Googleが勧める企業売却の前にすべき15のセキュリティ対策
本Noteは、2017年にニューヨークで開催されたオライリー主催のセキュリティカンファレンスでGoogleが発表した内容を元にしています。
1.セキュリティ文化
2.ベンダーのセキュリティ評価
3.アクセスコントロール
4.機密データの暗号化
5.パスワードや秘密鍵の管理
6.多要素認証(MFA)
7.IT資産管理
8.構成管理の自動化
9.パッチ管理
10.ハードニング
11.脆弱性診断
12.ネットワークセグメンテーション
13.セキュリティを考慮した開発プロセス
14.フィッシング詐欺対策
15.インシデント対応マニュアルの整備
1.セキュリティ文化
セキュリティ文化とは以下のことを意味します。
・セキュリティは社員全員の責任であることを理解する。
・セキュリティは人、プロセス、技術の全ての要素において遵守されるべきであることを認識する。
・全社員がセキュリティの脅威と対策についての高い意識を持つこと。
セキュリティ文化を醸成するためにすべきことは、
・セキュリティが考慮されたシステムを使う。
・セキュリティを簡単に維持できるように監視やリカバリ方法を自動化する。
・継続的に社員にセキュリティ教育を実施する。
2.ベンダーのセキュリティ評価
外部のベンダーやサードパーティ製のソフトウェアを使う前に、その会社やソフトウェアが自社のセキュリティ基準を満たしているか評価します。
評価はリスクベースアセスメントによっておこないます。
評価はリスクの深刻度に応じてインタビューだけでなく実地確認もおこないます。
企業売却の前にこの評価をしていなかった場合、または重要なセキュリティリスクを見逃していた場合、売却後の事業運営に大きな影響を及ぼす可能性があります。
3.アクセスコントロール
近年、ビジネスを運営するためには様々なアクセスコントロール、権限コントロールは避けられません。
例えば、退職者のアカウント削除が徹底されていない場合、悪意のある退職者に機密情報を漏洩される可能性があります。
具体的なアクセスコントロールのTipsとしては以下のようなものが挙げられます。
・必要最低限の権限しか与えない。
・データの種類や漏洩時のリスクに応じたセキュリティレベルを設ける。
・組織のサイズやシステムの複雑度に応じてアクセスコントロールを手動から自動にシフトしていく。
・SSO(Single Sign On)を利用し、管理対象となるアカウントを減らす。
4.機密データの暗号化
データの暗号化をすることで機密データが外部から盗み見されることを防ぐことができます。
暗号化はIn Transit(通信中の状態) と、At Rest(保管されている状態)の両方の状態において考慮される必要があります。
具体的なデータ暗号化のTipsとしては以下のようなものが挙げられます。
・組織内で扱っているデータの分類をし、重要度、機密度に応じてセキュリティレベルを定義する。
・TLS v1.2を使ってセキュアなHTTP通信を担保する。
TLS(Transport Layer Security)はクライアント <-> サーバー間の通信を暗号化する技術で、2018年4月現在脆弱性が発見されていないバージョンは1.2以降のみです。
・保管されているデータに対しては強度の高い暗号化アルゴリズムを使う。
5.パスワードや秘密鍵の管理
パスワード、暗号鍵、APIキーなどは安全に管理される必要があります。
具体的な管理のTipsとしては以下のようなものが挙げられます。
・十分に強いパスワード、鍵を使う。
・パスワード、鍵をアクセスコントロールされている場所に保管する。
・パスワード、鍵は平文で保存しない。
・パスワード、APIキーは定期的に変更する。
6.多要素認証(MFA)
多要素認証とは、システムにログインする際にIDとパスワードに加えて、そのログインのタイミングで手持ちのデバイス(スマホ等)に表示されているコードを入力しなければ認証に成功しないという認証方式です。
デバイス上のコードは一定時間毎に更新されるため、事実上、そのハードウェアが手元になければログインできないということになり、より確実な本人確認を実現します。
システムにアクセスする全社員に導入する必要があります。
7.IT資産管理
スタートアップ企業や小規模な企業の場合、IT資産管理が重要視されないことがよくあります。
しかし企業売却となると、正確なIT資産管理情報を作成する必要があります。
管理対象は多岐にわたります。
・ハードウェア
・ソフトウェア
・クラウド環境
・携帯端末、タブレット端末
一昔前のように自社ネットワークにオンプレの機器が接続されているだけの状況であればネットワークスキャンによってほぼすべての情報を取得することができました。
しかし近年では、クラウド環境の利用、他拠点、リモートワークなどといった環境の変化によりIT資産管理は複雑化しています。
AWS環境ではインスタンスの数、インスタンスタイプ、S3バケットの数、権限設定など詳細な情報を管理する必要があります。
企業売却においてはクラウド環境のための毎月の支出も管理されている必要があります。
8.構成管理の自動化
多くの企業が未だに手動でサーバの構成管理をしていると思います。
しかし、スケーラビリティの面でもセキュリティの面でも構成管理は自動化されているべきです。
構成管理ツールを使うことで、用意にサーバを増設することができ、ルールを適用することで作業ミスまたは外部からの攻撃により不正な設定がされているサーバを簡単に発見し、リカバリすることができます。
複数のシステムやチームがあったとしても、構成管理ツールは1つに統一するべきです。
9.パッチ管理
事業に使っている機器、ソフトウェアはセキュリティパッチをタイムリーに当て続ける必要があります。
システムが大規模、複雑になるほどメンテナンスを伴うセキュリティアップデートは難しくなりますが、場当たりではない戦略的なパッチ管理、計画が必要です。
パッチの適用状況のリアルタイムモニタリングも必須です。
平時のパッチ適用手順に加えて、緊急でパッチを当てる際の手順も文書化されている必要があります。
10.ハードニング
ハードニング とは、脆弱性を減らすことでシステムや機器ののセキュリティを堅牢にすることです。
新しい機器を購入したときやクラウド環境であたらしいサーバを構築したときに工場出荷状態またはデフォルトの設定のままで運用するのはしばしば危険です。
最新のパッチを当て、組織内で決められたされた設定に従ってセットアップする必要があります。
使用する機器のバージョンや設定を統一することはセキュリティを強化するために効果的です。
11.脆弱性診断
普段から定期的にネットワークスキャンやシステムの脆弱性診断を実施している企業は多くないと思いますが、企業売却においては内部、外部両方による脆弱性診断をし、すべての脆弱性を解消する必要があります。
12.ネットワークセグメンテーション
ネットワークを管理されている情報の種類、重要度等に応じてセグメント分けします。
セグメント分けすることで外部から攻撃を受けた場合の被害を抑えることができます。
セグメント分けの方法は以下のようなものが挙げられます。
・本番環境と開発(テスト)環境の切り分け。
・ウェブ、アプリケーション、データベースの切り分け。
・個人情報を扱うシステムとその他のシステムの切り分け。
クラウド環境を使っている場合はVPCを使ってセグメント分けをおこないます。
13.セキュリティを考慮した開発プロセス
現在のシステム開発プロセスは一昔前に比べてより流動的で複雑です。
そのため、開発プロセスの中でセキュリティを高めることも以前より難しくなってきています。
具体的に取り組むべきこととしては以下のようなものが挙げられます。
・セキュリティ要件(アクセスコントロール、暗号化等)を定める。
・脅威モデリング、セキュリティ設計レビューを実施する。
・自動テスト
・ペネトレーション(侵入)テスト
・バグバウンティプログラム
14.フィッシング詐欺対策
ある調査によると、データ漏えい事件の9割はフィッシング詐欺によって起きています。
昨今のフィッシング詐欺はより高度になってきています。
最近被害が増えているフィッシング詐欺の1つはビジネスメール詐欺と呼ばれるものです。
これはメールで企業のCEOになりすまし、社員にコンタクトして企業の機密情報を聞き出したり、偽の送金指示をするようなサイバー犯罪です。
こういった詐欺に対して以下に挙げられるような技術的、組織的な対策が必要です。
・エンドポイントセキュリティ対策製品を使った不正ファイル、不審なメールの自動検知。
・フィッシング詐欺に対する社内トレーニング。
・金銭の授受に関わるプロセスには第3者確認を組み込む。
15.インシデント対応マニュアルの整備
サイバー攻撃の疑いが発生した場合に迅速、適切な対処をするためにインシデント対応マニュアルを整備しておく必要があります。
マニュアルには以下の項目を含めます。
・インシデントの定義
・インシデントに対して責任を持つ部署、担当者の定義
・組織内で発生したインシデント対応について、全体の統括を行う
部署またはチーム等の定義