セキュリティリーダーのためのパワーツール (2025/02/25)
セキュリティリーダーのためのパワーツール (2025/02/25)
https://blogs.oracle.com/security/post/tools-for-security-leaders
投稿者: Nancy Kramer
成功するリーダーは、共通の目標を達成するために人々を団結させ、各人の貢献が組織をそれらの目標に近づけるようにします。たとえば、セキュリティ・リーダーは、従業員を導く効果的な方法を必要としているため、その活動が組織のセキュリティ目標をサポートします。幸いなことに、すべてのレベルのリーダーが業務と人員の意思決定をセキュリティ目標と整合させることができる4つのパワー・ツールがあります。これらのツールは、ポリシー、標準、プロセスおよび手順です。
明確に定義および伝達されている場合、これらのツールは、さまざまなレベルの特定性で選択肢と行動を導くことで、オペレーショナル・エクセレンスをサポートします。この投稿では、セキュリティ・リーダーがこれらの4つのツールのそれぞれをデプロイして、組織全体の人員の意思決定とアクションをガイドする方法について説明します。
ポリシー、標準、プロセス、および手順が全体としてどのように完全なシステムを形成しているかを示すために、Oracle Cloud Infrastructure (OCI)サービスを使用して企業のアクセス制御を保護する例を使用します。
ポリシーによる境界の定義
ポリシーは、組織の目標とリスクの許容度を反映する広範な指針を使用して、アクティビティの制限を確立します。受理可能なアクションの限界を人員によって定義し、何が起こるか、何が起こらないか、何が起こるかを指定します。ポリシーを記述する場合、国、組織、企業などのエンティティは、目的とするオーディエンス(ポリシーを理解し、遵守したい人)を考慮する必要があります。セキュリティ・リーダーには、次の2つのタイプのポリシーが関連しています。
- 対象読者のユーザーが使用するポリシー文書
- OCI Identity and Access Management (IAM)ポリシーなどのテクノロジで使用されるポリシー構成
ポリシー・ドキュメント
これらは、これらのタイプのセキュリティ・ポリシーなど、特定の操作領域をガイドする文の広範なコレクションです。ポリシーには、人事が何をすべきか、何をすべきでないかの説明が含まれていることがよくあります。アイデンティティ管理ポリシーに含まれる可能性のあるステートメントの例を次に示します。
- 認証資格情報やハードウェアを誰とも共有しないでください。
- すべてのアプリケーションに多要素認証が必要です。
- 一般アカウントは禁止です。
ポリシー構成
OCI IAMの例を使用すると、ポリシー・ステートメントを使用すると、この構文を使用して、特定のコンパートメント内の特定のタイプのリソースでグループを特定の方法で作業できます。リソースとは、Oracle Cloud Infrastructureサービスとの対話時に作成および使用するクラウド・オブジェクトのことです。コンパートメントは、管理者から権限を付与されたグループのみがアクセスできる関連リソースの集合です。
標準によってルールが定義されます。
標準は、操作をポリシーに合せる一連のルールです。これらのルールは、テクノロジーの使用方法を説明し、医療、財務会計、法律などの特定の職業の要件を記述することができます。多くの組織では、内部的に定義された標準に加えて、外部ソースによって定義された標準を利用します。標準のソースには、次のような組織があります。
- US National Institute of Standards and Technology (NIST)
- Standards Australia
- European Standards within the European Union
- Financial Accounting Standards Board (FASB)
- International Standards Organization (ISO)
ポリシーと同様に、セキュリティ標準には次の2つのタイプがあります。
- NIST 800-53 Security and Privacy Controls for Information Systems and Organizationsなどで使用される標準ドキュメント
- OCIセキュリティ・ルールやゼロ・トラスト・パケット・ルーティングなどのテクノロジで使用される標準構成で、OCIネットワーキングによる接続の処理方法を制御します
アイデンティティ管理ポリシーを実装するための標準ドキュメント・ステートメントの例を次に示します。
- 「知っているもの」に基づく認証ファクタは、90日ごとに失効する必要があります。
- パスワード、パスコード、および「知っているもの」に基づくその他の認証ファクタは、20文字以上である必要があります。
- 承認済リポジトリを使用して、サービス(マシン間)アカウントの認証資格証明およびトークンを格納する必要があります。
プロセスによるステップの定義
プロセスは、ポリシーおよび標準に準拠して、特定の結果を運用的に達成するために必要なアクティビティの概要を示すワークフローです。プロセスでは、誰が(ロールごとに)どのステップをどの順序で実行するかを定義します。多くのプロセスには、特定の状況の差異を処理するステップなどの条件付きブランチが含まれます(Xの場合はステップ9にスキップし、それ以外の場合は次のステップに進みます)。プロセスの開始に必須条件を含めることもできます。アイデンティティ管理ポリシーをサポートするプロセス・ステップの例を次に示します。
新規従業員
- 新しい担当者は、Managerから初期認証資格を取得する必要があります。
- マルチファクタ認証に使用するファクタを選択します。
- 必要な認証アプリケーションをインストールするか、認証ハードウェアを購入します。
- アイデンティティ管理システムで、マルチファクタ認証のプライマリおよび代替方法を構成します。
プロシージャによるタスク手順の定義
手順では、プロセスの完了方法をステップごとに説明します。通常は、各ステップを完了する必要があるユーザーや、どのアプリケーションで実行するかについてより具体的です。たとえば、プロセス・ステップがITチームに割り当てられる場合がありますが、この手順では、Identify Management Analystがそのアクティビティを実行するように指定します。プロセス・ステップ4の認証方法を構成する手順の例を次に示します。
4a)初期認証資格証明を使用して、<URL>のアイデンティティ管理システムにログインします。
4b)使用する多要素認証のすべてのメソッドの横にあるチェック・ボックスを選択します。
ノート: シリアル番号を登録する必要があるため、ハードウェア・トークンをすでに購入している場合のみ選択できます。
4c)使用するファクタごとに、「プライマリ」または「代替」のラジオ・ボタンをクリックします。
これらのツールを使用してセキュリティ体制を改善
セキュリティ・リーダーは、ポリシー、標準、プロセス、手順のパワー・ツールを使用して、組織をセキュリティ目標に向けて推進し、セキュリティ・インシデントの防止に役立てることができます。これらのツールは、組織活動と意思決定を経営陣の期待に合わせるのに役立つ、構造化されたガイダンス・フレームワークを提供します。
パワー・ツール実装チェックリスト
- ポリシー・ドキュメントを定義して、「Can I/must I」の質問に回答します。
- ポリシー・ドキュメント要件を適用するようにテクノロジ・ポリシーを構成します。
- ポリシーに沿った標準文書を定義します。
- ポリシーおよび標準要件を実装するテクノロジの標準を構成します。
- 特定の結果を達成するためのステップに関する業務上の質問に回答するプロセスを定義します。
- 各プロセス ステップについて、"How do I"の質問に答えるためのタスク指示の詳細な手順を定義します。
リソース
これらのサイトには、ポリシー、標準、プロセス、および手順の記述と保守に役立つ例と方法が記載されています。
- Policy template and instructions, Brown University
- Policy management, Michigan State University
- Organization-wide policies in addition to department-specific policies, University of North Carolina
- Policies and standards, University of Texas
- User Guide to Writing Policies, University of Colorado
Oracle Cloud Infrastructure (OCI)でのポリシーの使用についてさらに学習します:
- OCI Policy Reference explains how to configure and define technical policies
- OCI Glossary defines common terms
- Oracle Cloud Free Tier
- Free OCI training
コメント
コメントを投稿