技術、データ、情報から最善のものを得るように保健医療組織を支 援する 保健医療情報をより上手に活用する 36
  37. 37. 3-2.ランサムウェアおよびその亜種に起因する セキュリティインシデント事例(6) 全ての市民のデータが保護されていることを保証する(再掲) 全ての市民が、保健・社会医療専門家との正式な対面診察以外に、 個人データを共有するための選択を表明できるようにする データフローに関する異なる選択を処理することができ、市民が自 分の選択を変えることができるようにする 単独または複数の保健医療提供者と、アプリケーションまたは医療 機器からのデータを共有するか否か、市民が意思決定できるように する いつ、なぜ、自分のデータが直接の医療以外の目的のために利用 されたか。市民がわかるようにする 「NHSデジタルサイバーセキュリティプログラム(CSP)」 「CareCERT (Care Computing Emergency Response Team)」 (https://www.igt.hscic.gov.uk/CyberWhatIs.aspx) 37
  38. 38. 3-2.ランサムウェアおよびその亜種に起因する セキュリティインシデント事例(7) みんなに便益のある共有アーキテクチャや標準規格を構築する (再掲) NHSは、G-Cloudフレームワーク認定のパブリック・クラウドサービス を積極的に導入 HSCIC(現NHSデジタル)×スカイスケープ・クラウドサービス(現 UKCloud) ・「Assured Cloud Services Now Available To NHS Via N3 Aggregator Status」(2015年1月8日) (https://ukcloud.com/news-resources/news/recent-press-releases/assured- cloud-services-now-available-nhs-via-n3) 南ロンドン・モーズレイNHS財団トラスト × Microsoft Office 365 ・「SLAM gets connected with Office 365」(2016年7月27日) (https://enterprise.microsoft.com/en-gb/customer-story/industries/public- sector/health/slam-gets-connected-office-365/) 38
  39. 39. 3. 海外のセキュリティインシデント事例 (まとめ) 39 ・電子メールを起点に、既存オンプレミス型シス テム・ライフサイクル管理のリスク(例.ベンダー サポート切れOS)が一気に表面化 ・大規模なインシデント発覚前に、アラートが出 ていることが多い(起きてからでは手遅れ) ・クラウドファースト時代では、ユーザーとクラウ ド事業者/パートナーが一体になった「多層防 御」エコシステムの構築・運用が急務
  40. 40. 4. まとめ/Q&A 40 https://www.linkedin.com/in/esasahara https://www.facebook.com/esasahara https://twitter.com/esasahara

×