【第5弾】情報セキュリティ大作戦:ザ・ネクスト3 全5回 認証統合について
仁部こんにちは!情報セキュリティ室です。
今回は情報セキュリティ大作戦第5弾です!最終回は少し難しいかもしれません…
今回は認証統合についてのお話です。 認証統合の前に、認証に関する記事をぜひご覧ください!
【第28回】ITリベンジャーズの知っトク通信
【第12回】IT配属1年目社員の知っトク通信
さて、当社では認証基盤として、皆さんがPCにログインする際に使っている基盤があります。
これは、ローカル(秋田・富山)のサーバ室に設置されている重要な機器になります。
サーバ室内に設置されているため、「高度に保護されている」という状態の機器ですが、
この認証基盤の統合(認証サービスとしての利用)に関して、ルールが変更となっていますので、お知らせします。
8 認証基盤の統合
03-021 クラウドサービス利用ガイドライン
8.1.1 認証基盤をローカルと統合する場合、以下の内容に留意する
(1) 外部 IT サービス(クラウドサービス)と認証基盤(Active Directory)を統合する場合、以下の対応を行わなければならない。
(ア)情報セキュリティ要件定義の実施(定義書の作成)
(イ)リスク評価シートによるリスクアセスメントの実施
(ウ)情報セキュリティ要件定義書並びに、リスク評価シートによるアセスメントを通じた結果の承認(情報セキュリティ部門の承認が必要)
(エ)実装及び受け入れ試験の実施(受け入れ試験の実施結果の作成)
(オ)実装状況の記録の作成
(カ)リスクマネジメント及び脅威インテリジェンスガイドラインに準拠した、定期的な見直しおよびリスクアセスメントの実施
(2) 外部 IT サービス(クラウドサービス)がサービス停止を通知した場合には、速やかにサービス停止時のデータ削除が実施されるか、
確認しなければならない。(必ず認証トークンが削除対象に含まれているか、確認する)
上記、いろいろと書いているので、やるべきことを列挙します。
認証基盤を「サービス」として利用する場合には…
- 情報セキュリティ要件定義書を作成しなければなりません。
- リスク評価シートを使って、「統合によるリスク」をアセスメントしないといけません。
- 情報セキュリティ要件定義書とリスク評価シートを情報セキュリティ室に提出し、承認を得る必要があります。
- 認証を統合したサービスの受け入れ試験を実施し、試験結果を記録として残さないといけません。
- 認証統合を行った状況の記録を作成しなければいけません。
- リスクマネジメント及び脅威インテリジェンスガイドラインに準拠した形で、定期的な見直し・リスクアセスメントを行わなければなりません。
以上の通りとなります。
また、クラウド認証基盤も当社では保有しています(Google認証を利用)。
このクラウド認証基盤を統合する場合には、統合先のサービスがサービス停止を当社に通知した場合には、
速やかにサービス停止のデータ削除が実施されるか、確認しなければなりません。
以上の通り、細かい部分ではありますが一部のルールが変わっていますので、特にシステム開発などを行う方は注意してください。
