タグ別アーカイブ: 中小企業

海外に学ぶSMBのクラウドセキュリティ基礎(CSP編)Google Cloud(1)

海外に学ぶSMBのクラウドセキュリティ基礎(総論編)(1)(2)、(CSP編)AWS(1)(2)に引き続き、今回も、シンガポールサイバーセキュリティ庁のサイバーエッセンシャルズおよびサイバートラストマークに基づいて開発されたクラウドサービスプロバイダー(CSP)固有のガイドを紹介していく。

Google Workspaceの管理策におけるユーザーとCSPの関係

今回取り上げるのは、SMBユーザーを対象とする「サイバーエッセンシャルズマーク: クラウドセキュリティコンパニオンガイド」に準拠した「サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド– Googleとの共同開発による(2023年10月13日公表)」である。これらのガイドは、シンガポールサイバーセキュリティ庁(CSA)のWebサイトより無料でダウンロードできる。

Google Workplace版ガイドは、「サイバーエッセンシャルズマーク: クラウドセキュリティコンパニオンガイド」に従って、以下のような構成になっている。

  • イントロダクション
  • 資産
    • A1. 人々
    • A2. ハードウェアとソフトウェア
    • A3. データ
  • セキュア化/保護
    • A4. ウイルスとマルウェアの保護
    • A5. アクセス制御
    • A6. セキュアな構成
  • アップデート
    • A7. ソフトウェアのアップデート
  • バックアップ
    • A8. 不可欠なデータのバックアップ
  • 対応
    • A9. インシデント対応

以下では、「サイバーエッセンシャルズ」や「サイバーエッセンシャルズ向けクラウドセキュリティコンパニオンガイド」と、「サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド」の管理策の関係、そしてクラウドセキュリティに係るGoogle WorkspaceユーザーとGoogleの間の責任共有について考察する。

セキュリティトレーニングはクラウドユーザーの責任

最初に「A1. 人々– 従業員に、防衛の最前線となるノウハウを装備させる」では、セキュリティトレーニングやサイバーハイジーンといった人的対策について記述している。

たとえば、サイバーセキュリティトレーニングについては、各ガイドで、下記の通り要求事項に基づく管理策を提示している。

————————————————
【サイバーエッセンシャルズ】
A.1.4(a) <要求事項>
組織は、すべての従業員が、セキュリティプラクティスや期待される行動を意識していることを保証するために、サイバーセキュリティ意識向上トレーニングを設定すべきである。組織は、この要求事項を様々な方法で充足する可能性がある(例. 従業員または関与する外部トレーニング プロバイダー向けに自己学習教材を提供する)。
【サイバーエッセンシャルズ向けクラウドセキュリティコンパニオンガイド】
[エンドユーザー組織(SaaSカスタマー)の責任]
•エンドユーザー組織(SaaSカスタマー)は、単独で責任を負う
<なぜこれが重要か>
•ますますビジネスユーザー(IT部門と対照的に)は、SaaSアプリケーションにアクセスして管理しており、SaaSのセキュリティを管理するために、適切な装備を備えていない可能性がある。
• ヒューマンエラーは、クラウドリスクの主要な要因の一つとして広く認識されている。
<組織は何をすべきか>
• 従業員向けの一般的なサイバー意識向上トレーニングの範囲を越えて、組織は、SaaSを管理するビジネスユーザーが、なぜクラウドセキュリティにおいて重要な役割を果たすのか、どのようにしてクラウド上でセキュリティを運用できるのかについて理解するためのトピックを含めるべきである。
[クラウドプロバイダーの責任]
•主要クラウドプロバイダーは、ベストプラクティスを公開し、クラウドカスタマーに対してよりよいサポートを提供する。
【サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド】
[Google Workspaceユーザーの責任]
•カスタマーは、従業員にどのようなトレーニングを提供するかを決定する責任がある。これには、GoogleのWorkspaceを安全に使用する方法に関する資料をどのように取り入れるか、またその他のセキュリティベストプラクティスを採用するか否かが含まれる。
[Googleの責任]
•Google Workspace を利用するカスタマーは、Google Cloud セキュリティショーケースのコンテンツのトレーニングプログラムへの組み込みを決定することができる。これは、Google のプロダクトマネージャーが実施するオンデマンドのトピック別ビデオトレーニングセッションである。関連するコンテンツの例として、「Google Workspace に導入すべき重要なセキュリティコントロールは何か?」や「Gmail アカウントをフィッシングやマルウェア攻撃から保護する方法」がある。
•Google のセーフティセンターも、ユーザーがオンラインで安全を保つのに役立つ一連の一般的なツールとヒントを提供している。これには、Google のユーザーがプライバシーを保護し、詐欺を避けるために取るべき具体的な推奨ステップが含まれる。
さらに一般的には、Google ユーザーは Coursera 経由で無料のサイバーセキュリティトレーニングや、より高度な Google サイバーセキュリティ証明書に関する情報を利用することができる。Google サイバーセキュリティ証明書の奨学金も、適格なビジネス向けに利用可能である。
————————————————

クラウドセキュリティコンパニオンガイドでは、セキュリティトレーニングの責任共有について、「エンドユーザー組織(SaaSカスタマー)は、単独で責任を負う」、「主要クラウドプロバイダーは、ベストプラクティスを公開し、クラウドカスタマーに対してよりよいサポートを提供する」と明記している。

これを受けてGoogle Workspaceクラウドセキュリティコンパニオンガイドでも、「カスタマーは、従業員にどのようなトレーニングを提供するかを決定する責任がある」とGoogle Workspaceを使用するカスタマーの責任を明記した上で、SaaSプロバイダーとしてのベストプラクティスや支援策について触れている。

参考までに、SaaSプロバイダー側では、「Google Workspace セキュリティ」(https://www.cloudskillsboost.google/course_templates/48?locale=ja)や「高度なセキュリティ」(https://workspace.google.com/intl/ja/security/threat-prevention/)など、具体的なトレーニングプログラムを公開している。

サイバーハイジーン

次に、サイバーハイジーンのプラクティス/ガイドラインに関しては、各ガイドで、下記の通り要求事項に基づく管理策を提示している。
————————————————
【サイバーエッセンシャルズ】
A.1.4(b) <要求事項>
サイバーハイジーンのプラクティスとガイドラインは、従業員が日々の業務に採用するために開発されるべきである。
【サイバーエッセンシャルズ向けクラウドセキュリティコンパニオンガイド】
*A.1.4(a)と共通の内容
【サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド】
[Google Workspaceユーザーの責任]
カスタマーは、サイバーハイジーンのベストプラクティスを定義して作成する責任を負い、使用している主要なソフトウェア(例. Google Workspace)からの既存のサイバーハイジーンに関する推奨事項を取り入れることが可能である。
[Googleの責任]
Googleのセキュリティベストプラクティスのチェックリストには、一般従業員やIT担当者を含むさまざまなユーザー向けの推奨事項が含まれている。
————————————————

さらにサイバーハイジーンののうち、ヒューマンエラーに起因するインシデント軽減策に関しては、下記の通り推奨事項に基づく管理策を提示している。
————————————————
【サイバーエッセンシャルズ】
A.1.4 (c) <推奨事項>
サイバーハイジーンのプラクティスとガイドラインには、人為的な要因によるサイバーセキュリティインシデントを軽減するための以下のトピックが含まれるべきである:
– フィッシングから身を守る
– 強力なパスフレーズを設定し、それを保護する
– 企業用および/または個人用のデバイス(仕事に使用するもの)を保護する
– サイバーセキュリティインシデントを報告する
– 事業に重要なデータを慎重に取り扱い、開示する
– 現場およびリモートで安全に作業する
【サイバーエッセンシャルズ向けクラウドセキュリティコンパニオンガイド】
• これは、以下のようなクラウドの主なリスクと低減策に関するクラウド特有のトピックを含むべきである:
− クラウドリスクの主な要因の一つとしての人為的ミス
− クラウドにおける共有責任
− 身元やユーザーアクセスアカウントの侵害から生じるリスクと、それを低減するためのベストプラクティス
− 高度な権限を持つアカウントの誤用から生じるリスクと、それを低減するためのベストプラクティス
− 弱い設定を選択することによるリスクと、それを低減するためのベストプラクティス
− クラウド内でのデータの安全な管理
[エンドユーザー組織(SaaSカスタマー)の責任]
• これは、以下のようなクラウドの主なリスクと低減策に関するクラウド特有のトピックを含むべきである:
− クラウドリスクの主な要因の一つとしての人為的ミス
− クラウドにおける共有責任
− 身元やユーザーアクセスアカウントの侵害から生じるリスクと、それを低減するためのベストプラクティス
− 高度な権限を持つアカウントの誤用から生じるリスクと、それを低減するためのベストプラクティス
− 弱い設定を選択することによるリスクと、それを低減するためのベストプラクティス
− クラウド内でのデータの安全な管理
【サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド】
[Google Workspaceユーザーの責任]
カスタマーは、Google Workspaceなど外部クラウドサービスにおけるものを含む、不注意なミスから生じるITシステムのリスクに対処するために、自らのプラクティスとガイドラインを確実にする責任がある。
[Googleの責任]
カスタマーは、ビジネスの規模に基づいて分けられたGoogleのセキュリティベストプラクティスのチェックリストを参照することも可能である。
————————————————

参考までに、サイバーハイジーンに関連してシンガポールサイバーセキュリティ庁は、サイバーエッセンシャルズに定義されたサイバーハイジーン対策に基づいて、「組織のためのサイバーセキュリティ健康診断」(https://www.csa.gov.sg/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cybersecurity-health-check-for-organisations)を公開している。

SaaS利用時のローカル環境におけるハードウェア資産管理はユーザーの責任

次に「A2. ハードウェアとソフトウェア」では、SaaSユーザーが利用するハードウェアおよびソフトウェアに係るIT資産管理について記述している。

まず、ハードウェア資産(クラウド内)およびソフトウェア資産に係るIT資産目録の作成・維持に関して、下記の通り要求事項に基づく管理策を提示している。
————————————————
【サイバーエッセンシャルズ】
A.2.4 (a) <要求事項>
組織内のすべてのハードウェアおよびソフトウェア資産について最新の資産目録を維持する必要がある。組織は、この要件を満たすために、例えばスプレッドシートやIT資産管理ソフトウェアを使用してIT資産目録を維持するなど、さまざまな方法で対応することができる。
【サイバーエッセンシャルズ向けクラウドセキュリティコンパニオンガイド】
• ハードウェア資産(クラウド内)の場合、SaaSはソフトウェア資産と見なされるため、エンドユーザー組織(SaaS顧客)には適用されない。
• ソフトウェア資産の場合、エンドユーザー組織(SaaS顧客)が責任を負う。
<なぜこれが重要か>
• SaaSモデルの人気が高まっており、組織は多数のSaaSサブスクリプションを管理している。
<組織は何をすべきか>
• さまざまな業務機能にわたるSaaSサブスクリプションのインベントリを追跡および監視するためのメカニズムを実装する。
• これは、プロセスまたは技術的なソリューションを通じて実現できる。例:
− すべてのSaaSの購入および取得を使用前にITおよびセキュリティに提出する手続き方法を通じて
− ファイアウォール、Webゲートウェイ、クラウドアクセスサービスブローカー(CASB)からのログの分析および評価を通じて
− SaaSセキュリティポスチャ管理(SSPM)ソリューションの使用を通じて
− SaaSに関連する項目に関する経費報告書および財務記録の分析を通じて
[クラウドプロバイダーの責任]
[クラウドインフラストラクチャプロバイダー]
ハードウェア資産については、クラウドインフラストラクチャプロバイダーが責任を負う
【サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド】
[Google Workspaceユーザーの責任]
カスタマーは、自らのローカル環境内のハードウェアと、Google Workspaceなどのクラウドベースのソフトウェア資産を含む、最新で包括的な資産目録を維持する責任がある。また、カスタマーはGoogle Workspaceを通じて利用可能なツールを使用して、資産目録の管理をサポートするかどうか、およびその方法を決定する責任がある。
[Googleの責任]
Google Workspaceにはデバイス在庫管理が含まれており、カスタマーはGoogle Workspaceに接続されている、またはアクセスに使用されているデバイス(例. コンピューター、ラップトップ、モバイルデバイス)を簡単に確認することができる。この在庫には、オペレーティングシステムのレベル、ブラウザのレベル、モデルなどの基本的な情報が含まれている。カスタマーはこの情報を抽出し、より広範な資産在庫管理の一部として使用することを選択できる。
————————————————

ソフトウェア資産管理については、SaaSユーザーが責任を負い、特にユーザー組織内におけるシャドーITの把握が課題となってくる。他方、ハードウェア資産管理については、SaaSプロバイダーがクラウド環境内の責任を負い、SaaSユーザーがローカル環境内の責任を負うと明記している。

ローカル環境のハードウェア資産管理に関連しては、SaaSプロバイダーが提供する標準的な支援機能のほか、ファイアウォール、Webゲートウェイ、CASB、SSPMなどサードパーティベンダーが提供する各種ソリューションを活用しながら、SaaSユーザーがインベントリ管理体制を構築・運用することが必要になってくる。

未認可・サポート切れSaaSのハードウェア・ソフトウエア資産管理

IT部門が発展途上段階にあるスタートアップ/SMB企業のSaaS利用時に課題となるのが、組織が認可していないハードウェアおよびソフトウェア資産や、サポート終了日(EOS)を迎えた資産の取扱いである。
各ガイドでは、未認可・サポート切れSaaSに係るIT資産管理に関して、下記の通り要求事項に基づく管理策を提示している。

【サイバーエッセンシャルズ】
A.2.4 (g) <要求事項>
認可されていないハードウェアおよびソフトウェア資産や、それぞれのサポート終了日(EOS)を迎えた資産は交換する必要がある。
【サイバーエッセンシャルズ向けクラウドセキュリティコンパニオンガイド】
• サービス説明書や利用規約に記載されているとおり、SaaSプロバイダーのサポート終了(EOS)資産に関する義務を確認する。例. 移行または切り替えのための顧客へのリードタイム
【サイバーエッセンシャルズ向けGoogle Workspaceクラウドセキュリティコンパニオンガイド】
[Google Workspaceユーザーの責任]
カスタマーは、ローカル環境におけるシステム上の不適切な資産を交換する責任を負う。これには、Google Workspaceの無許可のサブスクリプションも含まれる。
[Googleの責任]
カスタマーのGoogle Workspaceインスタンスは、サブスクリプション期間の終了時にEOS期間に到達する。カスタマーがGoogle Workspaceのアクティブなサブスクリプションを維持している限り、インスタンスはEOSに到達しない。

たとえば、SaaSユーザーとSaaSプロバイダーの間のサブスクリプションが切れたり、サポートが切れたりした場合でも、引き続きローカル環境のIT資産管理を担うのはSaaSユーザーである。残存するサポート終了(EOS)資産に脆弱性があると、外部アクターの標的にされやすいので注意が必要である。

このように、該当するセキュリティ管理項目ごとに、責任共有モデルにおけるSaaSユーザー、SaaSプロバイダー、クラウドインフラストラクチャプロバイダーの関係性を明確化した点が、シンガポールのサイバーエッセンシャルズ向けコンパニオンガイドの特徴となっている。SaaSユーザーは、調達から廃棄に至るまでのライフサイクル全体で責任共有モデルを理解しておくことが不可欠である。

次回の「海外に学ぶSMBのクラウドセキュリティ基礎(CSP編)Google Cloud(2)」では、CSP側の責任が明記されていないセキュリティ管理項目に対するSaaSユーザー側の取扱いに焦点を当てる。

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司

ドイツに学ぶ科学技術政策

日本クラウドセキュリティアライアンス 業務執行理事
諸角 昌宏

今年のCSA Japan Summit 2016(5月24日開催)では、テーマを「サイバーフィジカルセキュリティを支えるクラウドセキュリティ」とし、IoT、Industry4.0、およびそれらを支えるクラウドセキュリティについて、欧米の動向、日本の状況、CSAおよびCSAジャパンがどのように取り組んでいるかを幅広くお伝えすることになりました。Summitに向けて、Industry4.0、はたまたドイツで何故Industry4.0が始まり成功しているのかを知りたいと思ったところ、ちょうど、2月26日の「21世紀構想研究会」において永野博氏の「ドイツに学ぶ科学技術政策」という講演を聞くことができましたのでその内容をレポートする。

  1. ドイツとは
    まず、ドイツという国がどのような状況なのかについて、科学技術の観点から触れました。

    • ハイテク産業の輸出額が着実に伸びている。特に、ミドルテク(中規模の会社の技術)の伸びが非常に高い。これは、Industry4.0が中小企業の輸出を支援する政策、つまり、中小企業が負けないように新技術を支援しているところが大きい。
    • GDPに占める輸出の割合が、ドイツは日本の2.7倍。日本が14.6%なのに対して、ドイツは39.2%。
    • 近代的な大学として、教育と研究を一体的に推進している。これにより、国民国家に貢献できる人材育成を行い、大学が社会における知識生産の最大の拠点になるという新しいモデルを実現している。
    • 首相のリーダーシップ(メルケル首相)で、教育を支援している。研究、イノベーション、創造性のみがドイツの生活水準を維持できるという考え方を持っている。メルケル首相が注目されているが、その骨格を作ったのはシュレーダー首相で、ドイツが悪い時代であった1990年代に「アジェンダ2010」を作成し、2010年を目指した戦略を立てていた。これが、現在のメルケル政権下のドイツとなっている。
    • 研究・イノベーション協約が連邦と州政府で結ばれていて、健全な財政かつ研究/教育への投資が約束されている。
    • ハイテク戦略を2006年から進めている。IoTは、ドイツでは2005年から進められている。2012年になって新ハイテク戦略として「デジタルへ対応する経済と社会」というIndustry4.0イニシアチブとしてスタートし、これがドイツでの最優先課題となっている。最近IoTが騒がれているのに比べて、10年以上前からIoTを促進している。
    • 産学公連携のシステムは世界で傑出している。新しい政策の決定を、政治家と科学者が一緒になって行っている。自分たちが社会を作っているという意識が高い。
    • 国を挙げてPhDを養成している。
  2. 日本への示唆
    上記のようなドイツの状況を踏まえての日本に対する提言として、いくつか挙げられていたが、その中で印象に残るものを以下に記述する。

    • 知的なものへの敬意を示すことが必要ということで、研究/教育に対する充実した投資が必要。また、政策の作成に当たって、政治家と科学者が同じテーブルで協議していくように、自らが社会を作っているという意識ができるようにしていくことが必要。
    • 強いリーダーの存在が必要。ドイツでは、戦後の首相の数が8人で、強いリーダーシップのもと政策を行っている。
    • 社会全体が若手を信頼するという発想をもち、若者を大事にする教育をおこなう。
    • 若い人に外を見る環境、世界を見る能力を植え付けるようにする。
    • 生涯教育ができる体制が必要。IoTでは、産業構造の変化により今まで行っていた仕事自体が変わらなければならなくなる。これに対応できるように生涯教育を整備する必要がある。

以上のように、Industry4.0を着実に進めているドイツには、国として力強い背景があることがわかった。今後の日本を考える上で、多少なりとも参考になれば幸いである。

以上

 

SLA-Readyがヨーロッパで発足

クラウドのSLAをガイドするSLA-Readyがヨーロッパで発足

2015年2月13日
日本クラウドセキュリティアライアンス 理事
諸角 昌宏

クラウドサービスの利用する場合、通常、SLA(Service Level Agreement)に基づく契約を行うことになります。CSAのガイダンスでは、「SLAが利用者に提示された時、サービスとプロバイダに対するサービスレベル、セキュリティ、ガバナンス、コンプライアンスおよび法的責任に対して期待される点が、契約上規定され、管理され、強制される」というように記述されています。したがって、利用者は、クラウドサービスを利用する前にプロバイダが提示するSLAを詳細に確認および理解し、クラウドサービスの利用上問題がないことを確認する必要があります。また、必要に応じてプロバイダと交渉しSLAの変更を行うことも必要になります。しかしながら、SLAを理解することは非常に難しいというのが現状です。特に、中小企業(SME)にとっては、クラウドサービスに対する専門家や知識の不足などから、SLAを理解することが難しい状況です。また、SLAの複雑で誤解を招く記述や、ワンクリックで合意しなければならないことが、中小企業のクラウドサービスの採用の足かせとなっています。

SLA-Readyは、SLAの共通の理解を働きかけ、SLAの標準化や透明性の確保を行っていくために設立されました。これにより、どのようなサービスを利用するかという企業の意思決定や信頼性についての情報を提供していくようです。

SLA-Readyは、ヨーロッパのクラウドマーケットの信頼性を構築することに貢献していくことになるようです。今後の動向に注力していきたいと思います。なお、CSAも、このコンソーシアムのメンバーですので、今後CSAがどのように関わっていくかも見ていきたいと思います。

SLA-Readyの情報は、http://www.sla-ready.eu/ で提供されていますので、今後の動向も含めて参照してください。