第53話 サービスプロバイダーのセキュリティ管理をチェックする

CIS Conrols 15はサービスプロバイダーのセキュリティ運用について考察している。

概要
サービスプロバイダーは機密データの管理やや重要なITプラットフォームの一部となっているため、これらのサービスプロバイダーのセキュリティ管理を評価するプロセスを構築する。
問題点
企業内で管理できないリスクはサービスプロバイダーという企業外に移転するため、サービス・プロバイダの信頼性は、情報の統制やリスクの管理の中核となる。

CIS Controls 15 Service Provider Management

セキュリティ管理もアウトソースに

クラウド利用の拡大などもそうであるが、多くの企業は自前のITシステムからサービスプロバイダーのサービスに移管している動きが広がっている。

これに伴い、各企業がそれまで自社で抱えていたセキュリティを守る役割も、サービスプロバイダーに移管しつつある。

標的型攻撃やランサムウエアの高度化が進むいなか、自社のみでセキュリティを維持するのは年々困難になっている。

このなかで、ITサービスだけでなくそれに付随するセキュリティ管理も専門のサービスプロバイダーに移管されることは、今後増加していくだろう。

企業が確認しておかなければならないこと

ただしそのサービスプロバイダーがきちんとセキュリティ管理をしていることを確認することは、ユーザである企業が行うべき責務がある。

たとえばISMSなどのクラウドセキュリティ認証などは、そのサービスプロバイダーが一定のセキュリティ水準を維持している目安となる。

ゼロトラストFTAの視点では、やはり６大脆弱性について、サービスプロバイダーのセキュリティ運用をチェックすることが重要となる。

可能であれば、これらの視点で作成したチェック内容をサービスプロバイダーに確認すること。初期導入時のみでなく毎年の更新時に確認したい。

ゼロトラストFTAチェックリスト

１，マルウェア感染対策

□　機密データや個人情報に関与するサーバおよび管理パソコンなどの全ての端末（仮想インスタンス含む）について、OSやミドルウェアやアプリに関する重要なセキュリティパッチは速やかに更新されていること。

□　上記管理パソコンについては全ての端末について、アンチウイルスソフトの定義ファイルが速やかに最新に更新されていること。

２，端末紛失対策

□　機密データや個人情報がダウンロード可能な管理パソコンが存在するか。

□　存在する場合は当該端末が外部に持ち出されて盗難紛失による情報漏洩が発生しない対策が施されていること。

３，USBメモリ紛失対策

□　機密データや個人情報がダウンロード可能な管理パソコンが存在するか。

□　存在する場合は、それらのパソコンからUSBメモリなどの外部記憶媒体に機密データや個人情報をコピーできない対策が施されていること。

４，不正アクセス対策

□　機密データや個人情報に関与するサーバへの管理者アカウントは多要素認証を導入していること。

□　セキュリティパッチについては「１、マルウェア感染対策」と同じ。

５，内部不正対策

□　機密データや個人情報がダウンロード可能な管理パソコンが存在するか。

□　存在する場合は、当該パソコンからファイル共有サービスや個人メールアドレス転送などインターネット経由で漏洩できないような対策がとられていること。

□　管理者権限で機密データや個人情報にアクセスする時は監査ログが改竄消去されることなく保存されていること。

□　機密データや個人情報にアクセスできる管理者権限は最小限の人間に設定され逐次メンテナンスされていること。

６，誤操作ミス対策

□　誤操作ミスによって、サーバ内の機密データや個人情報が外部に流出しないような、管理者の操作手順やチェックリストが整備され適切に運用されていること。

まとめ

・各企業は、サービス管理業務をサービスプロバイダーに移管するにあたり、セキュリティ管理レベルについて確認することは重要。
・確認手法は下記２点が有効である。
　・ ISMSなどの外部機関による審査
　・ゼロトラストFTAチェックリスト