自社のセキュリティ状況を振り返る「8つのチェック項目」：マイクロソフトが「セキュリティチェックリスト」を公開

マイクロソフトが、クラウド利用を踏まえた自社のセキュリティ状況を把握し、対策するヒントになる「セキュリティチェックリスト」を公開。「これらを継続的なプロセスとして実施すべき」だという。

[＠IT]

　米マイクロソフトは2016年8月15日（米国時間）、企業がクラウド利用におけるセキュリティ状況を自己評価するための「セキュリティチェックリスト」を公開した。

　同社は「クラウドコンピューティングやIoT（Internet of Things）がグローバル経済の変革を続ける中、企業はクラウドセキュリティ対策を“継続的なプロセスとして実施”しなければならない」と提言。そのためには、クラウドコンピューティングおよびIoTシステムにおける主要なリスクを正しく把握するとともに、自社のクラウド利用におけるセキュリティ状況を定期的にレビューし、その結果に基づいてセキュリティ対策を調整していく必要があると述べている。ここでは全8項目のうち、すぐ実践すべきとする4項目の解説を抄訳する。

1：セキュリティ予算は適切か

　企業のセキュリティチームは、日々多数のセキュリティソリューションを管理し、平常時であっても数千に上るセキュリティアラートを監視している。同時に、インシデントが発生したら迅速な対応が取れる体制を整えておく必要がある。

　企業は、こうした日々のセキュリティ業務と緊急体制、チームの整備に、十分な資金が投資されているかどうかを定期的に点検しなければならない。

（1）セキュリティ予算は適切か

2：重要なビジネスデータの利用を可視化し、管理を行っているか

　近年は、たった1回の情報漏えい事故で数千万ドル規模の損害になる可能性がある。このため、情報漏えい防止対策はクラウドセキュリティ戦略の柱となる。

　具体的には、「いつ、どこで、誰が、どのように」ビジネスデータにアクセスしているかを常に監視し、定期的にレビューする必要がある。ユーザーに与えられている権限が、ユーザーの職務や責任から見て適切かどうかを監視することが重要だ。また、各種のデータにおける権限の与え方も一貫していなければならない。

3：インサイダー攻撃を防ぐセキュリティソリューションを持っているか

（2）重要なビジネスデータの利用を可視化し、管理を行っているか
（3）インサイダー攻撃を防ぐセキュリティソリューションを持っているか

4：「シャドーIT」を適切に監視しているか

　2016年現在、会社員は平均17種類のクラウドアプリケーションを使っているという。オフィスだけでなく、さまざまな場所から、時には自身のデバイスで企業のリソースにアクセスしてくるので、これまでのオンプレミス型セキュリティツールやポリシーでは現状把握や管理が難しくなっている。

　このために、ネットワーク上のモバイルデバイスやクラウドアプリケーションのユーザーを特定できるかどうかをチェックし、それらの利用行動の変化を監視できるようにするツールやポリシーの導入が必要となる。また、不注意によるデータ流出のリスクを軽減するには、プライベートで使うSNSなどのアプリケーションやサイトアクセスに関する「自社のルールや方針」の周知徹底も必要となる。

5：どのような「なりすまし対策」を行っているか

（4）「シャドーIT」を適切に監視しているか
（5）どのような「なりすまし対策」を行っているか

6：モバイルデバイスやクラウドアプリケーションのユーザーを特定できるセキュリティ対策を講じているか

7：「リモートアクセス」のセキュリティポリシーは有効か

　従来のリモートアクセス手段は、VPN（Virtual Private Network）を用いて、社外にいるユーザーと企業ネットワークを結んでいた。社外ユーザーに対する社内アプリケーションの公開はリスクがあるものの、利用は限られるので、管理は行えた。しかし昨今のクラウドソリューション、プラットフォーム、インフラが進化する中で、ユーザーの業務ニーズも大きく変わっている。

　そのため企業は、企業リソースの管理と保護に役立つ「新世代の安全なリモートアクセス戦略」が必要とされている。具体的には、リスクの特定と検証に必要な時間とリソースを減らすための「自動化された適応型ポリシーの採用」などを検討する必要がある。

（6）モバイルデバイスやクラウドアプリケーションのユーザーを特定できるセキュリティ対策を講じているか
（7）「リモートアクセス」のセキュリティポリシーは有効か

8：監視とログ取得の体制は十分か

（8）監視とログ取得の体制は十分か