競技ノート

学んだことを書くところ

クラウド時代に求められるセキュリティとは~企業のITインフラを支えるセキュリティ設計~ を聴講してきた

www.microsoftevents.com

重要、もしくは良いと感じた部分を思いつくままに。備忘録メイン。

企業のクラウド利用に求められるセキュリティとは

Microsoftプリンシパルテクニカルエバンジェリスト 安納順一氏

セキュリティのアンチパターン

  • なんでもかんでも守ろうとする
  • 厳しいルールで縛ろうとする ルールで縛っても、それに反発するのが人間(シャドーITなど)
  • 生産性より安全性を重視する なんのためのITか?を忘れない

一般的にオンプレよりクラウドのほうがセキュリティ堅牢性は高く、多くの情報漏えいインシデントのトリガーはオンプレミス。特に、標的型メールの被害が多い。理由は、メールはFirewallでは防ぐことができず、Firewallの内側のセキュリティはゆるいことが多いため。標的型メールは「入ってくるもの」として割り切るしかないが、怪しいメールをクリックしないというのは難しい。

多層防御構成

考え方は、万が一クライアントが感染したとしても、データまでたどり着けないようにすること。

  • ユーザー(ユーザーを特定する)
  • バイス(デバイスを特定する)
  • アプリケーション(会社が許可しているアプリかを特定する)
  • データ

また、それぞれの層の境界を分離させないような共通の認証基盤を作成することで、レイヤー間でのインターセプト・なりすましなどが起こりにくくなる(人を中心としたセキュリティ設計 -People Centric IT-)。共通の認証基盤(Identity Provider)としては、ActiveDirectoryが一般的。

ActiveDirectoryはユーザー認証だけでなく、デバイス認証機構なども持っている。

  • ユーザーIDとパスワードでログイン → ユーザー認証
  • ドメイン登録済コンピュータでしかログインできない → デバイス認証
  • グループ・ポリシー機能を使うと、特定のプログラムの実行を禁止できる → アプリケーション認証
  • 共有サーバへのアクセス制限 → データ制限

セキュリティのABCサイクル

  • AI(分析)
  • BI(可視化)
  • CI(継続的実装)

Azureのセキュリティで利用されるAI

  • Azure Active Directory Premium(アカウントがインターネット上の脅威にさらされていないか?)
  • Identity Protection(ユーザーアカウント自信の脆弱性を分析)
  • Azure Security Center(セキュリティトレンドのパターン比較し、脅威を検出)

Role-Based Access Control(RBAC)

Role(役割)によってアクセス権をコントロールする

  • IdPでRoleを管理(認証)
  • アプリケーションでRoleが持つ権限を管理(認可)

認証とは?

通信の相手が誰(何)であるかを確認すること

認可とは?

とある特定の条件に対して、リソースアクセスの権限を与えること

dev.classmethod.jp

まとめ

  • ゴールはABCの実現 →AIとBIはAzureに導入されているが、CIの部分は仕組みを作る必要がある
  • 「人」を中心としたセキュリティ設定設計

所感

セキュリティはルールではどうしようもない、ということがよくわかった(ランサムの被害にあった企業はこういったセキュリティルールが非常に厳しいところだった、という説明が非常に腑に落ちた)。クラウドを利用するに当たっては、共通認証基盤の選定・設計がもっとも重要なポイントになりそう。

セミナーの内容としては、Azureのサービス・機能を使って、如何に多層防御を構築するかについてがもっと聞きたかった。おそらくAzureADを認証基盤として構築するのだろうが、そこについて深掘りしたセミナーがあると良いと感じた。

クラウド環境で押さえておきたいサーバーセキュリティのポイント

株式会社 ISAO 岩切秀樹氏の講演。事前に配布された資料とプレゼン資料が異なっていたため少し戸惑ったが、内容は昨今のセキュリティ事情などを踏まえた非常にためになる内容だった。

ランサムウェア

  • 身代金の要求はビットコインで →匿名で取引が可能なため
  • 身代金は3〜8万円が多いそう →払ったとしても、2割くらいしかデータを複合(返して)くれないそうな

マルウェアとパターンファイル

パターンファイルで識別可能なマルウェアは、全体の4〜5割程度