デブサミ2014に行ってきた!シリーズ
2月14日のE1セッション
クラウド時代のセキュリティガバナンス〜情報管理機能の実装とセキュリティ
を途中から聞いてきた。
途中からメモメモ
■組織づくり
経営陣にスタッフの行動が伝わらなければいけない
日報むだ→経営陣にあがってくるのが2週間とか
→ITでサポート
・社長はなにもしらない
・事業計画→KPI→げんばからの情報収集
リアルタイムに集計→高い
リソースを集め、再分配する→クラウドのはじまり
→サービス評価
■セキュリティも同じ
ISMS:組織のセキュリティ
→クラウドも把握したい
→ログは遅い。予測したい(事故ゼロは結果論)
・情報セキュリティもKPIが重要
事故がおきるかもしれないことを氏って準備
ステータス把握できるAPI
→ダッシュボードに纏め上げられる→システムに使える
・保証のため、クラウドサービスができること
個人情報は誰のもの?
ベンダーが守るもの?
本人のもの
→本人が情報オーナー;「自己コントロール権」
→自己コントロール権の対応した情報管理
→ちゃんとした手順で個人情報を得る
→自己コントロール権を守るため
・重要なのはIDマネジメント
保証の基本は「説明責任(アカウンタビリティ)」
→説明の根拠
サポートされる、証明できるプロバイダ
・誰が、いつ、何をしたか
→誰がか特定できること
1人1ID与えられないのは安全管理ではないby 裁判所
・何ができるか:認可
IDマネジメントは一元管理が望ましい
IDの紐付け(名寄せ)ができないと・・・
→IDフェデレーション
Active Directory on Azure,Google+
→組織全体把握
■パスワードはどんなに複雑にしてもX
複雑を考えること自体X
→複雑パスワードコンテストしたとして、最高なものって?
→悪しき慣習
・毎回パスワードを変える?
→ユーザーが大変、ユーザーが楽になるためにITはある
・3種類の文字列で8文字以上
→ルールがあるから、攻撃者有利
・ずぶずぶのところ(泉という)が狙われる
小さなソフトハウス:パスワードを取得
→パスワード辞書をつくる
大きな会社を狙う
→マスコミで取り上げられ、広まる
中堅の会社から、カネをとる
→ああなりたくなかったら・;・・
・2要素認証、2段階認証、ハードウェア認証
→IDフェデレーション
自分たちでID管理やらない
■暗号化するなら、鍵管理をしっかり
1つのサイトに鍵管理をたよると。。。
データと管理は別
→鍵の管理、暗号化、有効性確認の分離
FinQloud
■生のログ→よまない
これからは、ダッシュボード
リモートジャーナリング
ログにデジタル署名
■動的バックアップ
プロビジョニング
IaaSならば、パラレルでバックアップ
寝かせておくインスタンスの活用
SaaSでは、ポータビリティを考えたデータのバックアップ
バックアップ=影に出てくる
■クラウドセキュリティガイドライン
→国際標準化ISO27017
→ISOの国際認証がはじまる
→事業者からサービス単位に
■クラウドで儲けよう By 経済産業省*
2020年 40兆円
ヘルスケア
1 to 1の復活
・前でも後ろでも、パーツになれば・・・
*たぶん、
ここ
「クラウドコンピューティングと日本の競争力に関する研究会」報告書
http://www.meti.go.jp/press/20100816001/20100816001-3.pdf
の64ページ
2月14日のE1セッション
クラウド時代のセキュリティガバナンス〜情報管理機能の実装とセキュリティ
を途中から聞いてきた。
途中からメモメモ
■組織づくり
経営陣にスタッフの行動が伝わらなければいけない
日報むだ→経営陣にあがってくるのが2週間とか
→ITでサポート
・社長はなにもしらない
・事業計画→KPI→げんばからの情報収集
リアルタイムに集計→高い
リソースを集め、再分配する→クラウドのはじまり
→サービス評価
■セキュリティも同じ
ISMS:組織のセキュリティ
→クラウドも把握したい
→ログは遅い。予測したい(事故ゼロは結果論)
・情報セキュリティもKPIが重要
事故がおきるかもしれないことを氏って準備
ステータス把握できるAPI
→ダッシュボードに纏め上げられる→システムに使える
・保証のため、クラウドサービスができること
個人情報は誰のもの?
ベンダーが守るもの?
本人のもの
→本人が情報オーナー;「自己コントロール権」
→自己コントロール権の対応した情報管理
→ちゃんとした手順で個人情報を得る
→自己コントロール権を守るため
・重要なのはIDマネジメント
保証の基本は「説明責任(アカウンタビリティ)」
→説明の根拠
サポートされる、証明できるプロバイダ
・誰が、いつ、何をしたか
→誰がか特定できること
1人1ID与えられないのは安全管理ではないby 裁判所
・何ができるか:認可
IDマネジメントは一元管理が望ましい
IDの紐付け(名寄せ)ができないと・・・
→IDフェデレーション
Active Directory on Azure,Google+
→組織全体把握
■パスワードはどんなに複雑にしてもX
複雑を考えること自体X
→複雑パスワードコンテストしたとして、最高なものって?
→悪しき慣習
・毎回パスワードを変える?
→ユーザーが大変、ユーザーが楽になるためにITはある
・3種類の文字列で8文字以上
→ルールがあるから、攻撃者有利
・ずぶずぶのところ(泉という)が狙われる
小さなソフトハウス:パスワードを取得
→パスワード辞書をつくる
大きな会社を狙う
→マスコミで取り上げられ、広まる
中堅の会社から、カネをとる
→ああなりたくなかったら・;・・
・2要素認証、2段階認証、ハードウェア認証
→IDフェデレーション
自分たちでID管理やらない
■暗号化するなら、鍵管理をしっかり
1つのサイトに鍵管理をたよると。。。
データと管理は別
→鍵の管理、暗号化、有効性確認の分離
FinQloud
■生のログ→よまない
これからは、ダッシュボード
リモートジャーナリング
ログにデジタル署名
■動的バックアップ
プロビジョニング
IaaSならば、パラレルでバックアップ
寝かせておくインスタンスの活用
SaaSでは、ポータビリティを考えたデータのバックアップ
バックアップ=影に出てくる
■クラウドセキュリティガイドライン
→国際標準化ISO27017
→ISOの国際認証がはじまる
→事業者からサービス単位に
■クラウドで儲けよう By 経済産業省*
2020年 40兆円
ヘルスケア
1 to 1の復活
・前でも後ろでも、パーツになれば・・・
*たぶん、
ここ
「クラウドコンピューティングと日本の競争力に関する研究会」報告書
http://www.meti.go.jp/press/20100816001/20100816001-3.pdf
の64ページ