Más contenido relacionado La actualidad más candente (18) Similar a ニューノーマルセキュリティ~進化するクラウド環境におけるデータセキュリティの勘所 (20) Más de Eiji Sasahara, Ph.D., MBA 笹原英司 (20) ニューノーマルセキュリティ~進化するクラウド環境におけるデータセキュリティの勘所7. 7
1-1.多要素認証の不備が指摘されたインシデント事例(2)
・ 出典:NYDFS「DFS SUPERINTENDENT LACEWELL ANNOUNCES CYBERSECURITY SETTLEMENT
WITH LICENSED INSURANCE COMPANY」(2021年4月14日)
https://www.dfs.ny.gov/reports_and_publications/press_releases/pr202104141
• 制裁金に加えて、NYDFSは、120日以内に、以下のような
救済策を提出するよう求める
包括的な書面によるサイバーセキュリティ・インシデント対応計画
包括的なサイバーセキュリティ・リスク評価
認可されたユーザーの活動をモニタリングし、認可されたユーザーに
よる非公開情報(NPI)への不正アクセスや利用、改ざんを検知
するために設計された、リスクベースのポリシーや手順、制御
リスク評価からのリスクを反映して更新された、全従業員向けの
サイバーセキュリティ・トレーニング教材
9. 9
1-2.クラウドストレージへのデータ流出インシデント事例(2)
• 出典:Docket Alarm「Case 2:21-cv-00250 | Florida Middle District Court」
(https://www.docketalarm.com/cases/Florida_Middle_District_Court/2--21-cv-00250/)
• 監査ログ解析の結果より
• ハッカーのコードがウクライナで生成された
• 複製されたデータがパブリッククラウドサービス事業者のクラウド
ストレージ上にアップロードされたことが確認された
• サーバーへのアクセスは、同院の職員に付与されたパスワードのみで
可能だったが、電子メールを利用したフィッシング詐欺により、不正
アクセスを受けるに至った
• 医療機関は、2021年3月23日、フロリダ中部地区連邦地方裁判所
フォートワース支部に対し、クラウドストレージ上に保存されたデータを
保全する一時的差止命令を求める申立を行い、3月25日、裁判所は
一時的差止命令を発出(2021年5月25日時点:係争中)
21. 21
3-1.サーバーレスとは?(1)
• CSA 「2021年サーバーレスコンピューティング・セキュリティ」
(2021年公開予定)
• サーバーレスコンピューティング:
クラウドプロバイダーが計算処理におけるランタイム管理面の負荷を軽減し、
計算処理、ストレージ、ネットワークに関するすべての面を含む、物理的
または仮想的なマシンリソースの割当設定を動的に管理する、クラウド
コンピューティング展開モデル。サーバーレスアプリケーションのオーナーは、
このようなタスクを管理する必要はない。
• Amazon: Lambda、Fargate、AWS Batch
• Google: Cloud Functions、Knative、Cloud Run
• Microsoft: Azure Functions、Azure Container Instances
• Nimbella: OpenWhisk
• IBM: OpenWhis など
23. 23
3-1.サーバーレスとは?(3)
• CaaS(Container as a Service)
• クラウドサービスコンシューマー(CSC)の責任範囲
クライアントサイト
転送データ
アプリケーション機能
ID/アクセス管理
クラウドサービス構成
コンテナ構築
出典:CSA「Serverless Computing Security in 2021」(in progress)
24. 24
3-1.サーバーレスとは?(4)
・FaaS(Function as a Service)
• クラウドサービスコンシューマー(CSC)の責任範囲
クライアントサイト
転送データ
アプリケーション機能
ID/アクセス管理
クラウドサービス構成
*コンテナ構築・管理は
クラウドサービス
プロバイダー(CSP)の
責任範囲 出典:CSA「Serverless Computing Security in 2021」(in progress)