THE COMPLETE CLOUD OPERATIONS SECURITY BLUEPRINT（Part-３)

完全なクラウド運用セキュリティブループリント(第三章）

完全なクラウド運用セキュリティブループリントについての記事です。５回に分けて投稿しています。第３回目の今回は、アクセスコントロール、アクセスモニタリングについてです。

ACCESS CONTROL & MONITORING

perimeterでのセキュリティ保護と監視は、クラウド環境を保護するための最初のステップとしてはいい選択ですが、システムへのアクセスをコントロールできないと、自分の大切なデータと会社を危険にさらすことになります。 ほとんどの組織では、ネットワーク、システム、アプリケーション、および機密データへのアクセスを制限するある程度の技術、ポリシー、および手順を準備しています。絶えず変化するクラウドサービスの世界では、これらの手順を実装するのはとても複雑な手順を踏まなければいけません。ベストプラクティスとしては「最小限の特権」の概念に従うことをおすすめします。ユーザーのアクセスを、ユーザーが必要な業務を行うために必要なリソースのみに制限することです。

User Management

セキュリティの観点から、人的要因は多くの場合、セキュリティ操作においては最大の弱点となります。 これに対処するには、チームは、さまざまなシステムへのアクセスを許可されるユーザーのコントロールから始める必要があります。 多くの企業は、何らかのアクセス制御リスト（ACL）で設定された従業員の権利に基づいて、システムやツールへのアクセス（および物理アクセス）を制限してくれるIdentity Access Management（アイデンティティ/アクセス管理：IAM）ツールを実装しています。 ACLをユーティライズするIAMツールは、一般的にすべての主なクラウドプロバイダーのサービスで利用可能です。

MicrosoftのActive Directory（アクティブ・ディレクトリ：AD）は何十年もの間、ずっとスタンダードとなっています。 最近では、組織内のユーザーの役割に基づいてシステムへのアクセスを制限するロールベースアクセス制御（RBAC）を実装し、ユーザーごとに権利を設定する必要性をなくすことで、このプロセスの合理化をするようになっています。

承認に加えて、ユーザー管理において2番目に大事なのは認証です。つまり、ユーザーの身元を確認することです。基本的な手順として、企業は複雑さの度合いの異なるユーザーIDとパスワードを必要とします。 今日、Okta やOneLoginなどのソリューションである多要素認証（MFA）は、人間であるユーザーに対応するとした場合のベストプラクティスとして考えられています。サードパーティアプリケーションがシステムにアクセスする必要がある場合、OAuth、OpenId、SAML、UAFなどのプロトコルが優先される認証方法です。 ベストプラクティスについては、OWASPの認証に関する情報をまとめたものがこちらです。 ぜひご覧ください。