クラウドID管理のセキュリティ「エンドポイントセキュリティ」

「エンドポイントセキュリティ」とは

概要

エンドポイントセキュリティとは「エンドユーザーデバイスのエンドポイントまたはエントリポイントが悪意ある攻撃によって悪用されないように保護する」「オンプレミスまたはリモートデバイスから発生する脅威からエンタープライズネットワークを保護する」という考え方を指します。

エンドポイントデバイスの例

エンドポイントとは、ネットワークやアプリケーションへのエントリポイントであり、潜在的なサイバーセキュリティ脆弱性となりうる各種デバイスを指します。

・サーバー
・デスクトップPC
・ノートPC
・タブレット
・スマートフォン
・スマートウォッチ
・モバイルデバイス
・プリンター
・ATM機
・医療機器
・IoTデバイス など

従来の対策方法では対処不可能に

エンドポイントセキュリティという考え方が出てくるまでは、「ファイアウォール」「VPN」「ウイルス対策プログラム」などの従来のセキュリティ製品を使用して、「機密情報保護」「重要なアプリケーションやITシステムへの不正アクセス防御」「悪意のあるソフトウェア防御」「その他の脆弱性保護」などが実施されていました。

しかし、モバイルアプリケーションやクラウドサービスの普及により、かつては明確に定義されていたエンタープライズネットワークの境界が曖昧になっています。また、サイバー攻撃はより巧妙になってきており、従来のセキュリティ対策では対処が難しくなっています。

エンドポイントセキュリティシステムの機能強化

エンドポイントセキュリティシステムは、ネットワークに接続しているエンドポイントをサイバーセキュリティの脅威から保護します。エンドポイントセキュリティは、従来の対策レベルから、「高度なマルウェア」や「悪化するゼロデイ脅威」などからの包括的な保護機能を提供できるように機能強化されています。

サイバーセキュリティ脅威が増加し、高度化が着実に進んでしまっているため、より高度なエンドポイントセキュリティソリューションの必要性も高まっています。

優れたエンドポイントセキュリティシステムは、他のセキュリティテクノロジーと連携し、進行中の攻撃を迅速に検出(分析)を行い、ブロックもしくは封じ込めるように設計されています。

多層防御アプローチ

さまざまな脅威から保護するためには、エンドポイントセキュリティアプローチのみの対策では不十分であるため、各層を連携させた多層防御アプローチによる統合的かつ広範囲のセキュリティ対策が求められます。

「エンドポイントセキュリティ」と「ID管理」

関連性

エンタープライズサイバーセキュリティにおいて、「エンドポイントセキュリティ」と「ID管理」は以下のポイントで関連しています。

①デバイス識別

エンタープライズネットワークに接続するすべてのデバイスに対して、「登録」や「識別」するためのIDが必要です。

②セキュリティ対策

従来のアンチウイルスレベルでは不十分であり、潜在的な侵害を特定するために、各デバイスには動作ベースラインを備えた独自IDが必要です。

③認証と監視

エンドポイントセキュリティを動作させるためには「強力な認証」と「ログイン監視」が必要です。

エンドポイントパスワード制御

エンドポイントセキュリティの主要なコンポーネントには「アプリケーション制御」と「パスワード制御」が含まれます。

これらの機能により「悪意あるプログラムが正当なアプリを装ってデータを収集しネットワークから送信する」ことを防げます。

アプリケーション制御強化

ID管理ソリューションは、エンドポイントセキュリティにおけるアプリケーション制御強化に役立ちます。

作業エンドポイントにプログラムをダウンロードするために必要なアクセス許可をITセキュリティチームに限定することで、一般ユーザーになりすました攻撃者によるダウンロードを防げます。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理のセキュリティ「概要」

ID管理におけるセキュリティの重要性

リモートアクセスユーザーの増加

サイバー空間におけるセキュリティ重要性意識の高まりにより、ID管理市場も大きな変化を遂げています。

これまで以上に多くのユーザーがリモートでさまざまなアプリケーションにアクセスしているため、リモート接続の「スタッフ」「パートナー」「顧客」のアクセス権に関する詳細な制御が重要となっています。

「シングルサインオン(SSO)ソリューション」や「多要素認証(MFA)ソリューション」などに対するセキュリティ要求も高まっています。

ID管理ソリューションは企業存続に不可欠なセキュリティ基盤

これらのID管理基盤に対して適切なコストを掛け続けない場合は、企業の存続に影響を与えかねないリスクに直結します。

主なリスク

・データ窃盗
・知的財産盗難
・サービスダウンタイム発生
・顧客からの信頼や評判の低下
・インシデント対応コスト発生
・GDPRなどのコンプライアンス規制による高額の罰金発生 など

ID管理ソリューションの高度化

ID管理ソリューションには、さまざまな新しいセキュリティ管理機能が求められているため、多くのID管理ソリューションの機能は高度化しています。

主な機能

・疑わしいアクティビティ発見による自動シャットアウト機能
・セキュリティスタッフへの適切な警告機能
・継続的な適応型監視機能 など

ID管理ソリューションに求められるセキュリティ要素

一般的な標準機能

優れたID管理ソリューションには、標準機能として多くの機能が搭載されています。

・適応認証機能
・コンテキスト認証機能
・シングルサインオン機能
・多要素認証機能
・IDプロトコルサポート—SAML、OAuth、OIDC
・アクセスポリシー管理機能
・セッション管理機能
・ロギングおよびレポート機能
・クラウドアクセスセキュリティブローカー機能
・エンドポイントセキュリティ機能
・アプリケーション+セキュリティ製品の統合機能—Webアクセスファイアウォール など

可視化機能

クラウドを含むITインフラストラクチャ全体において、「どのユーザーが何にアクセスできるのか?」「そのアクセスにより何を実行できるのか?」について、組織との関係性が適切かどうかを確認し、セキュリティと非セキュリティのスコープを把握できる可視化機能も重要です。

オンボーディング(オフボーディング)自動管理機能

ID管理ソリューションの中には、「ユーザーのオンボーディングとオフボーディング」において、時間経過による変化に対応して、ユーザーアクセス権限を自動設定する機能を提供するソリューションもあります。

この自動管理機能が正しく動作すると、「監査ログ欠落」「特権クリープ」「特権昇格攻撃」「一般的なIDやパスワードの混乱」などの発生を低減できます。

ID管理実装時のセキュリティに関する課題

主導的管理者の設定

企業内にID管理システムを展開する場合、「組織内の誰が、IDおよびアクセスポリシーの開発/制定/実施において主導的な役割を果たすのか?」を決定しておく必要があります。

IDリポジトリビュー

一般的な企業では、多くの「シャドーIT」や「SaaSアプリケーション」が混在しているため、すべてのIDステータスを正確に把握することは困難になっています。

すべてのIDリポジトリを統合的に把握できる「IDリポジトリビュー」を作成し、ID管理範囲を切り分け、すべてのIDステータスを確実に把握しながら運用する必要があります。

最小特権の原則

「最小特権の原則」とは「ユーザーアクセス権を作業実行するための必要最小限アクセス許可に制限する」というコンピュータセキュリティにおける重要な概念です。

最小特権の原則を適用することで、「アプリケーション」「システム」「プロセス」「デバイス」などに関するアクセス権について、許可されたアクティビティを実行するために必要なアクセス許可のみに制限でき、セキュリティを高められるという基本的な考え方を表しています。

特権アクセス管理

スーパーユーザーアカウント(システム管理者など)に付与される特権アクセスの管理は、最悪の場合、システム群が保持する全データを失ってしまう大きなリスクがあるために、ID管理セキュリティにおいて、特に重要な管理対象となります。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理のリスクと課題「J-SOX」

ID管理は、企業における「内部統制」と大きく関わります。

今回は、その内部統制の1つの基準である「J-SOX」について紹介します。

「内部統制」とは

内部統制とは「企業防衛のために組織へのあらゆる損失を回避または最小限に抑えるための管理手法」を指します。

詳細はこちらのリンクページを参照ください。

→keyspider.jp →ID管理のリスクと課題「内部統制」

「J-SOX」とは

概要

J-SOXとは「内部統制報告制度」であり、「財務報告に係る内部統制に関する報告制度」を指します。

企業における内部統制とは「さまざまな業務が適正に実施され、組織が適切にコントロールされているかどうかをチェックすること」を指しますが、日本企業は内部統制のためにJ-SOXに対応することが必要とされています。

報告義務

日本の上場企業においては、例外なくJ-SOXへの対応が必要であり、事業年度ごとに「財務業務における内部統制評価結果」を国に報告する義務があります。

公認会計士もしくは監査法人による監査を受けた「内部統制報告書+有価証券報告書」を内閣総理大臣へ提出することが義務付けられています。

米国「SOX法」と日本版「J-SOX法」

J-SOX法は、米国のSOX法(企業改革法)をベースとしており、「日本(Japan)版SOX法」ということから「J-SOX法」と呼ばれています。

米国「SOX法」と同様に日本版「J-SOX法」も、「財務報告における内部統制」と「不正会計防止」を目的としています。

米国「SOX法」は運用における企業負担が膨大となることが課題となっていましたが、日本版「J-SOX法」では「経営者向けガイダンスサポート」や「ダイレクトレポーティング(企業監査人による内部統制テスト)」などにより、企業負担低減が図られています。

目的

J-SOXによる内部統制では、「財務報告書の信頼性確保」を中心として以下の4点が目的とされています。

1.業務の有効性と効率性
2.財務報告信頼性
3.関連法規遵守
4.資産保全

対象項目

J-SOXは以下の6項目を対象としています。

1.統制環境
2.リスクの評価と対応
3.統制活動
4.情報と伝達
5.モニタリング
6.ITへの対応

J-SOXにおける「ITへの対応」

J-SOXにおける「ITへの対応」は、金融庁が出している「財務報告に係る内部統制の評価及び監査に関する実施基準」の中の「ITの統制の構築」に関連しており、特にID管理と関わる項目となります。

「ITへの対応」として、以下の3項目が対象範囲とされています。

①IT全社的統制

「①IT全社的統制」とは「企業グループ全体としてのIT統制」を意味しています。

複数の会社を抱える企業グループの場合、本社や子会社のそれぞれのITシステムリスクを個別に評価するだけでなく、企業グループ全体としてのIT統制が必要です。

グループ全体で「ITシステム活用ポリシー」を設定し、本社や子会社の区別なく企業グループの末端まで、ITシステムガバナンスが適用される仕組みの構築が必要です。

②IT業務処理統制

「②IT業務処理統制」は、「企業業務管理システムにおいて承認された業務がすべて正確に処理(記録)されることを確保するために業務プロセスに組み込まれたITに関わる内部統制」を意味します。

「①IT全社的統制」をベースとし、「ERP」「販売管理」「会計管理」「在庫管理」「ワークフロー」などの個別システムについての方向性をまとめたもので、システムの具体的な「実装」「運用」「保守」に関する部分が対象となります。

③IT全般統制

「IT全般統制」は、「業務処理統制が有効に機能する環境を保証するための統制活動」を意味しています。

「複数の業務処理統制に関係する方針と手続」であり、「業務に必要な複数のシステムを連携させる場合のルール設定」や「内外アクセス管理などのシステム安全性確保」が中心となります。

対象項目例

・システムの「開発」「運用」「保守」における変更管理
・ID管理やセキュリティ対策によるアクセスと安全性の確保
・外部委託契約管理 など

まとめ

内部統制はコーポレートガバナンスの根幹であり、その内部統制をチェックするためのJ-SOX法は企業にとって非常に重要な制度です。

企業は「内部統制」「J-SOX」「コーポレートガバナンス」「セキュリティ保護」などの多くの要求に対応できるように、適切なID管理ソリューションを導入して、厳格なID管理の運用実施が求められます。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト

クラウドID管理のリスクと課題「内部統制」

ID管理は、企業における「内部統制」と大きく関わります。

今回は、内部統制の概要について紹介します。

「内部統制」とは

概要

企業などのすべての組織に対して「組織に悪影響を及ぼす脅威」や「組織資産を損失させる脅威」が発生する可能性は常に存在しています。

すべてのビジネスには、「悪意はないがリカバリーに大きなコストが必要となる単純な操作ミス」から「企業に大規模損害を与える悪意のある不正操作」など、さまざまなリスクが存在し続けます。

企業防衛のためには、発生する理由に関係なく、「組織へのあらゆる損失を回避または最小限に抑えるための管理手法」を確立しておく必要があり、これが「内部統制」という考え方になります。

内部統制には「監査」「予防」「是正」の3つの主要なタイプがあり、「問題を防止し組織の資産を保護するために実装されるポリシーや手順」「技術的な保護手段」などが含まれます。

これらのコントロールには考慮すべき制限もあり、システムの継続的なレビューおよび監視が不可欠となります。

「監査的内部統制」とは

監査的内部統制とは、対象となる問題発生後に使用される統制で、問題発生現場に足を踏み入れ、何が起きたのかを洗い出し、検証を実施する手法です。

主な検証項目

・問題が発生した原因は何か?
・問題発生が可能となった失敗したプロセスは何か?
・同様な問題が将来再び発生しないようにするために実装できるポリシーはあるか? など

実施例

・内部監査
・レビュー監査
・調整監査
・財務報告監査
・財務諸表監査
・実地棚卸監査 など

「予防的内部統制」とは

予防的内部統制とは、ネガティブなイベントの発生を回避するために導入される統制項目です。

実施例

・アプリケーション内の入力値チェック機能—誤った情報の入力を回避または最小限に抑える
・職務分離—「小切手を書く担当」と「支払いを承認する担当」を分ける
・アクセス制限エントリポイント管理—ビデオ監視、ID資格情報確認、警備員配置
・スタッフ管理—トレーニングプログラム
・資産保護—ファイアウォール設置、サーババックアップ など

「是正的内部統制」とは

是正的内部統制は、通常、監査的内部統制において、問題を発見した後に実施される統制です。

「再発防止のために是正方法を確立し適用するプロセス」を指します。

実施例

・ポリシー修正
・ドキュメント修正—財務諸表、ビジネスドキュメント
・ソフトウェア修正—パッチ適用、コード修正
・当該スタッフの懲戒処分 など

情報技術分野における内部統制

内部統制は、ID管理が実施される基盤である情報技術分野においても、さまざまな角度から実施されるべきものとされています。

ID管理関連

特にID管理に関わる項目として以下のような項目があります。

「ID+パスワード」の共有禁止

ITシステムにおいては、各ユーザーには「独自ユーザーID+独自パスワード」を割り当て、「ID+パスワード」をユーザー間で共有しないことが求められます。

システムアクセスの自動停止プロセス

ユーザーがシステムにアクセスする必要がなくなる時間帯(就業時間後など)には、システムが自動でアクセスを拒否するポリシーなどを実行することで、悪意あるアクセスからシステムを防御できる可能性を高めることができ、セキュリティ向上につながります。

スタッフの「異動」「離職」チェックリスト管理

スタッフが「異動」や「離職」となった場合に実施するための「アクセスチェックリスト」を整備しておく必要があります。

「アクセスチェックリスト」を適切に実施することにより、システムへのユーザーアクセスを適正に管理できます。

ID管理ソリューションを利用すると、このようなタスクを統合的に管理できます。

IT関連一般

その他IT関連一般分野における内部統制項目として、以下のようなものがあります。

・ソフトウェアライセンス管理
・データのバックアップとリカバリー
・システムへのパッチ適用
・ネットワークセキュリティ管理
・Webアプリケーションのセキュリティ維持管理
・セキュリティソフトウェア管理
・変更管理
・セキュリティインシデントの報告義務
・災害復旧および事業継続 など

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト