More Related Content
Similar to クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ (20)
More from Eiji Sasahara, Ph.D., MBA 笹原英司 (20)
クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ
- 11. 2-1.米国の重要情報インフラ保護法制
「連邦情報セキュリティマネジメント法」(FISMA:Federal
Information Security Modernization Act)(2002年12月)
(https://www.dhs.gov/fisma)
連邦政府の各機関に対して情報および情報システムのセキュリティ
を強化するためのプログラムの開発・文書化・実践を義務付ける
米国国立標準技術研究所(NIST)に連邦政府がFISMAに準拠する
ための支援をすることを義務付ける
国土安全保障省(DHS)配下に情報セキュリティ対策組織「US-
CERT」(United States Computer Emergency Readiness Team)を
設置する
重要情報インフラの構成セクター(16):
化学、商業施設、通信、重要製造、ダム、防衛産業基盤、緊急サー
ビス、エネルギー、金融サービス、食品・農業、政府施設、医療・公
衆衛生、情報技術、原子炉・物質・廃棄物、交通システム、水道・下
水道システム
11@Healthcare Cloud Initiative, NPO 2017
- 12. 2-2. 米国の重要情報インフラを支える
クラウドサービスのセキュリティ基準:FedRAMP(1)
「FedRAMP」(Federal Risk and Authorization
Management Program)(2011年12月)
(https://www.gov.uk/government/publications/government-cloud-strategy)
連邦政府共通のクラウドサービス調達のためのセキュリティ基準
「連邦政府一般調達局」(GSA:General Services Administration)
のFedRAMP PMOが、標準的な契約用語やサービス・レベル・アグ
リーメント(SLA)のテンプレート開発などを含むプロジェクト全体の
運営を担う
「合同認定委員会」(JAB:Joint Authorization Board)が、調達対
象のクラウドサービスを承認する
評価基準や技術要件については、NISTが所管する
「FedRAMPセキュリティ評価フレームワーク」:具体的なリスク評価
基準や要求事項をとりまとめたもの
12@Healthcare Cloud Initiative, NPO 2017
- 25. 2-6. (例)米国の重要インフラに関わる製造企業の
セキュリティ要求事項(1)
NIST「NISTIR 8183 サイバーセキュリティフレームワーク
製造業プロファイル」最終版(2017年9月)
NISTサイバーセキュリティフレームワーク × 重要製造のミッション目標のマ
トリックスによる要求事項設定(産業制御システム・情報技術システム双方)
ミッション目標のカテゴリー
人的安全の維持
環境安全の維持
製品品質の維持
生産目標の維持
営業秘密の維持
セキュリティ影響度評価尺度
「Low」「Moderate」「High」
25
出典:NIST 「NISTIR 8183, Cybersecurity Framework Manufacturing Profile」(2017年9月)
@Healthcare Cloud Initiative, NPO 2017
- 28. 3-1.クラウド環境の電子メールセキュリティ(1)
Cloud Security Alliance「SecaaS(Security as a Service)
導入ガイダンスカテゴリー4」(2012年9月)
(https://cloudsecurityalliance.org/download/secaas-category-4-email-security-
implementation-guidance/)
共通の電子メール構成要素
電子メール・アーキテクチャの保護
共通の電子メール脅威
peer認証
電子メール・メッセージ標準規格
電子メール暗号化と電子署名
電子メール・コンテンツ検査とフィルタリング
メールクライアントのセキュア化
電子メール・データの保護と可用性保証技術
28@Healthcare Cloud Initiative, NPO 2017
- 33. 3-2.クラウド環境のID管理(3)
Cloud Security Alliance「SecaaS(Security as a Service)導入ガ
イダンス カテゴリー1:アイデンティティ/アクセス管理」(2012
年9月) (https://cloudsecurityalliance.org/download/secaas-category-1-identity-and-
access-management-implementation-guidance/)
<Identity and Access Management as a Serviceの要求事項>
認証
強力な認証、リスクベース認証
アイデンティティ・フェデレーション・サービス
連携したアイデンティティ管理、連携したシングルサインオン(SSO)
アイデンティティ管理サービス
プロビジョニング/ディプロビジョニング、特権ユーザー管理
権限付与(承認)とアクセス管理
権限付与(承認)管理、アクセスポリシー管理、監査とレポーティング
33@Healthcare Cloud Initiative, NPO 2017
- 34. 3-2.クラウド環境のID管理(4)
統合型Identity and Access Management as a Serviceの導入
34
出典:Cloud Security Alliance 「SecaaS Implementation Guidance: Category 1 // Identity and Access Management」
(2012年9月)
<AIMの概念機能アーキテクチャ> <統合型AIMaaSの導入>
@Healthcare Cloud Initiative, NPO 2017
- 36. 3-2.クラウド環境のID管理(6)
Cloud Security Alliance「クラウドコンピューティングのためのセ
キュリティガイダンス V4.0」(2017年7月)
アイデンティティ、権限付与、アクセス管理
クラウドコンピューティングのアイデンティティ/アクセス管理標準規格
クラウドコンピューティングにおけるユーザーとアイデンティティの管理
認証と資格証明
権限付与(承認)とアクセス管理
特権ユーザー管理
あらゆる特権ユーザーのために、強力な認証の要件を強く考慮すべき
特権ユーザーの責任と可視性を押し上げるために、アカウントとセッションの
記録を導入すべき
特権ユーザーは、資格制御、デジタル認証、物理的、論理的に分離したアク
セスポイントおよび/またはジャンプホストのための高レベルの保証を利用
しながら、別個の厳格に制御されたシステムを介して、サインインすると便利
36@Healthcare Cloud Initiative, NPO 2017