【第2弾】情報セキュリティ大作戦:ザ・ネクスト3 全5回 【クラウドの構成管理(ユーザー棚卸編)】
仁部こんにちは!情報セキュリティ室です。
今回は情報セキュリティ大作戦第2弾です!
皆さんはお仕事でクラウドサービスを利用されているでしょうか。
クラウドサービスは非常に多くのサービスがあり、便利ですよね。
ところが、クラウドサービスは便利な反面、リスクが多く存在するサービスです。
先日、秋田BPOで実施のTISAX審査において頂いたクラウドサービスに関する指摘より、ガイドラインを改版いたしましたので、お知らせです。
■ 改版したガイドライン
03-021 クラウドサービス利用ガイドライン(V001L08)
■ 追加された内容(抜粋)
6.3.2 クラウドサービス構成要素の評価および監査
クラウドサービスの構成(Config)は評価し、定期的に監査されなければならない。
監査基準は当面の間、以下のとおりとする。2023 年度…ユーザーアカウントの棚卸を必須とする。
03-021 クラウドサービス利用ガイドライン(V001L08)
2024 年度…ユーザーアカウントに加え権限情報を棚卸を必須とする。
2025 年度…ユーザー情報・権限情報・ミドルウェア・設定値を評価し記録する。
ガイドラインより抜粋のため、抽象的な表現かも知れませんね!
具体的にお話しますと・・・
クラウドサービスは設定1つで預けている情報が外部に漏れたりするリスクがあるので、意図しない設定になっていないか、確認する、ということです。しかし、これを真正面から受け止めて実施しようとすると、非常に膨大な時間がかかるため、情報セキュリティ室では段階的に実施していくこととしました。
2023 年度(今年度)…
クラウドサービスのユーザー情報は重要、と考え、まずクラウドサービスのユーザー棚卸を実施することとしました。既にクラウドサービスを管理する部門に対して、棚卸実施の要請をしています。
2024 年度(翌年度)…
ユーザー情報に加え、権限も非常に重要であるととらえ、ユーザーアカウント・権限の棚卸を実施予定です。
2025 年度(最終年度)…
全てのクラウドサービスの設定情報などが正しく設定されているかのチェックを行います。チェックする、ということは元となる情報が必要です。
それは「クラウドサービスを導入する際に作成されている構成文書」となります。この構成文書と実際の設定値を見比べ、監査を行っていくこととなります。
■ オススメ!
2025年度までは少し時間があるものの、クラウドサービスをすでに導入されているチームは、このクラウドサービスの管理部門(もしくは管理者)へ、設定値の文書化を今のうちに依頼すると後から慌てずに済みます!
ご面倒をおかけしますが、ご協力の程よろしくお願いいたします。
