<NSAとCISAが考える、IAM(アイデンティティ&アクセスマネジメント)はこうしろ!2/3(前編)>
予告通り、NSAとCISA発行の「Identity and Access Management Recommended Best Practices Guide for Administrators」というガイドラインに関する前編となります!
では早速、限界までかみ砕いて行きましょう(^^♪
今回対象にするのはガイドラインの中で重要となる5つの項目のうち、以下の2つとなります。
①Identity governance
②Environmental hardening
※5つの項目を忘れた・・・という方は以下をご参考にしてください!!
<NSAとCISAが考える、IAM(アイデンティティ&アクセスマネジメント)はこうしろ!1/3> - CyberSEALs’s diary
では、それぞれ見て行きましょう(^^♪
①Identity governance = ルールを作り、守っていくことの重要!
-ポリシーを定義して、それに沿ったルールを定めよう
-ルールが守られているかチェックできる状態(仕組み)を作っておこう
-全てのアカウント(人、システム、アプリ等)を集中管理できる仕組みが必要になる
-雇用・異動・退職(JML)は適切な管理をしていく上で注視するべきタイミングになる
-特権アカウントは一般アカウントと分けて、厳重に管理するのがベター
⇒要約すると、やはりアカウント管理方針を策定する。ルールを策定し、そのルールが守られているかチェックする仕組みと共に運用していく。
個人的には「ルールがあるので守ってね~」的な個人頼みの運用は適切とは言えないな~と改めて感じました( ;∀;世知辛いですが、セキュリティってそんな感じです
②Environmental hardening = 悪さをする奴の仕事をやりにくくすることは重要!
-悪さをする奴らが簡単に目的達成できないような環境を作ろう
-まずは「資産の棚卸し」を行って台帳を作ると良い。この際、漏れがないように最新の注意を払おう
-定番だけど、各資産のリスクアセスメントを行なおう。これが何をどれだけガチで保護するかの道しるべとなる
-ここまで終わったら実際にEnvironmental hardeningをしていこう。
以下、記載のあった施策例
・物理的なアクセスへの対策
(ドアに鍵をかける、サーバールームにカメラをつける)
・リモートアクセスへの対策
(多要素認証、リスクベース認証)
・ネットワークへの対策
(機器のパッチ適用、ネットワーク監視、セグメンテーション、ネットワークへのペネトレ)
・バックアップ対策
(3-2-1ルールでのバックアップ、コールドorホットスタンバイシステム)
・その他の対策
(最小権限の法則に基づくアカウント管理、3rd パーティーリスクの評価)
⇒ネットワーク関連の対策に関する言及が多い印象。IAMだからって、アカウント管理だけやるんじゃなくてシステム全体で捉えてネットワーク対策も忘れないことが大事だな~という気づきがありました!(^^)/
今回はこんな所です!どうですかね。
個人的には結構参考になることがあり、普段のお仕事でもこのあたり意識して行こうかな~と思っております( `ー´)ノ
(秋を感じる季節になりましたね。風邪も流行っているようなので、皆さま健康には気を付けてください~~~)
