月別アーカイブ: 2025年3月

海外に学ぶSMBのクラウドセキュリティ基礎(CSP編)Google Cloud(2)

コメントをどうぞ

海外に学ぶSMBのクラウドセキュリティ基礎CSP編)Google Cloud(1)に引き続き、今回は、シンガポールサイバーセキュリティ庁のサイバーエッセンシャルズに基づいて開発されたGoogle Workspaceユーザー向けガイドを紹介していく。

Google Workspaceのセキュリティ設定はユーザーの責任

最初に、SMBユーザーを対象とする「サイバーエッセンシャルズマーク: クラウドセキュリティコンパニオンガイド」(https://www.csa.gov.sg/docs/default-source/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cloud-security/cloud-security-companion-guide-cyber-essentials.pdf)およびそれに準拠した「サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド– Googleとの共同開発による」(https://www.csa.gov.sg/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cloud-security-for-organisations)(2023年10月13日公表)より、「A.6.セキュア化/保護: セキュアな構成 – 組織のハードウェアやソフトウェアのために、セキュアな設定を使用する」のセキュリティ設定/管理についてみると、以下のような説明になっている。

【サイバーエッセンシャルズ】
A.6.4 (a)<要求事項>
セキュリティ設定は、デスクトップコンピューター、サーバー、ルーターなどの資産に対して適用される必要がある。組織は、この要件を満たすためにさまざまな方法を採用できる。たとえば、複数のベンダー製品にわたる設定ガイドラインに関する Center for Internet Security(CIS)ベンチマークなどの業界の推奨事項や標準を採用すること、ベースラインセキュリティアナライザーを実行すること、またはシステム設定スクリプトを使用することなどが挙げられる。

【サイバーエッセンシャルズ向けクラウドセキュリティコンパニオンガイド】
[エンドユーザー組織(SaaSカスタマー)の責任]

  • エンドユーザー組織(SaaS カスタマー)は、SaaSサブスクリプションにおけるユーザーレベルの設定に責任を負う。

[なぜこれが重要なのか]

  • SaaS モデルの人気の高まりと、ビジネス主導の SaaS(ビジネスユーザーが SaaS アプリケーションへアクセスし、管理することが増加しているトレンド)により、組織が複数のビジネス機能によって管理される多くの SaaS サブスクリプションを抱える可能性がある。
  • このような組織は、以下のリスクを抱える可能性がある:
    −多くの部門が SaaS セキュリティ設定へのアクセス権を持っている
    −SaaS セキュリティ設定の変更が見えにくくなる(可視性の欠如)

[組織は何をすべきか]

  • 多数の SaaS サブスクリプションを持つ場合、SSPM ツールによる監視の自動化を通じて SaaS 管理の取り組みをスケールさせる。
  • また、CASB を使用して、ユーザーのアプリケーションセッションの詳細な監視や行動のブロック制御を行うことも検討する。

【サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド】
[Google Workspaceユーザーの責任]

  • カスタマーは、自身のシステムに対して適切なセキュリティ設定を識別し、適用する責任を負う。これには、Google Workspace のようなソフトウェアベンダーが提供するデフォルト設定や推奨設定を適用するかどうかを決定することも含まれる。

[Googleの責任]

  • プロバイダーはアプリケーションレベルの設定に責任を負う。
    Google’s Security Centerは、セキュリティの健全性に関する推奨事項を提供しており、推奨されるセキュリティ設定や、コンテンツ、通信、モビリティ、ユーザーセキュリティに関するセキュリティのベストプラクティスについてのカスタマイズされたアドバイスを通じて、ユーザーが脅威に先回りすることを可能にする。

上記に示す通り、セキュリティ設定管理全般については、SaaSユーザーが責任を負っており、SaaSプロバイダーが推奨する標準的な設定を採用するか、サードパーティ製のSaaSセキュリティポスチャ管理(SSPM)ツールやクラウド・アクセス・セキュリティ・ブローカー(CASB)ツールなどを導入するかなどについて最終的判断を行うのもSaaSユーザーとなる。他方、SaaSプロバイダーは、アプリケーションレベルの設定に責任を負うとしている。

また、セキュリティ設定の不備への対応についても、SaaSユーザーが責任を負うことになる。「サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド」では、以下のように記述している。

【サイバーエッセンシャルズ】
A.6.4 (b)<要求事項>
弱い設定やデフォルトの設定は使用前に避けるか更新する必要がある。たとえば、デフォルトのパスワードを変更したり、標準スキャンではなくマルウェア対策ソリューションを用いた深いスキャンを実行したりするなどの対策が含まれる。

【サイバーエッセンシャルズ向けクラウドセキュリティコンパニオンガイド】

  • SaaS サブスクリプションにおけるデフォルト設定が、セキュリティではなく使いやすさや利便性を重視して構成されている可能性があるため、該当する場合にはこれらの設定を見直し、更新する
  • 利用可能な場合には、SaaS プロバイダーが公開しているセキュアな設定のベストプラクティスも実装する。

【サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド】
[Google Workspaceユーザーの責任]

  • カスタマーは、不適切な設定を回避する責任を負う。これには、Google Workspace のようなソフトウェアベンダーが提供するデフォルト設定または推奨設定を適用するかどうかを決定することも含まれる。

[Googleの責任]

  • A.6.4(a) を参照のこと。そこには、推奨されるセキュリティ設定に関する Google リソースの説明が含まれている。

SaaSユーザーは、SaaSプロバイダーが提供するデフォルト設定を鵜呑みにするのではなく、使いやすさや利便性とセキュリティのバランスの観点に立って、事前にセキュリティ設定の状態を確認しておくことが必要になってくる。

多岐に渡るGoogle Workspaceのログ管理もSaaSユーザーの責任

次に、SaaS利用時におけるログの記録や管理についてみると、以下のような内容になっている。

【サイバーエッセンシャルズ】
A.6.4 (f)<要求事項>
可能であれば、ソフトウェアおよびハードウェア資産に対してログ記録を有効にする必要がある。たとえば、システムログ、イベントログ、セキュリティログなどである。

【サイバーエッセンシャルズ向けクラウドセキュリティコンパニオンガイド】

  • SaaS アプリケーションのログ出力には、業界標準として受け入れられるフォーマットが存在しない。
  • SaaS プロバイダーからのログ配信のタイミングも異なる場合がある。
  • 組織が多数の SaaS サブスクリプションを管理する場合、以下を検討する:
    −SaaS プロバイダーからログを自動的に取得する。
    −SaaS アプリケーション全体の効果的な監視を行うために、ログ分析および/またはストレージソリューションに届ける前に、SaaS ログを共通のフォーマットに正規化する。
    −ユーザー名などのユーザー情報を含むイベント、監査、活動、その他のログエントリを企業アイデンティティに正規化し、異なる SaaS アプリケーションで異なるユーザー名/ユーザーアカウントを持つ同一人物に関連するイベントを相関付けられるようにする。
    −各 SaaS サブスクリプションにおいて、アクションとログエントリの可用性との間に予想される平均および最大遅延を文書化し、把握する。

[SaaSプロバイダーの責任]

  • SaaS プロバイダーは、カスタマーがログ記録を有効にし、ログの時間ソースを利用できるようにするための機能を提供する責任を負う。

【サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド】
[Google Workspaceユーザーの責任]

  • カスタマーは、自身のシステム内でのログ記録を有効化し、管理する責任を負う。これには、Google Workspace も含まれる。

[Googleの責任]

  • A.5.4(b) および (f) を参照のこと。そこには、Google Workspace の監査ログ機能に関する説明が含まれている。

上記の通り、SaaSユーザーは、自身のシステム内でのログ記録を有効化し、管理する責任を負う一方、SaaS プロバイダーは、カスタマーがログ記録を利用できるようにするための機能を提供する責任を負う。

しかしながら、Google Workspaceには、監査ログ(管理アクティビティ、システムイベント、ポリシー拒否)のほか、ユーザーのログイベント、ドライブのログイベント、APIで取得される使用状況データ、メールログ、デバイスのログイベントデータなど、様々なログが存在しており、各々のログの保存期間も異なっている。そのような状況下で、標準的なGoogle管理コンソールを利用するか、それともサードパーティ製のログ管理ツールを利用するかなどの判断は、SaaSユーザーに委ねられることになる。

SaaSユーザーはモバイル/IoTデバイス上のセキュリティ設定に注意

なお、「A.6.セキュア化/保護: セキュアな構成 – 組織のハードウェアやソフトウェアのために、セキュアな設定を使用する」には、[Google Workspaceユーザーの責任]のみが明記されており、[Googleの責任]が「該当なし(N/A)」になっている管理項目が存在する。具体的には、以下のような管理項目である。

【サイバーエッセンシャルズ】
A.6.4 (e)<要求事項>
自動的にオープンネットワークに接続する機能や、バックアップやマルウェア対策ソリューションなどを除く不要なプログラムの自動実行機能は無効化される必要がある。
【サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド】
[Google Workspaceユーザーの責任]
カスタマーは、ITシステムを構成して、オープンネットワークへの自動接続や不要なプログラムの自動実行を回避する責任を負う。

【サイバーエッセンシャルズ】
A.6.4 (g)<推奨事項>
グッドプラクティスとして、組織の資産において15分間の非アクティブ状態の後に自動ロック/セッションログアウトを有効にする必要がある。これには、ノートパソコン、サーバー、非モバイルデバイス、データベース、管理者ポータルでのユーザーセッションが含まれる。
【サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド】
[Google Workspaceユーザーの責任]
カスタマーは、非アクティブなユーザーセッションの後に資産をロックするようにシステムを構成する責任を負う。

【サイバーエッセンシャルズ】
A.6.4 (h)<推奨事項>
認証の範囲にモバイルデバイス、IoTデバイス、および/またはクラウド環境が含まれる場合:
– モバイルデバイス(例:携帯電話、タブレット):
*モバイルデバイスは、ジェイルブレイクやルート化されてはならない。
*モバイルデバイスのパスコードを有効にする必要がある。
*非アクティブ状態が2分間続いた場合に、自動でモバイルデバイスがロックされる機能を有効にする必要がある。
*モバイルアプリケーションは、公式または信頼できるソースからのみダウンロードする必要がある。
–IoTデバイス:
*IoTデバイスをホストするネットワークは、組織の資産およびデータを含むネットワークから分離する必要がある。
*IoTデバイスのセキュリティ機能(例:デバイスの自動検出機能やUniversal Plug and Play(UPnP)の無効化)を有効にする必要がある。
*IoTデバイスを選定する際、(利用可能な場合)Cybersecurity Labelling Scheme(CLS)で評価されたデバイスを使用する必要がある。
– クラウド:
*クラウドの可視性を確保するために、セキュリティログおよび監視機能を有効化する必要がある(例:アプリケーションプログラミングインタフェース(API)コール履歴、変更の追跡、コンプライアンス)。
【サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド】
[Google Workspaceユーザーの責任]
カスタマーは、自身の資産の使用状況を管理および監視する責任を負う。これには、Google Workspace のようなクラウド環境も含まれる。

「サイバーエッセンシャルズ向けクラウドセキュリティコンパニオンガイド」では、SaaSユーザーの責任範囲として「SaaS内のユーザー設定」および「ログ記録の管理」を位置づけているが、上記で挙がっている管理項目をみると、SaaS環境だけでなくオンプレミス環境にも共通するようなテーマが目立つ。たとえばモバイル/IoTデバイス環境のSaaSユーザーは、デバイス経由で、オンプレミス環境にあるシステムと行き来するケースが当たり前なので、注意しておく必要がある。

SaaSプロバイダーとしてのGoogle Workspaceは、CSA STAR認証を取得しており、Consensus Assessments Initiative Questionnaire (CAIQ) v4.0.2の自己評価結果をCSA本部サイトで公開している(https://cloudsecurityalliance.org/star/registry/google/services/google-workspaces)。これやGoogle Workspaceの企業規模別セキュリティチェックリスト(https://support.google.com/a/answer/9184226)などのリソースを参照すると、SaaSプロバイダー側の対応状況が理解でき、SaaSユーザー側の管理策を策定する際に役立てることができる。

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司