ホワイトペーパー

非正規社員
アイデンティティ セキュリティと
ライフサイクル管理

関連コンテンツ

アイデンティティに対する企業の取り組み状況調査2023

国内企業において、IT戦略またはアイデンティティ／セキュリティ／アクセス管理に関与している役職者を対象に、セキュリティおよびアイデンティティ・ガバナンスに関する調査を実施しました。

調査レポートをダウンロード

SailPoint 非正規社員リスク管理ソリューション

SailPoint Non-Employee Risk Management（ 非正規社員リスク管理）は、ますます複雑化する非正規社員のアイデンティティを適切に関するアイデンティティ セキュリティ ソリューションです。

データシートをダウンロード

アイデンティティ・ガバナンス成功の鍵となる7つの要素

アイデンティティ・ガバナンスソリューションは、企業が従業員、契約社員、パートナーに付与されたアクセス権限を棚卸、分析、把握し、「誰が何に対するアクセス権をもっているか」という簡単そうでなかなか答えられない重要な質問にこたえられるようサポートします。

ホワイトペーパーをダウンロード

The post 非正規社員アイデンティティ セキュリティとライフサイクル管理 appeared first on SailPoint.

アタック サーフェスとは、攻撃者が足掛かりを得る可能性のある領域や、組織が脅威に対して脆弱なポイントを指す用語です。アタック サーフェスには、運用インフラ（ハードウェア、ソフトウェア、クラウド サービス、アプリケーションなど）から、それを実行、使用するユーザー（社員、IT担当者、セキュリティ担当者、パートナー、ベンダーなど）に至るまで、あらゆる領域が含まれます。サイバー犯罪者は、ネットワーク、システム、またはデータへの不正アクセスを行うために、組織のアタック サーフェスを考慮します。

アタック サーフェスの構成要素

アタック サーフェスは攻撃ベクトルとも呼ばれており、次の要素で構成されています。

• 既知の資産
  既知の資産を管理する際は、インベントリを作成します。そのため、既知の資産は、アタック サーフェスにおいて最も管理しやすい要素であると言えます。既知の資産には、認可されたユーザー機器（コンピュータ、ノートパソコン、モバイル端末、プリンターなど）、組織のWebサイト、サーバー、およびそれらで稼働しているソフトウェアが含まれます。
• 不正な資産
  マルウェアやタイプミスを利用したドメインなど悪意のあるインフラを指します。
• 未知の資産
  未知の資産は、本質的に悪意があるわけではありませんが、脅威となります。未知の資産には、ユーザーがインストールしたプリンター、IoT端末、IT部門に知らせることなく制作された開発用、マーケティング向けWebサイトに至るまで、多岐にわたります。
• サード パーティ、フォース パーティ
  内部システムにアクセスできるサード パーティは、アタック サーフェスの一部です。これには、すべてのベンダーとその請負業者だけでなく、パートナー、契約社員も含まれます。

アタック サーフェスは、デジタルと物理の2つのカテゴリに分類されます。

デジタルアタック サーフェスとは

デジタルアタック サーフェスには、組織が使用する既知および未知のハードウェアとソフトウェア（例：アプリケーション、クラウド サービスのコード、IoT端末、ポート、サーバー、Webサイトなど）が含まれます。見落とされがちなデジタルアタック サーフェスのその他の要素には、次のようなものがあります。

物理的なアタック サーフェスとは

デジタルアタック サーフェスに注目が集まりがちですが、物理的なアタック サーフェスも同様に重要です。物理的なアタック サーフェスはアクセスが容易なため、サイバー犯罪者によって悪用されることが多いです。

• 廃棄されたハードウェア
• エンドポイント端末（例：デスクトップ コンピュータ、ハード ドライブ、IoT端末、ノート パソコン、モバイル端末、USBドライブ）
• 備品が配置されているオフィスまたはワークスペース
• ユーザー認証情報が記載された紙のメモ

アタック サーフェスと攻撃ベクトルの比較

アタック サーフェスと攻撃ベクトルは関連していますが、同じものではありません。アタック サーフェスとは、サイバー犯罪者が不正アクセスを行うために利用する領域や脆弱性のことです。一方、攻撃ベクトルとは、サイバー犯罪者が不正アクセスを行うために使用する戦術のことです。

アタック サーフェスの定義

アタック サーフェスを定義するには、考えられる弱点を特定し、脆弱性を評価する必要があります。また、ユーザーのロールと特権レベルを決定する必要もあります。

アタック サーフェスを定義する際の考慮事項は、次のとおりです。

アタック サーフェスを設計したら、視覚化ツールを使用して、アタック サーフェスのマップを作成すると便利です。

アタック サーフェスの管理

アタック サーフェスの管理では、各種プロセスとテクノロジーを併用して脆弱性を特定し、軽減します。アタック サーフェスの管理における主要な要素には、次のようなものがあります。

検出、インベントリ作成

効果的な資産管理を実現するには、既知および未知のすべてのリソースの正確なインベントリの作成が不可欠です。アタック サーフェス管理ソリューションでは、定期的に検出を実行し、新たに検出された資産をもとにインベントリを更新する必要があります。オンプレミス資産とクラウド資産を含む、インターネットに接続されている組織のすべてのIT資産を検出対象とする必要があります。

継続的な監視

アタック サーフェス管理ソリューションは、インベントリに登録されたすべてのリソースをリアルタイムで継続的に監視し、攻撃ベクトルとなる可能性のある脆弱性を検出する必要があります。

評価と優先順位付け

アタック サーフェスの管理では、潜在的な脆弱性の評価と優先順位付けを行う必要があります。具体的には、セキュリティ リスクと脆弱性に基づいて資産にスコアを割り当て、そのスコアをもとに、軽減と修正の優先順位付けを行います。

縮小と修正

脆弱性が検出された場合、アタック サーフェス管理ソリューションは、セキュリティ部門がアタック サーフェスを縮小するための措置を講じるのに役立ちます。

アタック サーフェスを縮小するためのベスト プラクティス

アタック サーフェスから企業を守る最善策の一つは、アタック サーフェスを縮小することです。ここでは、アタック サーフェスを縮小するためのアプローチをいくつか紹介します。

脆弱性スキャンを定期的に実施

定期的なネットワークのスキャンと分析は、軽減すべき脆弱性を特定し、アタック サーフェスを縮小するのに役立ちます。脆弱性スキャンは、排除すべきかIT管理下に置くべきかを判断するための不正または未知のリソースを特定することで、アタック サーフェスを縮小する取り組みもサポートします。

サイバー脅威やセキュリティ プロトコルに関するユーザー教育

サイバー セキュリティへの意識向上を目的とした研修を定期的に実施することで、社員をリスクからセキュリティ エキスパートへと変貌させることができます。ユーザーは、セキュリティ プロトコルを遵守、実施する方法や、サイバー脅威とリスクを理解する方法について学ぶことで、アタック サーフェスを縮小できます。

ゼロトラスト セキュリティ モデルの実装

セキュリティに対するゼロトラスト アプローチは、露出を制限することでアタック サーフェスを縮小するのに役立ちます。ゼロトラストでは、必要と認められた認可済みユーザーのみがリソースにアクセスできるため、侵害される可能性のあるアクセス ポイントを最小化できます。

ソフトウェアを常に最新の状態に保つ

パッチとソフトウェアのアップデートを定期的にインストールするためのプロセスを作成します。

アイデンティティ（ID）管理の活用

ID管理は、誰がどのリソースにアクセスできるのかを可視化し、不要なアクセス権限や未認証のアクセス権限を削除することで、アタック サーフェスを縮小するのに役立ちます。

オープン ポートの制限

組織にとってオープン ポートは必要なものですが、開いたまま放置されているポートが多すぎる傾向にあります。使用していないポートを閉じることで、アタック サーフェスを縮小できます。

ネットワークのセグメンテーション

ネットワークのセグメンテーションでは、ファイアウォールやネットワークを小さな単位に分割するマイクロセグメンテーションを使用して、「孤島」のように隔離された保護領域にリソースを格納することで、アタック サーフェスを最小化できます。

システムとプロセスの簡素化

複雑さを最小限に抑えることは、アタック サーフェスを縮小するのに大いに役立ちます。具体的には、管理プロセスとセキュリティ ポリシーを改善し、古くなった、または使用されていないソフトウェアや端末を無効化することで、エンドポイントを削減する、といった措置が含まれます。

厳格なアクセス制御の使用

アクセス制御を実施し、厳密に管理することで、内部および外部から機密データやリソースへのアクセスを制限し、特定のユーザーがアクセスしたアプリケーションやデータを追跡する必要があります。また、物理的なアクセス制御措置を組み込むことも重要です。

アタック サーフェスを減らし、セキュリティを向上

アタック サーフェスの範囲を理解することは、容易なことではありません。しかし、多くの組織は、アタック サーフェスの管理や縮小に関するベスト プラクティスに従うことで、サイバー セキュリティ体制を大幅に改善できます。他のサイバー セキュリティ施策と同様に、セキュリティを向上させることで、組織全体にプラスの影響を与えることができます。

関連コンテンツ

アタック サーフェスについてもっと詳しく知る

セキュリティを強化するためのアクセス制御とテクノロジー

アクセス制御システムの種類と、変数（組織規模、リソースの必要性、従業員の所在地など）が、システムを選択する際にどのように役立つのかについて説明します。

記事を読む

IAM（Identity and Access Management）とは？

アイデンティティおよびアクセス管理（IAM）なら、適切なユーザーだけに最適なデータとリソースをタイミングよく提供することができます。

記事を読む

NIST CSF（サイバーセキュリティフレームワーク）とは

NIST CSFとは、企業がセキュリティ製品を導入検討する際の判断基準です。なぜNIST CSFを導入すべきかを解説します。

記事を読む

The post アタック サーフェスとは appeared first on SailPoint.

FedRAMPとは、米国連邦政府が実施するサイバー セキュリティのフレームワークとなっており、クラウド サービスやソリューションがセキュリティ基準を満たしていることを保証するために行う評価や認可、継続的な監視に関する標準化されたアプローチを提供しています。

Federal Risk and Authorization Management Programの頭文字を取ってFedRAMPと呼ばれています。

FedRAMPは、連邦政府が利用するクラウド サービスやソリューションのセキュリティを確保する目的で設立されました。クラウド サービスまたはクラウド ソリューションのプロバイダーは、連邦政府の情報を取り扱う場合、FedRAMPの認可を取得し、FedRAMP要件を遵守することが義務付けられています。

その他FedRAMPの目標には以下のようなものがあります。

FedRAMPでは、クラウドプロバイダーの認可を促進する取り組みの一環として、連邦政府機関が利用するクラウドサービスやソリューションに効果的で反復可能なセキュリティを確保するための重要な処理を定義し、管理しています。

このFedRAMPガイドラインは定期的に更新されており、クラウド サービスやソリューションのプロバイダーが変更を迅速に受け入れ、最新の要件に対応できるようにしています。 また、FedRAMPは、すでに認証済みクラウド サービスへのアクセスを増やす目的で、マーケットプレイス*も設立しました。FedRAMPマーケットプレイスでは、連邦政府機関同士の協力をサポートするハブも提供しています。また、クラウド セキュリティに関する教訓、ユース ケース、戦術的ソリューションのオープンなやり取りもサポートしています。
*https://marketplace.fedRAMP.gov/products

FedRAMPプログラムの基本知識

FedRAMPで使われる主な略語一覧

FedRAMPを理解するには、以下にあるFedRAMPで使われる主な略語の意味と、認可プロセスにおけるその役割を理解することも必要です。

• PMO（FedRAMP Program Management Office、FedRAMPプログラム管理オフィス）
  FedRAMPプログラム管理オフィス（PMO）は、FedRAMPのアプリケーション、認可、継続的な監視を行います。これは一般調達局（General Services Administration、GSA）が管理しています。
• 3PAO（FedRAMP Third Party Assessment Organization、第三者評価機関）
  FedRAMPの第三者評価機関（3PAO）とは、クラウド プロバイダーのサービスやソリューションのセキュリティ リスクを評価する独立した第三者機関のことをいいます。3PAOは、合同認可委員会（JAB：Joint Authorization Board）の仮運用認可（P-ATO：Provisional Authorization to Operate）を行うFedRAMP 3PAOプログラムを通じて認可を受けます。
  
  間違いのない認可を行うにあたり、3PAOはその独立性と、クラウド　プロバイダーのセキュリティ実装をテストおよび文書化できる技術的能力を証明することが義務付けられています。3PAOが認可を受けると、FedRAMPマーケットプレイスに登録されます。
• JAB (FedRAMP Joint Authorization Board、合同認証委員会)
  FedRAMPは、合同認証委員会（JAB）によって管理されています。これには、以下の機関の最高情報責任者（CIO）および他の代表者が含まれます。
  • 米国国防省（DoD）
  • 米国国土安全保障省（DHS）
  • 一般調達局（GSA）
  • FedRAMP Authority to Operate（ATO、運用認可）
    
    FedRAMP Authority to Operate（ATO、運用認可）とは、クラウド プロバイダーのサービスやソリューションの利用を認可する機関が正式に宣言する認可のことです。この宣言には、その機関がリスクを受容したことも含まれます。ATOを取得する場合、クラウド プロバイダーはこの機関のセキュリティ担当者および認可担当者（AO）と直接やり取りを行います。
• P-ATO（FedRAMP Provisional Authority to Operate、FedRAMP仮運用認可）
  FedRAMPの仮運用認可（P-ATO）の場合、JABがクラウド プロバイダーのセキュリティ認可パッケージのリスク レビューを実施します。FedRAMP-ATOは、JABによる評価と承認を経て取得できます。これはさらに厳格なプロセスで、クラウド プロバイダーが複数の個別機関のATOを取得した後でないと利用できません。
  
  その後、認定3PAOが、クラウド プロバイダーのセキュリティ評価パッケージのテストと検証を行い、妥当性を確認します。これに合格すると、JAPはクラウド プロバイダーのリスク体制が許容できる影響レベルの詳細を含むP-ATOを付与できます。
• SSP（FedRAMP System Security Plan、FedRAMPシステム セキュリティ計画）
  FedRAMPシステム セキュリティ計画（SSP）は、クラウド プロバイダーが作成する報告書で、既存インフラおよびセキュリティ制御の説明と、希望するATOを満たす上で対処が必要なギャップの評価を行います。
• CIS（FedRAMP Control Implementation Summary、FedRAMP管理実施概要）
  FedRAMP管理実施概要（CIS）とは、クラウド プロバイダーが作成する文書で、機関に対して負うセキュリティ責任を説明します。
• SAP（Security Assessment Plan、セキュリティ評価計画）
  セキュリティ評価計画（SAP）はクラウド プロバイダーと3PAOが作成します。SAPはSSPに基づいて作成し、3PAOによる監査の一部として使用されるすべての手順、方法論、テストを詳述します。
• SAR（Security Assessment Report、セキュリティ評価報告書）
  3PAOが監査結果を提示する際は、セキュリティ評価報告書（SAR）を使います。SARにはテストが実施された内容と実施されなかった内容、どの制御がコンプライアンス要件を満たしたか、または満たさなかったかについて詳しく記載されます。また、SAR報告書には、推奨される修正措置も記載されます。
• POA&M（FedRAMP Plan of Action and Milestones、FedRAMPの行動計画とマイルストーン）
  FedRAMPの行動計画とマイルストーン（POA&M）では、クラウド サービスとソリューションに求められる具体的なセキュリティ制御、そのセキュリティ制御を実施するためのスケジュール、進捗状況を評価する際に使用するマイルストーンを説明します。これは、クラウド プロバイダーが必須で行うセキュリティ制御の実施状況を追跡し、報告するものです。
  
  また、POAMは権限審査（ID棚卸）プロセス中に発生する問題の追跡と、この問題の解決策の文書化にも使用されます。FedRAMPの権限審査（ID棚卸）を目指すクラウド プロバイダーにとって、POAMの管理は極めて重要になります。

FedRAMPガバナンス機関

FedRAMPは、このプログラムの開発、管理、運用を共同で行っている複数の行政機関が管理しています。FedRAMPを管理している機関には、以下のものがあります。

3種類のFedRAMP認可

FedRAMPには、3種類の認可が存在します。

1. 運用許可（Authority to Operate、ATO）
2. 仮運用認可（Provisional Authority to Operate、P-ATO）
3. 状況に応じた認可

3つのFedRAMPセキュリティ基準レベル

FedRAMPには高、中、低の三段階のセキュリティ基準のレベルが存在します。

1. 高
2. 中
3. 低

FedRAMP認可プロセス

FedRAMPへの準拠を証明して、FedRAMPの認可を取得するには2つの方法があります。1つ目の方法は、連邦政府からFedRAMPの運用認可を直接取得する方法です。2つ目の方法は、合同認可委員会（JAB）からFedRAMP仮運用認可（P-ATO）を取得する方法です。どちらの方法を選択しても、この認可プロセスには主に4つのステップが必ず含まれます。

1. 文書化

FedRAMPの認可プロセスは、クラウド プロバイダーがセキュリティ制御の実施内容を文書化し、提供しているクラウド サービスとソリューションをFIPS 199に従って分類することから始まります。この分類（低、中、高、FedRAMP Tailored認証）を行うと、必要な制御が決まります。

次に、クラウド プロバイダーはシステム セキュリティ計画を作成し、FedRAMP認定の第三者評価機関（3PAO）が求めるセキュリティ評価計画を策定する必要があります。その後、システム セキュリティ計画（SSP）を作成します。この文書は要求される制御の実施方法を示すロードマップになります。

その他FedRAMP認可プロセスに必要な文書には、緊急時対応計画、インシデント対応計画、構成管理などがあります。

2. 評価

SSPとその他の必要文書が完成して審査を受け、承認が得られると、評価段階が始まります。FedRAMP認可プロセスのこの段階で、3PAOがセキュリティ評価計画（SAP）を策定します。SAPでは、クラウド サービスやソリューションで用いるテストのアプローチを説明します。

SAPが承認された後、3PAOは本番リリース可能なシステム上で制御方法の実施をテストし、セキュリティ評価報告書（SAR）を作成します。このセキュリティ評価は、本番リリース可能なシステムで実施する必要がある点に留意することが重要です。テスト用のシステムや開発用のシステムで評価を実施することはできません。

次に、クラウド プロバイダーは「行動計画とマイルストーン（POA&M）」を作成し、ギャップとセキュリティ上の弱点に対処するための修正措置を詳しく説明します。

3. 認可

この段階で、連邦政府が認可に向けてSARの審査を行います。要件が満たされるとクラウド プロバイダーは承認され、連邦政府機関がATOの公式文書を発行します。

なお、連邦政府がSARを承認する前に追加のテストを要求する場合があります。ATOの場合、FedRAMPプログラム管理オフィス（PMO）がSARと関連文書の審査内容に基づいてFedRAMPの認可を決定します。P-ATOの場合、JABがパッケージの審査を行います。PMOまたはJABによって承認されると、クラウド プロバイダーは連邦政府との取引が認可されます。

4. 監視

クラウド プロバイダーが最初の連邦政府からATOまたはJAB P-ATOを取得すると、継続的な監視の段階が始まります。この段階で、クラウド プロバイダーは要求事項が継続的かつ適切に運用されていることを確認します。監視は制御方法に応じて、継続的に、毎月、毎年のいずれかの方法で実施します。制御方法の監視に基づいた報告書は認可機関に送付し、FedRAMPへの継続的な準拠を証明します。

FedRAMPが重要な理由

FedRAMPは連邦政府との取引を希望するクラウド プロバイダーに対する要件であるだけでなく、クラウド サービスやソリューションのセキュリティを評価・監視する際の一貫性を確保する上でも重要です。FedRAMPから得られる成果では、以下のような点が挙げられます。

• コスト削減
  FedRAMPは、各クラウド サービス プロバイダーが複数レベルのセキュリティ審査を実施する必要性を排除します。
• 効率性
  FedRAMPは、クラウドベースのサービスの設定と保守に必要な時間と労力を削減します。
• リスク管理
  FedRAMPへの準拠においては、認可組織がリスクを積極的に特定、評価、管理することが義務付けられています。
• セキュリティ
  FedRAMPへの準拠においては、組織が影響レベルに基づいて定めたセキュリティ制御を実施することが義務付けられています。

FedRAMPに準拠するための要件

FedRAMPへの準拠では、クラウド サービスとソリューションが、その用途や処理・保存を行う情報の種類に基づいた固有のセキュリティ水準を満たすことが義務付けられています。FedRAMPへの準拠を達成する際に必要となる最低要件を以下で紹介します。

FedRAMP準拠の種類

FedRAMPプログラムでは、準拠を3つに分けて詳しく定めています。

1. セキュリティ準拠
   認証と認可、アクセス制御、暗号化、インシデント対応が対象
2. 運用準拠
   システムの可用性とパフォーマンス、ソフトウェアのパッチ適用、監視、バックアップが対象
3. 文書準拠
   システムおよびサービスに関する文書、データ フロー図、認可パッケージが対象

FedRAMPへの準拠は、一般的にCIAの3要素と呼ばれている、「機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）」といった3つの異なる領域で生じる可能性のあるさまざまな種類のリスクに基づいています。この標準モデルは、セキュリティ システムを開発する際の基盤となります。

• 機密性
  個人情報と専有情報に対する保護
• 完全性
  情報の改ざんや破壊に対する保護
• 可用性
  データへのタイムリーで信頼できるアクセス

FedRAMPの影響レベルは4つあります。

1. 影響レベル：高
   FedRAMPの「高」には約425のサイバー セキュリティ制御策があります。FedRAMPで「高」に該当する組織は、主に法執行機関、救急サービス、金融サービス、医療制度の組織になります。こうした組織の場合、機密性、完全性、可用性が失われると、組織の運営、組織の資産、あるいは個人に深刻または壊滅的な悪影響を与える可能性があると予想されています。
2. 影響レベル：中
   FedRAMPの「中」は約325の制御策に基づいています。FedRAMPの認可を受けた組織の約80%がこの影響レベル「中」になります。これらの組織の場合、機密性、完全性、可用性が失われると、組織の運営、資産、個人に深刻な影響を与える可能性があります。承認を得たFedRAMPアプリケーションの80%近くが、ここで説明する中間的な影響レベルになります。
3. 影響レベル：低
   FedRAMPの「低」には約125の制御策があります。FedRAMPで「低」に該当する組織で機密性、完全性、可用性が失われると、組織の運営、資産、個人に限定的な悪影響を与える可能性があると予想されています。
4. SaaS影響レベル：低（FedRAMP TailoredまたはLl-SaaS）
   FedRAMP Tailoredは影響度「低」の一部で、約36の制御策があります。この影響レベルは、ログイン時の基本情報（ユーザー名やパスワードなど）以外で個人を特定できる情報を保存しないSaaSアプリケーションに対するものです。FedRAMP Tailoredレベルの組織には、コラボレーション ツール、プロジェクト管理アプリケーション、オープンソース コードの開発を支援するツールなど、リスクの低いシステムがあります。

FedRAMPとRMF（リスク管理 フレームワーク）の違い

FedRAMPは、クラウド プロバイダーのサービスとソリューションを公的機関が使用することを認可するプログラムです。リスク管理 フレームワーク（RMF）は、NIST SP 800-37の一部で、連邦政府がITシステムの運用認可を得るには、このフレームワークに従う必要があります。

FedRAMPのセキュリティ評価フレームワーク（SAF）は、クラウド製品とサービスのセキュリティ評価、認可、監視の標準化を支援するもので、NIST SP 800-37 RMFをベースにしており、NIST 800-37にはないクラウド セキュリティに関連した制御を強化する内容が含まれています。

FedRAMPプロセス領域とNIST SP 800-37 RMFプロセス領域の比較

FedRAMPおよびその他連邦政府機関のコンプライアンス プログラム

FedRAMPは、連邦政府にある他のいくつかのコンプライアンス プログラムから要件を引用しています。以下は、FedRAMPが連邦政府機関にある他のコンプライアンス プログラムから取り入れた内容の一例です。

• 米国連邦情報処理規格（FIPS）140-2
  FedRAMPでは、暗号モジュールを実装してデータを暗号化する際の連邦政府機関と請負業者に対する要件をFIPS 140-2から引用しています。
• 米国連邦情報処理規格（FIPS）199
  FedRAMPでは、セキュリティ、プライバシー、リスク管理のセキュリティ影響レベルと関連する要件をFIPS 199から引用して使用しています。
• NIST特別刊行物（SP）800-37
  NIST SP 800-37のリスク管理 フレームワーク（RMF）からは、FedRAMPがリスク評価と管理制御を実施する方法を組織に指示する際に使用する規則を取り入れています。
• NIST特別刊行物（SP）800-53
  NIST SP 800-53からは、FedRAMPが組織に対してシステムを適切に保護する際に実施することを要求しているセキュリティ制御策を取り入れています。

FedRAMP認可：連邦政府以外のセキュリティを保証

多くの組織にとって、FedRAMPは顧客の信頼と信用を獲得するという点で2つの役割を担います。FedRAMPの認可を取得するということは、クラウド プロバイダーのサービスやソリューションのセキュリティを強力に証明することになります。FedRAMPは、連邦政府にクラウド サービスやソリューションを提供するための最低必要条件を満たすだけでなく、プロバイダーがセキュリティに関して真剣に取り組んでおり、厳格な審査とテストでその有効性が検証されていることを政府以外の組織にも証明するものになります。

クラウド サービスまたはソリューションのプロバイダーがFedRAMPの認可を受けると、以下のような多くのメリットを得ることができます。

FedRAMPのプロセスには時間と労力がかかりますが、FedRAMPの認可とは、それを取得したクラウド サービスやソリューションのプロバイダーにとって価値ある取り組みだということが証明されています。

関連コンテンツ

FedRAMPについてもっと詳しく知る

NIST CSF（サイバーセキュリティフレームワーク）とは

NIST CSFとは、企業がセキュリティ製品を導入検討する際の判断基準です。なぜNIST CSFを導入すべきかを解説します。

記事を読む

クラウド セキュリティ入門：脅威、対策、ベストプラクティス

クラウド セキュリティに対応する処理とポリシーを策定することで、システムの保護とコンプライアンスの確保を把握できるという安心感を得られる理由をご確認ください。

記事を読む

Trust Center -データを保護するためのSailPointの取り組み

SailPointは、誠実であることをモットーにしています。お客様からの信頼を維持し、データを保護するためのSailPointの取り組みをご覧ください。

詳しく

The post FedRAMP入門：米国のクラウド セキュリティ基準を理解する appeared first on SailPoint.

データ侵害とは、機密情報、非公開情報、個人情報、保護されたデータが、権限のない第三者に暴露、持ち出されたり、損なわれたりするサイバーセキュリティ上のインシデントです。「データ侵害」という言葉は、「サイバー攻撃」と同義であるとしばしば誤って使われます。

データ侵害とサイバー攻撃の大きな違いは、データ侵害は、機密情報の漏洩を引き起こすセキュリティ インシデントの一種であるということです。重要なのは、通常デジタル情報を指すデータ漏洩が、書類、フラッシュドライブ、ノートパソコン、モバイルデバイス、外付けハードドライブなどの物理メディア上のデータも含むということです。一方、サイバー攻撃は、データ侵害を引き起こすこともありますが、DDoS攻撃などの他の悪意のある活動も含まれます。

中小企業から大企業、医療機関、学校、政府機関、個人に至るまで、種類や規模を問わず、あらゆる組織がデータ侵害のリスクにさらされています。主に、次のような情報がデータ侵害の標的となります。

データ侵害が発生すると、元のデータを損失することなくコピーまたは送信される可能性があります。また、データ侵害によって情報の盗難やランサムウェアが発生し、データにアクセスできなくなる可能性があります。報復や壊滅的な混乱を引き起こそうとする目的で、データが単に破壊される場合もあります。

データ侵害のコスト

データ侵害が発生すると、ハードコストとソフトコストの両方が発生する可能性があります。つまり、データ侵害には金銭的コストと、風評被害や機会損失など一時的な被害をもたらす可能性があります。

多くの場合、両方の種類の損害が発生します。たとえば、一般的なデータ侵害であるランサムウェア攻撃を受けた場合、組織は自社データへのアクセス権限を取り戻すために、多額の身代金を支払うことになる可能性があります。また、データ侵害の噂が広まると、自社の評判が損なわれる可能性があります。

データ侵害により、他にも次のような数多くのコストが発生します。

• 事業中断による生産やサプライチェーンへの影響
• データ侵害の特定、封じ込め、評価、修復に加えて、将来のインシデントを防ぐために必要な監査、通知、プロセスや技術の変更
• 機密情報の保護能力に対する懸念による顧客の喪失

データ侵害に伴うその他のビジネスコストには、次のようなものがあります。

• コンプライアンス違反による罰金
• 顧客への通知
• 上場企業の株価下落
• 保険料の値上げ
• 知的財産の損失
• 広報費

データ侵害の最終的な損害は、組織の規模、種類、漏洩の原因によって異なります。

データ侵害が発生する理由

データ侵害の動機には、次のようなものがあります。

• 金銭目的：金銭や売却可能な価値のある資産を盗む
• 地政学的な理由：特定の政治家や政府に損害や混乱を引き起こす
• 個人的な理由：否定的な言動を実際に受けた、または受けたと認識したことによる報復
• 名声のため：技術的な力量を示す自己顕示欲（例：著名なシステムのハッキングする）

サイバー犯罪者の場合、主な動機は金銭目的です。たとえば、データ侵害を通じて盗んだ機密情報をダーク ウェブ上で売買することが多いです。盗まれた機密情報は、次の目的にも使用される可能性があります。

• 政府給付金の申請
• 虚偽の確定申告による還付金の受け取り
• 文書偽造（例：運転免許証、パスポート）
• クレジット カードの申し込み、利用
• 銀行口座または投資口座からの引き出し

データ侵害が発生する仕組み

データ侵害を発生させる方法は、いくつかあります。ここでは、一般的に使用される経路の例を紹介します。
標的型攻撃によるデータ侵害は、特定の個人または組織を標的として、機密情報を入手します。戦術には次のようなものがあります。

• 偶発的なデータの流出、露出
• カード スキマー、POSシステムへの侵入
• 分散型サービス拒否（DDoS）攻撃
• ヒューマン エラー
• 端末の紛失または盗難
• 悪意のある内部関係者
• マルウェア
• パスワードの推測
• フィッシング攻撃
• 物理的なセキュリティ侵害
• ランサムウェア
• キーストロークの記録
• ソーシャル エンジニアリング攻撃
• スピア フィッシング
• SQL（構造化照会言語）インジェクション
• 認証情報の盗難または漏洩
• 脆弱性の悪用

どのような経路であれ、通常、類似の攻撃パターンに従ってデータ侵害を試みます。データ侵害計画の主な手順は、次のとおりです。

1. 潜在的なターゲットの観察
   攻撃プロセスを開始するにあたり、サイバー犯罪者は、まずターゲットを見つけて、脆弱なセキュリティシステム、オープンポート、アクセス可能なプロトコルなどの技術的な脆弱性を特定して攻撃を開始します。また、システムへの特権アクセスを持つ大規模なグループ（フィッシング）または個人（スピア フィッシング）を標的とする、ソーシャル エンジニアリング キャンペーンを計画する場合もあります。
2. セキュリティ侵害の実行
   攻撃者は、セキュリティ侵害を成功させ、システムやネットワークへのアクセス権限を取得します。
3. アクセス権限の確保
   ターゲットとなるシステムが目的のアクセス権限を提供しない場合、サイバー犯罪者はネットワーク間を横断的に移動し、特権昇格を利用して、他のシステムやユーザー アカウントにアクセスして侵害します。
4. データ侵害の実行
   目的の機密データを特定すると、攻撃者はそのデータを外部に持ち出し、ブラックマーケットやダークウェブで販売したり、身代金目的で利用します。

データ侵害の事例

データ侵害を実行する方法は数多くあります。ここでは、データ侵害の事例をいくつか紹介します。

サイバー犯罪者は、小売業者を標的とした攻撃を実行し、レジを通じて機密データにアクセスしました。ネットワークを保護するために使用されていた暗号化は、脆弱なものでした。サイバー犯罪者は無線ネットワークを解読し、店舗のレジからバックエンド システムに侵入することができました。このデータ侵害の結果、25万件を超える顧客記録が流出しました。

別のインシデントでは、数十億人の個人の氏名、生年月日、メールアドレス、パスワードが流出しました。この事例では、サイバー犯罪者は、組織が使用していたCookieシステムの脆弱性を悪用しました。

もう一つの事例では、ある組織のネットワーク監視システムが攻撃の手段として使用されました。サイバー犯罪者は、このシステムを利用してマルウェアをひそかに顧客に配布し、顧客のシステムに侵入して機密情報にアクセスすることができました。

別の事例では、サイバー犯罪者は標的となる組織の社員のパスワードをダークウェブ上で購入しました。サイバー犯罪者は、この1つのパスワードをネットワークに侵入に利用し、ランサムウェア攻撃を実行しました。これにより、数百万ドルの損害が発生しました。

組織がユーザーのパスワードを暗号化するために使用したハッシュ化プロセスに問題があったため、脆弱性を修正するために、数億人ものユーザーにパスワードを変更してもらうという、大規模な措置が必要になりました。

安全でない直接オブジェクト参照（IDOR）により、10億件近くの機密文書が流出しました。このWebサイト設計エラーは特定の個人にリンクを提供することを目的としていましたが、そのリンクが一般に公開され、文書が露出してしまいました。

データ侵害の防止

効果的なデータ侵害防止プログラムは、テクノロジーとプロセスで構成される多層防御を用いて構築されています。ここでは、データ侵害防止戦略のさまざまな構成要素のうち、主要なものをいくつか紹介します。

教育・研修

データ侵害の主な原因は、人間を介した攻撃です。一般的に、人間には本質的な弱点があるため、データ侵害防止戦略において最も脆弱な部分であると考えられています。

これに対処するには、セキュリティ研修が不可欠です。社員は、フィッシング等のサイバー攻撃を認識、回避する方法だけでなく、偶発的なデータ侵害や流出を防ぐために、機密データの取り扱い方法を学ぶ必要があります。

エンドポイントでの脅威の検出・応答

PCやサーバといったエンドポイントでの検知と対応を行う仕組みは、EDRややEDTRと呼ばれ、エンドポイント セキュリティのための統合ソリューションを提供します。EDRは、エンドポイント データのリアルタイムかつ継続的な監視、収集と、ルール ベースの自動応答、分析機能を組み合わせて、サイバー攻撃を特定、無力化することで、データ侵害を防止します。

IDアクセス管理（IAM）

IDアクセス管理（IAM）ソリューションは、データ侵害に対する強力な防御機能を提供します。IAMソリューションの機能には、強力なパスワード ポリシー、パスワード管理、二要素認証（2FA）、多要素認証（MFA）、シングル サイン オン（SSO）、ロールベース アクセスが含まれます。これらのテクノロジーやプロセスは、攻撃者が盗難または漏洩した認証情報を使用して、データ侵害を実行するのを防ぐのに役立ちます。

インシデント対応計画

インシデントに備えることは、データ侵害に対する最善の防御策の一つです。インシデント対応計画では、インシデントが確認された場合、またはその疑いがある場合、インシデントの発生前、発生中、発生後のデータ侵害への対処方法を詳細に説明します。

インシデント対応計画では、各フェーズの段階的なプロセスだけでなく、ロール（役割）と責任も説明します。インシデント対応計画は、データ侵害防止計画で優れた効果を発揮することが実証されています。インシデントの解決、復旧までの時間を短縮するだけでなく、データ侵害のコストも削減できます。

多要素認証（MFA）

多要素認証（MFA）を使用すると、ユーザー、パスワード固有の脆弱性を克服できます。ユーザーは、単にユーザー名とパスワードを入力するのではなく、複数段階のアカウント ログイン プロセスを実行する必要があります。

MFAでは、ユーザーはアイデンティティ（ID）を検証するために、追加の手順を完了する必要があります。たとえば、ユーザーはメールやテキスト メッセージで送信されたコードを入力する、秘密の質問に答える、または生体認証スキャン（指紋、顔、網膜など）を実行するように求められる場合があります。

ペネトレーション テスト

ペネトレーション テスト（ペンテストまたは倫理的ハッキングとも呼ばれます）は、サイバー攻撃をシミュレーションしてシステムをテストし、悪用可能な脆弱性を特定することで、データ侵害を防止するのに役立ちます。ペネトレーション テスターは、サイバー犯罪者と同様のツール、手法、プロセスを使用して、漏洩につながる可能性のある現実世界の攻撃をシミュレーションします。

ソフトウェアのアップデートとセキュリティ パッチ

ソフトウェアやオペレーティング システム（OS）のアップデート、パッチが利用可能な場合、必ずインストールする必要があります。多くの場合、これらのアップデートには、データ侵害につながる可能性のある脆弱性を修正するパッチが含まれています。

強力なパスワード

強力なパスワードを使用すると、一般的なサイバー攻撃ベクトルの一つを排除できます。サイバー犯罪者は、多くの人々が脆弱なパスワードを使用していることを認識しており、そうしたパスワードを悪用してパスワード スプレー攻撃を実行することが多いです。サービスやアプリケーションで異なるパスワードを使用することをユーザーに要求するポリシーと、強力なパスワードを組み合わせることで、データ侵害の試みに対する効果的な防御をサポートできます。

ゼロトラスト セキュリティ アプローチ

ゼロトラスト セキュリティ アプローチでは、ネットワーク内であっても、ユーザーやシステムを信頼すべきではないことを前提としています。ゼロトラスト セキュリティ アプローチの主要な要素は次のとおりです。

• ネットワークまたはネットワーク リソースにアクセスしようとするユーザーまたはシステムの継続的な認証、認可、検証
• 最小権限アクセス（タスクまたはロールに必要な最小権限のみを許可）
• すべてのネットワーク アクティビティの包括的な監視

データ侵害リスクの軽減

データ侵害を特定した場合、迅速かつ包括的な対応が重要です。ここでは、5つの主要な手順を解説します。

データ侵害リスクを軽減するための準備

データ侵害は、最も一般的かつコストのかかるサイバー セキュリティ インシデントの一つであると考えられています。データ侵害は、地域や規模を問わず、あらゆる組織に影響を与え、広範囲にわたる被害をもたらし、経済的、物理的な損害を引き起こす可能性があります。

データ侵害に対する最善の防止策は、備えることです。これには、早期の検出、対応を徹底するために、強力な技術、プロセス ベースの防止策を導入することが含まれます。

強力なデータ侵害防止システムと対応計画を備えた組織は、被害を抑えながら速やかに復旧できることが繰り返し実証されています。

適切なツールと手順を実装し、すべてのシステムをテストすることが重要です。このプロアクティブなアプローチにより、データ侵害が発生する前に脆弱性を特定できます。脆弱性を特定、修正するための措置を講じるとともに、対応計画を策定、実践することは、機密情報の漏洩を阻止するのに大いに役立ちます。

関連コンテンツ

データ侵害についてもっと詳しく知る

データ セキュリティとは

データ セキュリティがどのような進化を遂げているのかを把握し、企業がどのようにデータ セキュリティの力と有効性を最大限に活用できるのかをご確認ください。

記事を読む

アタック サーフェスとは

アタック サーフェスの管理、削減に関するベスト プラクティスに従って、組織がサイバー セキュリティ体制をどのように改善できるのかをご確認ください。

記事を読む

ID管理システムとは？

導入の課題や機能、選ぶポイントを詳しく紹介

記事を読む

The post データ侵害とは appeared first on SailPoint.

自律型アイデンティティ
セキュリティ

関連コンテンツ

アイデンティティに対する企業の取り組み状況調査2023

国内企業において、IT戦略またはアイデンティティ／セキュリティ／アクセス管理に関与している役職者を対象に、セキュリティおよびアイデンティティ・ガバナンスに関する調査を実施しました。

調査レポートをダウンロード

アイデンティティ・ガバナンス成功の鍵となる7つの要素

アイデンティティ・ガバナンスソリューションは、企業が従業員、契約社員、パートナーに付与されたアクセス権限を棚卸、分析、把握し、「誰が何に対するアクセス権をもっているか」という簡単そうでなかなか答えられない重要な質問にこたえられるようサポートします。

ホワイトペーパーをダウンロード

アイデンティティ ガバナンスに関するビジネスケースの作成方法

企業がセキュリティ ガナバンスに関連して抱える課題と、アイデンティティ プログラムを推進することで、それらの課題をどのように解決できるのかを解説しています。推進していく上で重要となるビジネス ケース作成のための4つのステップなど具体的な手法も紹介しています。

ホワイトペーパーをダウンロード

The post 自律型アイデンティティ セキュリティ appeared first on SailPoint.

アイデンティティに対する取り組み状況調査レポート2023

関連コンテンツ

アイデンティティ・セキュリティの最前線

メタバース、分散型金融(DeFi)、クリプト、Web 3.0など、テクノロジーの急速な進化により、すべての人、ボット、機械に次世代のデジタル・アイデンティティテクノロジーが不可欠になります。

調査レポートをダウンロード

アイデンティティ・ガバナンス成功の鍵となる7つの要素

アイデンティティ・ガバナンスソリューションは、企業が従業員、契約社員、パートナーに付与されたアクセス権限を棚卸、分析、把握し、「誰が何に対するアクセス権をもっているか」という簡単そうでなかなか答えられない重要な質問にこたえられるようサポートします。

ホワイトペーパーをダウンロード

デジタル＆サステナブル時代に求められるアイデンティティ・ガバナンス

社会・産業のデジタル化が進展するなか、スクラッチ開発やパッケージなどのオンプレミスのシステム、クラウドサービスのSaaS、IaaS、PaaSなど、複数の運用形態が混在しています。

調査レポートをダウンロード

The post アイデンティティに対する取り組み状況調査レポート2023 appeared first on SailPoint.

関連コンテンツ

非正規社員リスク管理

すべての非正規社員（契約社員、派遣社員、提携パートナー、サービスアカウントなど）に対し、リスクに基づくアクセス権限管理とライフサイクル管理を実施

詳しく

すべてのデータの保存場所と、誰がアクセスできるか把握できていますか︖

本調査では、データ管理とガバナンスに関する取り組みについての調査アンケート結果から、改善の可能性について明らかにします。

調査レポートをダウンロード

データ ガバナンスとは？

多くの企業が非構造化データに対する侵害を経験し、管理方法に様々な課題を抱えています。本調査では、データ管理とガバナンスに関する取り組みについての調査アンケート結果から、改善の可能性について明らかにします。

記事を読む

大手・有名企業からの多くの採用実績

The post 非正規社員リスク管理 appeared first on SailPoint.

関連コンテンツ

アイデンティティに対する企業の取り組み状況調査2023

国内企業において、IT戦略またはアイデンティティ／セキュリティ／アクセス管理に関与している役職者を対象に、セキュリティおよびアイデンティティ・ガバナンスに関する調査を実施しました。

調査レポートをダウンロード

デジタル＆サステナブル時代に求められるアイデンティティ・ガバナンス

SailPointテクノロジーズジャパンは、企業の現状を把握すべく、株式会社アイ・ティ・アールと「企業におけるセキュリティおよびアイデンティティ・ガバナンス実態調査 2022」を共同実施しました。

調査レポートをダウンロード

すべてのデータがどこにあり、誰がアクセスできるか把握できていますか︖

多くの企業が非構造化データに対する侵害を経験し、管理方法に様々な課題を抱えています。本調査では、データ管理とガバナンスに関する取り組みについての調査アンケート結果から、改善の可能性について明らかにします。

調査レポートをダウンロード

大手・有名企業からの多くの採用実績

The post アイデンティティ データを実用的なインサイトに活用する appeared first on SailPoint.

SPECIAL REPORT

アイデンティティ
セキュリティ
調査レポート2023

関連コンテンツ

アイデンティティに対する企業の取り組み状況調査2023

国内企業において、IT戦略またはアイデンティティ／セキュリティ／アクセス管理に関与している役職者を対象に、セキュリティおよびアイデンティティ・ガバナンスに関する調査を実施しました。

調査レポートをダウンロード

アイデンティティ・ガバナンス成功の鍵となる7つの要素

アイデンティティ・ガバナンスソリューションは、企業が従業員、契約社員、パートナーに付与されたアクセス権限を棚卸、分析、把握し、「誰が何に対するアクセス権をもっているか」という簡単そうでなかなか答えられない重要な質問にこたえられるようサポートします。

ホワイトペーパーをダウンロード

アイデンティティ管理に関するビジネスケースの作成方法

アイデンティティ管理プロジェクトの承認と予算確保には、プロジェクトのビジネス価値を明確かつ正確に説明することが不可欠です。あなたのプロジェクトが他のプロジェクトよりも優れていると評価され、経営陣から優先的に採用される必要があります。

eBookをダウンロード

The post アイデンティティ セキュリティ調査レポート2023 appeared first on SailPoint.

ホワイトペーパー

AIと機械学習を利用してアイデンティティ セキュリティを向上

関連コンテンツ

アイデンティティに対する企業の取り組み状況調査2023

国内企業において、IT戦略またはアイデンティティ／セキュリティ／アクセス管理に関与している役職者を対象に、セキュリティおよびアイデンティティ・ガバナンスに関する調査を実施しました。

調査レポートをダウンロード

アイデンティティ・ガバナンス成功の鍵となる7つの要素

アイデンティティ・ガバナンスの成功は、最新テクノロジーの導入だけで実現できるものではありません。経営幹部を含む関係者全員の理解を深め、ビジネスプロセスの課題にも目を向ける必要があるでしょう。

ホワイトペーパーをダウンロード

アイデンティティ・セキュリティの最前線

2022年7月に行った調査によると、アイデンティティ実現レベル5段階のうち、収益が10億ドルを越える企業の約半数が未だ第1段階であり、アイデンティティの道のりを歩み始めたばかりであることが明らかになりました。

調査レポートをダウンロード

大手・有名企業からの多くの採用実績

The post AIと機械学習を利用してアイデンティティ セキュリティを向上 appeared first on SailPoint.