Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ

426 vues

Publié le

クラウドコンピューティングの利用が拡大し、コストの低減と効率の向上を両立させることが可能になりました。ただし、クラウドによってアウトソースされたサービス全体のセキュリティについては、ユーザー側のIT部門と業務部門が分担して責任を持つことに変わりありません。クラウドプロバイダーがクラウド基盤に対するセキュリティを強化する一方、情報漏えい、ランサムウェア被害等事故をみると、電子メール、モバイルデバイスなど、ゲートウェイおよびその内部に起因するものが増えています。医療、金融、公共など、重要インフラを支える組織内に残された問題を炙り出し、クラウドの安全な活用に向けた提言を行います。

Publié dans : Technologie
  • Soyez le premier à commenter

クラウドファースト時代における重要インフラを守るセキュリティ・ゲートウェイ

  1. 1. クラウドファースト時代における 重要インフラを守る セキュリティ・ゲートウェイ 2017年9月29日 博士(医薬学) 笹原英司 特定非営利活動法人ヘルスケアクラウド研究会 理事 在日米国商工会議所 ヘルスケアIT小委員会 委員長 CLOUD SECURITY ALLIANCE BIG DATA/HIM/IOT/MOBILE WG
  2. 2. AGENDA 1.海外の重要情報インフラに関わる セキュリティインシデント事例 2.重要インフラを支えるクラウドとサイバー サプライチェーンのセキュリティ要求事項 3.クラウド環境における ゲートウェイセキュリティの役割 4. まとめ/Q&A 2@Healthcare Cloud Initiative, NPO 2017
  3. 3. 1. 海外の重要情報インフラに関わる セキュリティインシデント事例 3 1-1.米国医療分野のインシデント事例 1-2.米国金融サービス × 医療分野のインシデント事例 @Healthcare Cloud Initiative, NPO 2017
  4. 4. 1-1.米国医療分野のインシデント事例(1) ランサムウェアおよびその亜種に起因するセキュリティ インシデント事例 2016年2月: カリフォルニア州ロサンジェルスのハリウッド長老教会医療 センターが、ランサムウェアの攻撃(起点は電子メール)に 遭ってネットワークが使用不能となり、ハッカーに40BTC(約 170,000米ドル)支払った事案が発覚 2016年6月: ダークサイト専門の情報提供Webメディア「DeepDotWeb」で 「TheDarkOverload」と呼ばれるハッカー集団が、米国の医 療関連組織から盗まれた電子カルテの個人データベース総 計655,000件分を、151BTC(約100,000米ドル)~607BTC(約 395,000米ドル)で販売していることが報じられる 4@Healthcare Cloud Initiative, NPO 2017
  5. 5. 1-1.米国医療分野のインシデント事例(2) 2016年7月: 米国保健福祉省(HHS)が、HIPAAのランサムウェア対策ガイド ラインを公表 電子的な保護対象保健情報(ePHI)への脅威や脆弱性を特定するため に、リスク分析を実施して、特定したリスクを軽減し、解決するための計 画を策定する。 悪意のあるソフトウェアから保護する手順を導入する。 悪意のあるソフトウェアの検知や検知結果の報告に関する研修を権限 のあるユーザーに対して行う。 ePHIへのアクセスを、アクセスする必要がある人やソフトウェアプログラ ムに限定する。 災害復旧、緊急対応、小まめなデータバックアップ、復元テストを含む 全体的な危機管理計画を維持する。 5@Healthcare Cloud Initiative, NPO 2017
  6. 6. 1-1.米国医療分野のインシデント事例(3) 2017年5月: 英国・国民保健サービス(NHS)関連の医療施設で、ランサムウ ェア「WannaCry」に起因する被害が多発 (*NHSのクラウド側は被害なし) 政府通信本部(GCHQ)傘下の国家 サイバーセキュリティセンター(NCSC)、 保健省、NHSイングランドと連携して、 各組織の支援に当たっていることを 公表 <NHSデジタルの対策> サイバー攻撃に対する保護策としてのパッチに 関する説明文書、テクニカルガイドライン、FAQ集 予防策としてインターネットから遮断したネット ワークの再接続に関するテクニカルガイドライン • NHSmail • CareCERT bulletin 6 出典:NHS Digital (2017年5月18日更新) @Healthcare Cloud Initiative, NPO 2017
  7. 7. 1-1.米国医療分野のインシデント事例(4) 2017年5月: 米国・国土安全保障省(DHS)「継続的なランサムウェア攻撃に 関するDHSの声明」 <推奨策> 最新のパッチやソフトウェアアップデートを含むよう、システム をアップデートする 電子メールの見知らぬリンクまたはファイルをクリックしたり、 ダウンロードしたりしない 家庭であれ、職場であれ、学校のコンピューターであれ、発生 し得る損失を防止するために、データのバックアップをとる 7@Healthcare Cloud Initiative, NPO 2017
  8. 8. 1-2.米国金融サービス × 医療分野の インシデント事例(1) 米国の医療保険会社(NYSE上場企業) Anthemのセキュリティインシデント(2015年2月) 共通の電子メール構成要素ITシステムが海外からのサイバー攻撃を受 け、顧客約8千万件の情報流出被害が発生したことを公表 ニューヨーク証券取引所(NYSE)の上場企業である 米証券取引委員会(SEC):米国企業改革法(SOX)に基づき、財務報 告に係る情報開示や内部統制を義務付ける 海外からのサイバー攻撃が発端となった テロ対策を所管する国土安全保障省(DHS)の調査 サイバー犯罪を所管する連邦捜査局(FBI)の調査 保険会社から顧客情報が流出した ニューヨーク州金融サービス局が州内の全保険会社に対するサイ バーセキュリティ検査を開始 8@Healthcare Cloud Initiative, NPO 2017
  9. 9. 1-2.米国金融サービス × 医療分野の インシデント事例(2) Anthemのセキュリティインシデント(続き) 顧客の保護対象保健情報(PHI)が流出 HIPAAを所管する保健福祉省(HHS)への報告義務 過去にHIPAA違反で170万ドルの民事制裁金を科せられたことがある (当時の社名はWellPoint) 暗号化していなかった保存データがサイバー攻撃を受けて外部流出 HIPAAは、保存データの暗号化を規定しているが、完全な強制ではな い(暗号化の有無で制裁金の金額が変わる) 顧客らが損害賠償請求の集団訴訟を提起 2017年6月、集団訴訟に関して、総額1億1500万米ドル(=約130億円、 1米ドル=113円換算)で和解したことを発表 漏洩後、顧客を標的にしたフィッシング攻撃が発生 消費者保護を所管する連邦取引委員会(FTC)が注意喚起 9@Healthcare Cloud Initiative, NPO 2017
  10. 10. 2. 重要インフラを支えるクラウドとサイバー サプライチェーンのセキュリティ要求事項 10 2-1.米国の重要情報インフラ保護法制 2-2.米国の重要情報インフラを支える クラウドサービスのセキュリティ基準:FedRAMP 2-3. 米国の重要情報インフラを支える クラウドサービスのセキュリティ基準:DoD SR 2-4.米国の重要情報インフラに関わる事業者、 サプライヤー企業のセキュリティ要求事項 2-5. (例)米国の医療インフラに関わる事業者、 サプライヤー企業のセキュリティ要求事項 2-6. (例)米国の重要インフラに関わる製造企業の セキュリティ要求事項 @Healthcare Cloud Initiative, NPO 2017
  11. 11. 2-1.米国の重要情報インフラ保護法制 「連邦情報セキュリティマネジメント法」(FISMA:Federal Information Security Modernization Act)(2002年12月) (https://www.dhs.gov/fisma) 連邦政府の各機関に対して情報および情報システムのセキュリティ を強化するためのプログラムの開発・文書化・実践を義務付ける 米国国立標準技術研究所(NIST)に連邦政府がFISMAに準拠する ための支援をすることを義務付ける 国土安全保障省(DHS)配下に情報セキュリティ対策組織「US- CERT」(United States Computer Emergency Readiness Team)を 設置する 重要情報インフラの構成セクター(16): 化学、商業施設、通信、重要製造、ダム、防衛産業基盤、緊急サー ビス、エネルギー、金融サービス、食品・農業、政府施設、医療・公 衆衛生、情報技術、原子炉・物質・廃棄物、交通システム、水道・下 水道システム 11@Healthcare Cloud Initiative, NPO 2017
  12. 12. 2-2. 米国の重要情報インフラを支える クラウドサービスのセキュリティ基準:FedRAMP(1) 「FedRAMP」(Federal Risk and Authorization Management Program)(2011年12月) (https://www.gov.uk/government/publications/government-cloud-strategy) 連邦政府共通のクラウドサービス調達のためのセキュリティ基準 「連邦政府一般調達局」(GSA:General Services Administration) のFedRAMP PMOが、標準的な契約用語やサービス・レベル・アグ リーメント(SLA)のテンプレート開発などを含むプロジェクト全体の 運営を担う 「合同認定委員会」(JAB:Joint Authorization Board)が、調達対 象のクラウドサービスを承認する 評価基準や技術要件については、NISTが所管する 「FedRAMPセキュリティ評価フレームワーク」:具体的なリスク評価 基準や要求事項をとりまとめたもの 12@Healthcare Cloud Initiative, NPO 2017
  13. 13. 2-2. 米国の重要情報インフラを支える クラウドサービスのセキュリティ基準:FedRAMP(2) 「FedRAMP」(続き) 「行政管理予算局」(OMB:Office of Management and Budget) が政府調達や予算執行について調整する。 各省庁の最高情報責任者(CIO)の連絡機関である「CIO協議会」 (CIO Council)が戦略統括と省庁間調整を担う クラウドサービス事業者がFedRAMPの認定を受けるには、 FedRAMP認定の第三者評価機関(3PAO:3rd-Party Assessment Organization)による評価報告書を提出し、JABによる承認を受け る必要がある。 13@Healthcare Cloud Initiative, NPO 2017
  14. 14. 2-2. 米国の重要情報インフラを支える クラウドサービスのセキュリティ基準:FedRAMP(3) 「FedRAMP Accelerated」(2016年3月28日) (https://www.fedramp.gov/participate/fedramp-accelerated-process/) 承認申請プロセスの迅速化を目的とする 14 出典:General Services Administration「FedRAMP Accelerated Process Overview」(2016年3月28日)) @Healthcare Cloud Initiative, NPO 2017
  15. 15. 2-3. 米国の重要情報インフラを支える クラウドサービスのセキュリティ基準:DoD SRG(1) 国防総省・国防情報システム局(DISA)のクラウド コンピューティングセキュリティ要求事項ガイド(SRG) (http://iase.disa.mil/cloud_security/Pages/index.aspx) インパクトレベル1:一般公開を認められた非機密情報(※現在はレベル2に統合) インパクトレベル2:管理されていない非機密情報(FedRAMP認証または同等レ ベルのパブリッククラウドオファリングであること) インパクトレベル3:管理されている非機密情報(※現在はレベル4に統合) インパクトレベル4:管理されている非機密情報(FedRAMP Moderateベースライ ンと国防総省固有のコントロール/要求事項の組み合わせにより認証を受ける) インパクトレベル5:管理されている非機密情報でミッションクリティカル/国家安 全保障情報(FedRAMP Moderateベースラインと国防総省固有のコントロール/ 要求事項の組み合わせにより認証を受ける) インパクトレベル6:機密情報でSECRET扱いまで(外部運用する国防総省契約先 の施設および情報システムの評価および認証を受けたもの) 15@Healthcare Cloud Initiative, NPO 2017
  16. 16. 2-3. 米国の重要情報インフラを支える クラウドサービスのセキュリティ基準:DoD SRG(2) 政府機関のユーザーとクラウド事業者の責任分界点 ⇒「多層防御」(Defense-in-Depth)のエコシステム 16 出典:DoD Defense Information Systems Agency「Department of Defense Cloud Computing Security Requirements Guide Version 1, Release 2」(2016年3月18日) @Healthcare Cloud Initiative, NPO 2017
  17. 17. 2-3. 米国の重要情報インフラを支える クラウドサービスのセキュリティ基準:DoD SRG(3) 国防総省・国防情報システム局(DISA)のアーキテクチャに 関する要求事項 クラウドアクセスポイント(CAP) ネットワークプレーン クラウドサービスプロバイダー(CSP)アーキテクチャ CSPサービスアーキテクチャ……SaaS CSPサービスアーキテクチャ……IaaS/PaaS CSP災害復旧(DR)-事業継続(COOP) インターネットプロトコル(IP)アドレスとドメイン名サービス SaaSを利用するミッションオーナーの要求事項 IaaS/PaaSを利用するミッションオーナーのシステム/アプリケーション要求事項 クラウドのためのアクティブディレクトリ統合 (例.クラウドのAzure Active DirectoryとオンプレミスのExchange Server) 17@Healthcare Cloud Initiative, NPO 2017
  18. 18. 2-4. 米国の重要情報インフラに関わる事業者、 サプライヤー企業のセキュリティ要求事項(1) 国立標準技術研究所(NIST)「連邦政府システムおよび組織の ためのサプライチェーンリスクマネジメント・プラクティス(NIST SP 800-161)」(2015年4月) サイバーサプライチェーンリスクマネジメント(C-SCRM): •分散と相互接続を特徴とする情報技術(IT:Information Technology)/制御技術(OT:Operation Technology)製品お よびサービスのサプライチェーンに関連するリスクを特定、評 価、低減するプロセスであり、システムのライフサイクル全体 (設計、改札、物流、導入、購買、維持、破棄など)をカバーし ている。 •サプライチェーンの脅威や脆弱性は、意図的もしくは非意図的 に、いつでもIT/OT製品またはサービスを危うくする可能性が ある。 18@Healthcare Cloud Initiative, NPO 2017
  19. 19. 2-4. 米国の重要情報インフラに関わる事業者、 サプライヤー企業のセキュリティ要求事項(2) 「連邦政府システムおよび組織のためのサプライチェーンリスク マネジメント・プラクティス(NIST SP 800-161)」(2015年4月) ICTサプライチェーンにおけるリスクの階層構造: 19 出典:NIST「NIST Special Publication 800-161:Supply Chain Risk Management Practices for Federal Information Systems and Organizations」(2015年4月) @Healthcare Cloud Initiative, NPO 2017
  20. 20. 2-4. 米国の重要情報インフラに関わる事業者、 サプライヤー企業のセキュリティ要求事項(3) 「連邦政府システムおよび組織のためのサプライチェーンリスク マネジメント・プラクティス(NIST SP 800-161)」(2015年4月) ICTサプライチェーンにおけるリスク管理のプロセス: 20 出典:NIST「NIST Special Publication 800-161:Supply Chain Risk Management Practices for Federal Information Systems and Organizations」(2015年4月) @Healthcare Cloud Initiative, NPO 2017
  21. 21. 2-4. 米国の重要情報インフラに関わる事業者、 サプライヤー企業のセキュリティ要求事項(4) NIST「重要インフラのサイバーセキュリティを向上させるための フレークワーク 1.1版草案」(2017年1月) サイバーサプライチェーンに関わるステークホルダーの関係 • 【バイヤー】:組織から所与の製品/ サービスを消費する人間/組織 • 【サプライヤー】:組織の内部目的の ために利用する製品/サービス、 またはバイヤーに提供する製品/ サービスに統合する製品/サービス の供給者 • 【非IT/OTパートナー】:IT/OTを直接 提供しないが、組織のセキュリティに 影響を及ぼす製品/サービスプロバイダー 21 出典:NIST「Cybersecurity Framework Draft Version 1.1」(2017年1月) @Healthcare Cloud Initiative, NPO 2017
  22. 22. 2-4. 米国の重要情報インフラに関わる事業者、 サプライヤー企業のセキュリティ要求事項(5) NIST「重要インフラのサイバーセキュリティを向上させるための フレークワーク 1.1版草案」(2017年1月) サイバーサプライチェーンリスク管理活動 •サプライヤーおよびIT/OTパートナーのためのサイバーセキ ュリティに関する要求事項を決定する •正式な合意書(契約書)を介して、サイバーセキュリティに関 する要求事項を規定する •サプライヤーとパートナーに対し、サイバーセキュリティの要 求事項がどのように確認され、検証されるかを伝達する •さまざまな評価手法を介して、サイバーセキュリティの要求事 項を満たしているか確認する •上記の活動を統治、管理する 22@Healthcare Cloud Initiative, NPO 2017
  23. 23. 2-5. (例)米国の医療インフラに関わる事業者、 サプライヤー企業のセキュリティ要求事項(1) NIST・国立サイバーセキュリティセンターオブエクセレンス (NCCoE)「NIST SP 1800-8:医療提供組織における無線輸血ポ ンプのセキュア化」草案(2017年5月) 【無線輸血ポンプと通信系サーバの間のデータフロー】 医薬品ライブラリーの修正 ソフトウェアアップデートの実行 デバイスの遠隔管理 データフロー/プロセスの監査 23 出典:NIST NCCoE「NIST Cybersecurity Practice Guide SP 1800-8: Securing Wireless Infusion Pumps in Healthcare Delivery Organizations - Draft」(2017年5月) 医療機器メーカーは サプライヤー! @Healthcare Cloud Initiative, NPO 2017
  24. 24. 2-5. (例)米国の医療インフラに関わる事業者、 サプライヤー企業のセキュリティ要求事項(2) (続き)医療機器メーカーは医療機関の外部委託先! ⇒サイバーサプライチェーン・リスクマネジメントにおける役割、 責任分界点の明確化が不可欠(クラウド環境では特に) ネットワークのコントロール ポンプのコントロール ポンプサーバのコントロール エンタープライズレベルの コントロール 24 出典:NIST NCCoE「NIST Cybersecurity Practice Guide SP 1800-8: Securing Wireless Infusion Pumps in Healthcare Delivery Organizations - Draft」(2017年5月) @Healthcare Cloud Initiative, NPO 2017
  25. 25. 2-6. (例)米国の重要インフラに関わる製造企業の セキュリティ要求事項(1) NIST「NISTIR 8183 サイバーセキュリティフレームワーク 製造業プロファイル」最終版(2017年9月) NISTサイバーセキュリティフレームワーク × 重要製造のミッション目標のマ トリックスによる要求事項設定(産業制御システム・情報技術システム双方) ミッション目標のカテゴリー 人的安全の維持 環境安全の維持 製品品質の維持 生産目標の維持 営業秘密の維持 セキュリティ影響度評価尺度 「Low」「Moderate」「High」 25 出典:NIST 「NISTIR 8183, Cybersecurity Framework Manufacturing Profile」(2017年9月) @Healthcare Cloud Initiative, NPO 2017
  26. 26. 2-6. (例)米国の重要インフラに関わる製造企業の セキュリティ要求事項(2) (例)特定:資産管理(ID.AM)の要求事項(一部) 26 出典:NIST 「NISTIR 8183, Cybersecurity Framework Manufacturing Profile」(2017年9月) @Healthcare Cloud Initiative, NPO 2017
  27. 27. 3. クラウド環境における ゲートウェイセキュリティの役割 27 3-1.クラウド環境の電子メールセキュリティ 3-2.クラウド環境のアイデンティティ/アクセス管理 @Healthcare Cloud Initiative, NPO 2017
  28. 28. 3-1.クラウド環境の電子メールセキュリティ(1) Cloud Security Alliance「SecaaS(Security as a Service) 導入ガイダンスカテゴリー4」(2012年9月) (https://cloudsecurityalliance.org/download/secaas-category-4-email-security- implementation-guidance/) 共通の電子メール構成要素 電子メール・アーキテクチャの保護 共通の電子メール脅威 peer認証 電子メール・メッセージ標準規格 電子メール暗号化と電子署名 電子メール・コンテンツ検査とフィルタリング メールクライアントのセキュア化 電子メール・データの保護と可用性保証技術 28@Healthcare Cloud Initiative, NPO 2017
  29. 29. 3-1.クラウド環境の電子メールセキュリティ(2) エンタープライズ導入を補完する クラウド型電子メールサービス <機能の例> ウイルス予防対策 アイデンティティ管理 ログイン・セキュリティ スパム・フィルタリング コンテンツ・フィルタリング レポーティング 暗号化 アーカイブ化・保存 事業継続・災害対策 など 29 出典:Cloud Security Alliance 「SecaaS Category 4 // Email Security Implementation Guidance」 (2012年9月) @Healthcare Cloud Initiative, NPO 2017
  30. 30. 3-1.クラウド環境の電子メールセキュリティ(3) 英国政府・通信電子セキュリティグループ(CESG) 「Microsoft Office 365セキュリティガイドライン:電子メール」 (2015年11月4日)(https://www.gov.uk/government/publications/microsoft-office-365- security-guidance/microsoft-office-365-security-guidance-email) 電子メールの保護(例.保存/転送時の暗号化) トランスポート層セキュリティ(TLS) 電子メールフロー Outlookルーティング Outlookゲートウェイと第三者メールサービス MX (Mail Exchanger) レコード ハイブリッド導入 信頼性と証明書 Microsoftとハイブリッド導入 シングルサインオンとハイブリッド導入 30@Healthcare Cloud Initiative, NPO 2017
  31. 31. 3-2.クラウド環境のID管理(1) Cloud Security Alliance「クラウドコンピューティングのための セキュリティガイダンス V3.0」(2011年11月) アイデンティティ、権限付与、アクセス管理 クラウドにおけるアイデンティティアーキテクチャ アイデンティティ連携 アイデンティティと属性のプロビジョニングとガバナンス 権限付与(承認)とアクセス管理 アイデンティティと属性提供者とのインタフェースに 必要なアーキテクチャ アイデンティティと属性の信頼レベル クラウドシステム上のアカウントのプロビジョニング アイデンティティに必要なアプリケーション設計 アイデンティティとデータ保護 31@Healthcare Cloud Initiative, NPO 2017
  32. 32. 3-2.クラウド環境のID管理(2) アイデンティティ、権限付与、アクセス管理(続き) クラウドにおけるアイデンティティアーキテクチャ アイデンティティ連携 複数のアイデンティティと属性のソースをベースに、権限付与プロセス で定義したルールに従って、アクセス管理の決定をする。 32 出典:Cloud Security Alliance「Security Guidance for Critical Areas of Focus in Cloud Computing V3.0」 (2011年1月) Exchange Active Directory Azure Active Directory (例) @Healthcare Cloud Initiative, NPO 2017
  33. 33. 3-2.クラウド環境のID管理(3) Cloud Security Alliance「SecaaS(Security as a Service)導入ガ イダンス カテゴリー1:アイデンティティ/アクセス管理」(2012 年9月) (https://cloudsecurityalliance.org/download/secaas-category-1-identity-and- access-management-implementation-guidance/) <Identity and Access Management as a Serviceの要求事項> 認証 強力な認証、リスクベース認証 アイデンティティ・フェデレーション・サービス 連携したアイデンティティ管理、連携したシングルサインオン(SSO) アイデンティティ管理サービス プロビジョニング/ディプロビジョニング、特権ユーザー管理 権限付与(承認)とアクセス管理 権限付与(承認)管理、アクセスポリシー管理、監査とレポーティング 33@Healthcare Cloud Initiative, NPO 2017
  34. 34. 3-2.クラウド環境のID管理(4) 統合型Identity and Access Management as a Serviceの導入 34 出典:Cloud Security Alliance 「SecaaS Implementation Guidance: Category 1 // Identity and Access Management」 (2012年9月) <AIMの概念機能アーキテクチャ> <統合型AIMaaSの導入> @Healthcare Cloud Initiative, NPO 2017
  35. 35. 3-2.クラウド環境のID管理(5) 英国政府・通信電子セキュリティグループ(CESG) 「Microsoft Office 365セキュリティガイドライン:シングルサ インオンとリモートアクセス」(2015年11月4日) (https://www.gov.uk/government/publications/microsoft-office-365-security- guidance/microsoft-office-365-security-guidance-single-sign-on-and-remote-access) シングルサインオンとは何か? MicrosoftとSSO 同期の推奨事項 SSOの互換性 SSO導入の要求事項 Webアクセス 既知のデバイスへのアクセス制限 共有されたデバイス レファレンス 35@Healthcare Cloud Initiative, NPO 2017
  36. 36. 3-2.クラウド環境のID管理(6) Cloud Security Alliance「クラウドコンピューティングのためのセ キュリティガイダンス V4.0」(2017年7月) アイデンティティ、権限付与、アクセス管理 クラウドコンピューティングのアイデンティティ/アクセス管理標準規格 クラウドコンピューティングにおけるユーザーとアイデンティティの管理 認証と資格証明 権限付与(承認)とアクセス管理 特権ユーザー管理 あらゆる特権ユーザーのために、強力な認証の要件を強く考慮すべき 特権ユーザーの責任と可視性を押し上げるために、アカウントとセッションの 記録を導入すべき 特権ユーザーは、資格制御、デジタル認証、物理的、論理的に分離したアク セスポイントおよび/またはジャンプホストのための高レベルの保証を利用 しながら、別個の厳格に制御されたシステムを介して、サインインすると便利 36@Healthcare Cloud Initiative, NPO 2017
  37. 37. 4. まとめ 37 ・重要情報インフラを支えるクラウド環境では、サ イバーサプライチェーン・リスクマネジメントのエコ システム構築と継続的な運用が鍵を握る ・重要情報インフラでは、クラウド環境とオンプレ ミス環境、産業制御システム(ICS)と情報技術( IT)システムの隙間にリスクが潜んでいる ・クラウド環境のゲートウェイに位置するID管理、 電子メールのセキュリティリスクは、影響範囲が 広く、「多層防御」のエコシステムが不可欠 @Healthcare Cloud Initiative, NPO 2017
  38. 38. Q&A 38 https://www.linkedin.com/in/esasahara https://www.facebook.com/esasahara https://twitter.com/esasahara @Healthcare Cloud Initiative, NPO 2017

×