ISOコンプライアンスを達成するためのSaaSセキュリティの確保
国際標準化機構(ISO)は様々な業界の標準を策定しています。国際的に認知されている標準化団体であるISOが制定したISO 27000:2018とISO 27001:2013という2つの情報セキュリティ標準を利用して、強固なセキュリティを構築することができます。
現代のビジネス社会においてSaaSセキュリティはISOへの準拠に不可欠です。しかし、設定のアップデート・是正から、SaaS間連携の検出、端末のセキュリティ保護に至るまで、企業のSaaSは絶え間ない変化にさらされており、それに対応することはセキュリティチームにとって非常に困難です。SSPMソリューションは、事前対応型の自動的かつ継続的な監視・管理機能を提供することで、このような問題に対応します。(SSPMはコンプライアンスフレームワーク単位のセキュリティチェックも実施できるため、セキュリティチームは自社のセキュリティポスチャのどの部分がコンプライアンスに適合しているか、改善を要するかを簡単に確認できます。)
この記事では、ISOコンプライアンス標準と制定されたバージョンの異なる2つの標準の理解を深め、セキュリティチームがSSPMをISOコンプライアンスの確保にどう役立てることができるかについて説明します。
ISO 27000:2018とISO 27001:2013の違いは?
簡単に言うと、ISO 27000:2018は達成すべき目標を制定しているのに対して、ISO 27001:2013はその目標を達成するために実行する必要があるステップの概要を示しています。
ISO 27000では、企業のセキュリティプログラムの基本原則を以下のように定めています。
- 情報セキュリティ意識
- 責任分担
- マネジメントのコミットメント
- 社会的価値の向上
- リスク評価とリスク許容度の検討
- ネットワークとシステムに不可欠な要素としてのセキュリティの実装
- 能動的なセキュリティインシデントの検知と防止
- 情報セキュリティマネジメントへの包括的なアプローチ
ISO 27001ではベストプラクティスに重点を置き、方針と手順から構成される情報セキュリティマネジメントシステム(ISMS)の確立を求めています。また、セキュリティの基本要素を達成するための5つのプロセスを規定しています。
- 確立
- 実装
- 運用
- 監視
- 評価
- 改善
ISO 27000:2013の10の条項
条項の多くは一見するとかなり曖昧であり、実際に曖昧です。ISOはISMSの確立にリスクベースのアプローチを採用していますが、だからといって企業がそれぞれ好き勝手にやっていいわけではありません。
最初の3つの条項は、基本用語と範囲を示しています。第4条から第10条には、より詳細な規定が盛り込まれています。内容は以下のとおりです。
- 第4条:組織の状況
- 第5条:リーダーシップ
- 第6条:計画策定
- 第7条:支援
- 第8条:運用
- 第9条:パフォーマンス評価
- 第10条:改善
ISOは条項内で詳細な定義を示していますが、これはかなりハイレベルな内容です。ISOへの準拠を達成するための核心となるポイントは、10の条項に整合した114の管理項目が列挙された附属書Aにあります。
ISOコンプライアンスにおけるSaaSセキュリティの位置付け
ISOの文脈内でSaaSセキュリティの重要性を理解するうえで問題になるのは、ISOがSaaSアプリケーションについて具体的に言及していないことです。ISOはリスクベースのフレームワークとして機能するため、セキュリティチームはまずSaaSアプリケーションがもたらすリスクの洗い出しから始めて、洗い出されたリスクを管理下に置く必要があります。
ISO 27001に記載されているすべての管理項目について説明すると、この記事には収まりません。しかし、ISOコンプライアンス計画におけるSaaSセキュリティとSaaS Security Posture Management(SSPM)の位置付けについては、いくつか事例を挙げるので、そこから感覚をつかんでいただくことができます。
アクセス制御
アクセス制御では、ユーザー各自の職務の遂行に必要かつ適切なアクセス権がすべてのユーザーに割り当てられていることを確認する必要があります。
以下の部分要件が満たされていることを確認する必要があるため、この要件に基づいてSaaSセキュリティを確保することは容易ではありません。
- アクセス制御ポリシー:アクセス要件を確立し、文書化し、見直す
- 特権アクセスの管理:特権アクセスを制限し、割り当て
- ユーザーアクセス権の見直し:アクセス制御ポリシーへの準拠を確認するためにアクセス権を定期的に見直す
- アクセス権の削除または調整:全従業員および社外ユーザーのアクセス権を削除
- 情報アクセス制限:アクセス制御ポリシーに基づいてアクセスを制限
例
グループメンバーとしての特定のアクセス許可を持っているユーザーに対して、そのグループに付与された特権より上位のアクセス許可が付与されると、アクセス許可のドリフトが生じます。そのような状況では、時間の経過と共に、多数のユーザーが必要以上のアクセス許可を取得します。そうなると、グループを利用したプロビジョニングの意図が崩壊します。
SSPMの活用
SSPMは、以下の機能により、ユーザーのクラウドアクセスを管理する方法を提供します。
- パートナー企業やゲストを含むすべてのSaaSユーザーを検出
- 各ユーザーの権限レベルを継続的に測定
- 過剰なアクセス許可を持つユーザーを特定
- 未使用のアクセス許可を削除し、非アクティブなユーザーをプロビジョニング解除
- 安全性の低いユーザー認証方式を特定し、無効化
運用セキュリティ
運用セキュリティとは、すべての情報処理施設で正しく安全な運用を行うためのプロセスです。クラウド環境では可視性が不足することが多いため、運用セキュリティの管理が困難になります。
以下の部分要件が満たされていることを確認する必要があるため、この要件に基づいてSaaSセキュリティを確保することは容易ではありません。
- 運用手順の文書化:運用手順を文書化し、必要とするすべてのユーザーがその文書を利用できるようにする
- 変更管理:情報セキュリティに影響を与える組織、ビジネスプロセス、および情報処理施設、情報処理システムに加えられるすべての変更を管理
- キャパシティ管理:監視、調整を行うことで、リソースの利用中にシステム性能要件が維持されるようにする
- マルウェアに対する管理策:適切な検知、防止、回復を通じてマルウェアからの保護を強化
- イベントログ取得:ユーザーアクティビティ、異常、障害、イベントを記録
- 技術的脆弱性の管理:脅威への漏洩がないかシステムを監視し、リスクに対応するための措置を講じる
- 情報システムの監査統制:業務の中断が最小限に抑えられるように活動を計画
例
OAuthはユーザーが実行するごく一般的なアクションですが、実装を誤ると攻撃につながる可能性があります。OAuthを使用する新しいアプリケーションを導入するための適切な操作手順が文書化されていることを確認する必要があります。さらに、攻撃者は、OAuthアプリケーションを利用したフィッシングメールの送信などの設定不備をランサムウェア攻撃の一部として利用することがあります。
SSPMの活用
SSPMは、SaaS間のアクセスのほか、使用中のすべてのSaaSアプリケーションに対して継続的にセキュリティチェックを実施する機能を備えています。
- すべてのグローバル設定、ユーザー別の設定、ユーザー特権の設定不備を監視
- 是正の優先順位付けし、自動化
- すべてのイベントをログ記録し、SaaS環境全体にわたってユーザーアクティビティ、異常、障害を追跡
- リスクコンテキストと是正方法をSaaSの個々の所有者に周知
- 目立たない監視を行うことで業務の中断を最小限に抑える
コンプライアンス
この要件は、法律上、法令上、規制上または契約上の義務を遵守することに重点を置いています。
以下の部分要件が満たされていることを確認する必要があるため、この要件に基づいてSaaSセキュリティを確保することは容易ではありません。
- プライバシーおよび個人を特定可能な情報(PII)の保護:関連する法律および規制の要求に従って個人情報を保護
- 情報セキュリティの第三者審査:予定された間隔で外部監査を実施してISMSの実施状況を確認
- セキュリティポリシーおよびセキュリティ標準の遵守:管理者またはアプリケーション所有者による定期的な審査を通じて、適切なセキュリティポリシー、セキュリティ標準、またはその他のセキュリティ要件が適用されていることを確認
- 技術的コンプライアンスの見直し:定期的に情報システムを見直すことで、情報システムが組織の情報セキュリティポリシーおよび情報セキュリティ標準に適合していることを確認
例
2021年に発生し、マイクロソフトが修正したPower Appsポータルの問題に見られるように、デフォルト設定は個人情報の漏洩につながる可能性があります。どのようなデフォルト設定がコンプライアンス違反を引き起こすかを理解し、問題を確実に修正できるように監視を行うことがコンプライアンスの鍵を握っています。
SSPMの活用
SSPMは、以下を行うことでコンプライアンス準拠を支援します。
- すべてのグローバル設定、ユーザー別の設定、ユーザー特権の設定不備を継続的に監視
- 設定、ユーザー権限、コンプライアンスに必要なその他のコントロール機能を標準や規制に対応させる
- コンプライアンス違反につながる設定不備を検出したときにアラートを発す
- 是正を優先順位付けし、自動化
- 各SaaSの所有者にリスクコンテキストと是正方法を周知、進捗を確認し、リスク低減の検証・監視を行う
お問い合わせ・資料請求
株式会社マクニカ Falcon Shield 担当
- TEL:045-476-2010
- E-mail:AdaptiveShield-sales@macnica.co.jp
平日 9:00~17:00