クラウドの設定ミスを防ぐコツは? 100を超えるSaaSを比較した“SaaSおじさん”に聞く(2/2 ページ)
クラウドサービスを導入する企業が増える一方で、設定ミスなどが原因のセキュリティ事故を心配する声も多い。では、どのような対策があるのか。クラウドの導入支援を手掛けるネクストモードの“SaaSおじさん”に説明してもらった。
ID基盤の設定がセキュリティ事故回避の有効法
クラウド管理の自動化や、セキュリティ事故を避ける有効な方法の1つがID管理だ。ネクストモードでもID管理が最も重要だと判断して、一度のユーザー認証で複数のサービスにログインできるシングルサインオンを取り入れた。同社が導入したのは「Okta」(オクタ)というサービスだ。
「ID基盤がないと、各SaaS型ツールにユーザー情報が散乱してしまいます。ID基盤をしっかり作っておけば、今後SaaS型ツールを増やしたときに同じID基盤からログインしたり、一緒に働くメンバーが増えたときに自動的に新規アカウントを作ったりする仕組みを構築でき、セキュリティも高められるのです」(久住部長)
例えば、Oktaを通して別のサービスにログインする場合、Oktaで多要素認証(パスワードや生体認証、SMS認証などを組み合わせて認証する仕組み)を設定すれば、多要素認証に非対応のサービスでもセキュリティ面を強固にできるメリットがある。
ID管理でパスワード漏えいを防ぐ
こうしたID管理を考える上で重要な規格が「SAML2.0」と「SCIM」だ。SAML(Security Assertion Markup Language)はシングルサインオンをするための認証規格。SAML対応のクラウドは、OktaなどのID管理サービスからログインできる。「クラウド利用時にユーザー側でパスワードを設定する必要がなく、サービスごとのパスワード管理がなくなることでパスワードの漏えいリスクを軽減できます」(久住部長)
SCIM(System for Cross-domain Identity Management)はIDの設定や同期(プロビジョニング)を自動化する規格だ。従業員が入社したとき、Oktaでアカウント設定をすれば連携したサービスにも自動的にアカウントが作成されるため、情シス担当者の負担が減る。誰かが退社したときは自動でアカウント情報を削除するため、アカウント情報の消し忘れによるセキュリティ事故を防げる。
こうしたID管理の一元化を進めることで、パスワードの漏えいやアカウントの消し忘れを防げる。それにより、本来なら情報へのアクセス権限を持たない人が情報にアクセスできてしまう状況を回避できる。
現状を正しく把握し、必要なサービスを導入
今後クラウドを導入する企業は増え続けるだろう。最後に、クラウドを活用した業務環境の作り方について久住部長に聞いた。
「まずは業務環境の現状と理想のあるべき姿を一度洗い出すことが大切です。『ファイル共有はうまくできているだろう』など現状の把握が甘いことが意外と多いです。(その状態ではクラウドを導入しても結局はセキュリティ事故につながるので、)現状を正しく把握した上で、理想の姿に向かって必要なサービスを導入する必要があります」
久住部長は、コロナ禍が落ち着いた世の中はテレワークとオフィスワークを融合した状況になると見込んでおり、そうした状況でのSaaS型ツールの活用を模索していくという。
関連記事
- クラウド利用で高まる情報セキュリティリスク、その原因は? IT担当者が身に付けるべき運用の心構え
クラウドサービスの業務利用が当たり前になった今、情報セキュリティに関するネガティブなニュースが目に付くことも非常に増えた。自身が被害者にならないために、そして二次的な被害の加害者にならないために何ができるのか。 - クラウドからの情報漏えい、責任は誰に? SaaSやPaaSの大前提「責任共有モデル」とは 総務省が解説
クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。 - いま注目「何も信頼しない」セキュリティ対策とは? 開発部門の在宅勤務率9割、NTTデータ先端技術に聞く
クラウドサービスやテレワークの普及により、社内と社外の境界を守る従来のセキュリティ対策は通用しなくなった。解決策の一つがゼロトラストセキュリティだ。開発部門の在宅勤務率を9割にしたNTTデータ先端技術に解説してもらった。 - クラウドの設定ミス、気を付けても見落としがちな“あるポイント” セキュリティ診断会社に聞く
クラウドサービス、特にSaaSの設定ミスによって相次ぐ情報流出。こういった動向を受け、外部の診断サービスなどを使い、自社が利用しているクラウドサービスの設定を見直す企業が出ているかもしれない。そこで、実際に診断サービスを提供するラックに、企業の動向や見落としがちな設定を聞いた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.