« 総務省 「タイムスタンプ認定制度に関する検討会」の開催 | Main | NIST SP 800-56C Rev. 2(Draft) Recommendation for Key-Derivation Methods in Key-Establishment Schemes »

2020.03.24

CSA Cloud Security for Newly Distributed Engineering Teams 

こんにちは、丸山満彦です。

COVID-19で世界中で在宅勤務が否応が無しに増えている状況ですが、日本でも「意外とリモートワークいけるやん」という声が増えているように思います。(もちろん、すべての産業がリモートワークに向いているわけでもなく、リモートワークが可能な業務でもすべてをリモートワークで実施するのが適切というわけでもないのですが。。。)

と、なってくるとリモートワークとセキュリティの問題も気にする必要がありますね。本来的にはデータの機密性だけでなく、システムの可用性(もっと言うと業務の継続性)の問題も重要です。

Cloud Security Alliance (CSA)が新しい記事を載せているので紹介です。。。複数のクラウド環境を利用することを想定していますね。。。

Cloud Securit Alliance (CSA)

・2020.03.23 Cloud Security for Newly Distributed Engineering Teams

5つのポイントを指摘していますね。

1. Device Security

・Ensure corporate devices are under corporate control.
・Disk encryption. 
・Strict password requirements and screen locking.
・Antivirus and device hygiene. 

2. Access Policies

・Formalize your access policies.
・Use Virtual Private Networks (VPNs). 
・Enforce security group rules. 
・Identity and Access Management (IAM).
・Leverage privileged identity and session management tools. 
・Enforce Multi-Factor Authentication (MFA).
・Enable Single Sign On (SSO). 
・Practice good cloud hygiene.  
・Don’t share root access keys to your cloud account!

3. Processes

・Code reviews.
・Expand the use of your internal ticketing system.
・Formalize informal practices. 
・Embrace asynchronous communications. 
・Don't shy away from voice calls! 
・Turn on your camera! 

4. Visibility and Control

・Get continuous visibility into cloud state. 
・Device visibility. 
・Review and update your software deployment processes. 
・Use policy-as-code. 

5. Support your Team

 

 

|

« 総務省 「タイムスタンプ認定制度に関する検討会」の開催 | Main | NIST SP 800-56C Rev. 2(Draft) Recommendation for Key-Derivation Methods in Key-Establishment Schemes »

Comments

Post a comment



(Not displayed with comment.)




« 総務省 「タイムスタンプ認定制度に関する検討会」の開催 | Main | NIST SP 800-56C Rev. 2(Draft) Recommendation for Key-Derivation Methods in Key-Establishment Schemes »