Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Dev sumi 14-e-1-クラウドセキュリティ

1,300 views

Published on

  • Be the first to comment

Dev sumi 14-e-1-クラウドセキュリティ

  1. 1. Session:【14-E-1】 #devsumiE クラウド時代のセキュリティガバナンス 〜~情報管理理機能の実装とセキュリティ 株式会社ディアイティ  セキュリティサービス事業部 河野  省省⼆二  <kawano.shoji@security-‐‑‒policy.jp> サルでもわかーる!情報セキュリティシリーズ
  2. 2. 本⽇日の講師 株式会社ディアイティ セキュリティサービス事業部 河野省省⼆二(かわのしょうじ) 経済産業省省   クラウドセキュリティ研究会委員   セキュリティガバナンス研究会委員   セキュリティ監査研究会委員  など ⽇日本セキュリティ監査協会   スキル部会副部会⻑⾧長 NPO クラウド利利⽤用促進機構   セキュリティアドバイザー 東京電機⼤大学未来科学部   ⾮非常勤講師 (ISC)2 認定主任講師  など サルでもわかーる!情報セキュリティシリーズ
  3. 3. 本⽇日のアジェンダ l  【再考】情報セキュリティ l  【復復習】リスクマネジメントを理理解する l  ガバナンス時代の情報管理理の考え⽅方 l  保証のために「クラウドサービス」ができること w  アクセス制御 w  暗号化 w  バックアップ w  ログ管理理  などなど・・・ l  クラウドセキュリティの標準化動向 サルでもわかーる!情報セキュリティシリーズ
  4. 4. 情報セキュリティって何ですか? 【再考】情報セキュリティ サルでもわかーる!情報セキュリティシリーズ
  5. 5. 情報セキュリティとは 情報セキュリティは ITを最⼤大に活⽤用するための 最⼩小限の安全確保 PC持ち出し禁⽌止とか、USBメモリ利利⽤用禁⽌止とか、クラウド利利⽤用禁 ⽌止とか、ただしい対応とは思っていません サルでもわかーる!情報セキュリティシリーズ
  6. 6. クラウドを使うためにどうしたら良良いのか l  クラウドを使うのは気持ち悪いと思っている⼈人をどう やって説得するのか、「気持ち悪い」は個⼈人それぞれの 気持ちです。これを払しょくすることはできません l  ただし、クラウドは危ないと思っている⼈人たちに安全な 利利⽤用⽅方法を提案することは可能です。安⼼心を与えるため のクラウドの利利⽤用⽅方法について、まずは情報セキュリ ティの基礎から確認し直します サルでもわかーる!情報セキュリティシリーズ
  7. 7. 対症療療法のみでみるみる信⽤用を失わないために・・・ 【復復習】リスクマネジメントを理理解する サルでもわかーる!情報セキュリティシリーズ
  8. 8. リスクマネジメントの相関 事故の発⽣生 脅威 事故の影響 機密性 ぜい弱性 完全性 対策 可⽤用性 コスト 影響 保証 サルでもわかーる!情報セキュリティシリーズ 受容 受容レベル
  9. 9. どこまで受容できるのか?が⼤大事 l  「事故を起こさない」ではなく「事故の影響を少なくす る」という考え⽅方が重要。事故の影響がなければ、事故 は起きていないのと同じ l  ちゃんとやっているということを証明する(保証)ため には何が⽤用意されていればよいのかを考えて、サービス やアプリケーションに実装をすることで、利利⽤用者のセ キュリティを担保することができる サルでもわかーる!情報セキュリティシリーズ
  10. 10. 「その個⼈人情報の管理理責任はだれにあるの?」を明確にする ガバナンス時代の情報管理理の考え⽅方 サルでもわかーる!情報セキュリティシリーズ
  11. 11. 組織づくりとはなにか l  指⽰示と報告による組織づく 経営陣 指⽰示 りと責任の明確化 報告 部⻑⾧長 指⽰示 報告 課⻑⾧長 指⽰示 報告 スタッフ サルでもわかーる!情報セキュリティシリーズ w  上司は部下に指⽰示をし、部 下はそれが完了了したことを 報告する。もしも問題があ る場合は相談や連絡を⾏行行う l  IT経営の最終責任は経営陣 w  ITに関する指⽰示は経営陣が ⾏行行う w  それに応えて組織はすべて の報告(情報)が経営陣に 集まるようにする
  12. 12. 社⻑⾧長はなにも知らない 経営者は全体を 把握したい 事業計画 KPI SLA ITの効果も 計測したい 現場からの 情報収集 ⼿手打ち 報告書 NG!! 誰も読んでないし、 集計できない ⾃自動 ⼊入⼒力力 OK! リアルタイムに集計 いわゆるIT経営 サルでもわかーる!情報セキュリティシリーズ サービス指向アーキテク チャによるITサービス開発 と効果測定 あんまり使っていないサー ビスのためにハードウェア を確保するのはもったいな い  →仮装化  →分散処理理 クラウドのはじまり
  13. 13. 情報セキュリティもKPIが重要 経営者は全体を 把握したい 事業計画 KPI セキュリティの指標 リスク受容レベルなど 事故がゼロ じゃダメ! 現場からの 情報収集 組織 ISMS 組織のマネジメント だけではたりない。 もうISMSだけでは たりなくなった 組織外 サービス 外部の把握はどうす るか? 組織のセキュリティ サルでもわかーる!情報セキュリティシリーズ 事故がゼロというのは 「KPI」としては成り⽴立立た ない。積み重ねが⼤大事!! サービスのセキュリティの ために「仕組みをよく知 る」「リスク情報を共有す る」→セキュリティのソー シャル化 サービスセキュリティ
  14. 14. 機能を実装しているだけじゃたりません 保証のために クラウドサービスができること サルでもわかーる!情報セキュリティシリーズ
  15. 15. たとえば・・・個⼈人情報はだれのものか? l  個⼈人情報は「本⼈人」のもの l  ライフタイムにわたる情報管理理は「情報オーナー」の責 任です。個⼈人情報の場合は「本⼈人」です。 l  もしも個⼈人情報を誰かに渡した場合には、渡した相⼿手が それを正しく管理理しているかを把握しておく必要があり ます。これが個⼈人情報保護法の「⾃自⼰己コントロール権」 の根拠です。 l  クラウドサービスでは「⾃自⼰己コントロール権」に対応し た情報管理理機能を提供する必要があります サルでもわかーる!情報セキュリティシリーズ
  16. 16. 重要なのはIDマネジメント l  保証の基本は「説明責任(アカウンタビリティ)」 w  説明する責任ではなく、説明の根拠を⽰示すこと l  説明責任の基本は「だれが」「いつ」「なにをしたか」 w  「だれが」を特定できることが重要 w  エンタープライズ向けのサービスでは管理理者が「だれが」を把 握できるようにしておく必要がある w  「なにをしたか」を明確にするために、何ができるのかを定義 しておくことが重要 l  IDマネジメントは⼀一元管理理が望ましい w  IDの紐紐付け(名寄せ)ができなければ、保証ができない サルでもわかーる!情報セキュリティシリーズ
  17. 17. IDマネジメントは他に任せる? l  IDフェデレーションで安全で 簡単なアプリ開発を⾏行行なって もらうために w  Active Directory on Azureとか Google+とか、組織が全体を把 握するための要となる w  IDマネジメントやログマネジメ ントなどの統合化なども同時の ⾏行行うことができるようなAPI設 計のあり⽅方など l  その他にも様々なモデルの検 討 w  ストレージ管理理、DNS管理理など など・・・ サルでもわかーる!情報セキュリティシリーズ
  18. 18. パスワードはどんなに複雑にしてもダメ l  複雑なパスワードは世の中にはありません w  1と0はどちらが複雑かを説明できますか? l  3種類の⽂文字種で8⽂文字以上 w  パスワード空間が限定されているので辞書攻撃がされやすい w  辞書攻撃とは「パスワード辞書」を利利⽤用した攻撃 w  システムがダメなら、どんなにパスワードを変えても「パス ワード辞書」が鍛えられるだけ l  2要素認証、2段階認証の採⽤用を w  これらを実装するのがむずかしい時はIDフェデレーションでの サービス構築を・・・ サルでもわかーる!情報セキュリティシリーズ
  19. 19. 暗号化するなら、鍵管理理をしっかり l  メールのファイル暗号キーをメールで送ってくる? w  盗聴防⽌止のためにファイルの暗号化をしてるはずなのに、同じ 経路路で暗号キーを送ってくるのは意味が無い w  アウトバウンド(他の経路路)によるキーの送付ができるように サービスの実装しましょう l  情報セキュリティでは「データ」と「管理理」は別にする ことが原則 w  データと鍵の管理理を同じ範囲で⾏行行っていると失敗します w  データの解読をされないために、鍵の安全管理理、鍵の有効性管 理理について正しく実装する サルでもわかーる!情報セキュリティシリーズ
  20. 20. FinQloudはうまい暗号化モデルになってる FinQloud – NASDAQのAmazon Web Serviceを利利⽤用した株式取引情報の管理理 確保 有効性 鍵の データ ジ ー ストレ 鍵管理理 性 真 ログの http://aws.amazon.com/jp/solutions/case-studies/nasdaq-finqloud/ サルでもわかーる!情報セキュリティシリーズ •  データと管理理の分離離 •  データは暗号化して AWSに置く •  管理理(データ管理理・鍵 管理理)はNASDAQが⾏行行 う •  データの暗号化 •  暗号化されたデータと キーの分離離 •  責任分界点が明確に なっている •  危殆化した時の主導権 •  NASDAQが権利利を持っ ている
  21. 21. とっておくだけのログはもう古い l  ログはリアルタイムに閲覧できるように実装する w  ⽣生のログではなく、利利⽤用者が必要な情報をサマリーで提供する ためのダッシュボードの提供 w  ログをダウンロードさせることをメインとしない l  ⽣生のログは信頼性に⽋欠ける w  ログはテキストだったりデータベース内のデータだったり、書 き換えられているかもしれないことを前提に w  リモートジャーナリングができるようなしくみを実装すること で、攻撃者のログ改ざん対策になるばかりではなく、攻撃検知 にも役⽴立立つ w  ログを定期的にまとめたものにデジタル署名をするのも良良い サルでもわかーる!情報セキュリティシリーズ
  22. 22. 動的バックアップという考え⽅方 l  クラウドのバックアップはデータのダウンロードやコ ピーではなく、動的バックアップで実装する w  IaaSならばWebやミドルウェアをパラレルに、データベースを 共通化するなど、バックアップの前にインタフェース部分の多 重化を⾏行行う w  寝かせておくインスタンスの活⽤用について考える l  SaaSではポータビリティを考えたデータのバックアッ プを実装する w  Webから設定した情報はバックアップがとれているか w  SaaSの多くはメタデータによるデータ連携を⾏行行っているため、 データだけダウンロードしても100%の活⽤用はできない サルでもわかーる!情報セキュリティシリーズ
  23. 23. クラウドセキュリティの標準化動向 サルでもわかーる!情報セキュリティシリーズ
  24. 24. クラウドセキュリティガイドライン 国内外(NIST、ENISA、CSAなど)のリスク⼀一覧を ベースにとりまとめ、それに対応する内容をJIS  Q  2700 をベースに「利利⽤用者は〜~することが望ましい」というク ライテリアを作成した まだクラウドがどんなものかわからない時代のガイドラ インとしてはよく出来ていた(と思う。⾃自画⾃自賛。) サルでもわかーる!情報セキュリティシリーズ
  25. 25. 国際標準化をしています l  ISO⽂文書として開発 w  ISO/IEC 27017として発⾏行行 される予定 w  ⽇日本発の取り組みとして、 国際化のリードを⾏行行ってい る l  スケジュール w  2010/10 start w  2011/04 w  2011/10 w  2015/04 w  2015/10 サルでもわかーる!情報セキュリティシリーズ Study Period NP vote propose WD start FDIS 公開
  26. 26. そして事業者の国際認証が始まります IPAグローバルシンポジウム エドワード・ハンフリー⽒氏の資料料より抜粋 サルでもわかーる!情報セキュリティシリーズ
  27. 27. 今後は「事業者」から「サービス単位」に l  事業者の認証じゃなくてサー ビスの認証に w  I S M S は 事 業 者 を 認 定 し て た。 ただ、⼤大きな企業のサービスが 安全だとは限らない w  クラウドセキュリティのアーキ テクチャモデルはNIST SP500-299を参照 l  国内では・・・ w  サービスのモデル化、モデルに おけるセキュリティ、第三者認 証、モジュール化、モジュール 内での⾃自動監査機能の実装など を⽬目指して本年年度度から取り組ん でいます サルでもわかーる!情報セキュリティシリーズ
  28. 28. クラウドで儲けよう サルでもわかーる!情報セキュリティシリーズ
  29. 29. 終 制作・著作 ディアイティ

×