トレンドマイクロの情報セキュリティ勉強会in大阪に参加させてもらいました

自治体向けとのことでしたが
なんか、企業向けのような感じでした。

というのは、自治体のクラウドなので
住民情報系だと思っていたのですが、パブリッククラウドを利用するとのことなので
なんか企業向けなのかなぁと
思っていたのは、自治体向けとなると
Saasなのかなぁと。どの自治体も同じことをするのに
システム自体も同じものを利用して、保守運用を業者に任せてと考えていました
でも、この勉強会では、パブリッククラウドを利用して、
ハード系の費用を安くして、PaasやIaasで勝手に構築してくださいということでしたね
でも、そうしないと、Saasでは、トレンドマイクロさんの入るところがないため
PaasやIaasならば、トレンドマイクロ製品の入る余地があるので。。。

ただ、住民情報系だけでなく、内部情報系で利用できそうな部分も多々ありましたので
勉強にはなりました。助かりました。

自治体におけるクラウド利用の課題と検討

メリット

  • 1から作成しなくてもいい
  • リソースを増やすのが容易
  • セキュリティが高まる

3.11以降

  • 自治体の移転が楽
  • 電力も特に問題なし→データセンター

課題

  • サーバが国外にある場合に設置国の法制度が適用されるリスク
  • クラウド事業者への攻撃によるシステムへの影響
  • 仮想環境特有のリスク
  • 暗号化の必要性。鍵管理の必要性
  • 法が面倒
  • 国外のほうが安いが・・・

 →アメリカのクラウドの利用を行うと、なんか問題があった場合、システム自体を証拠品として押収される恐れが有る為
  サービスを停止しないといけない場合がある。
 →訴訟リスクもある。なんかあった場合、訴訟費用がかかりすぎ、現実的ではない。

  • 事業者が潰れる場合がある

必要事項

  • クラウドに乗せてはいけないデータの指定
  • 障害発生時に顧客は何もできない
  • 代換手段の確保は絶対に必要
  • インシデント発生の予行演習は絶対に必要
  • クラウド提供者の潰れた場合の移行計画
  • SLAは絶対に必要

クラウドおよび仮想化環境における被害事例とセキュリティ対策

特徴

 →メモリ、HDD等いつでも利用できる

  • 迅速な伸縮性

 →いつでも増減が出来る

  • ITリソースが計測、管理されたサービス

その為、スモールスタート(小さい構成から徐々に増やしていく)ができる

仮想化技術

  • プロビジョニング

 →利用者の要求に応じて柔軟にITリソース(CPU、メモリ、ストレージなど)を割り当てる技術

 →稼働中の仮想マシンを停止させずに他の物理サーバに移動させる技術

クラウド導入のメリット

  • システムのサイジングの容易さ
  • システムリソースの効率的利用
  • 端末・機器の管理コストの削減

クラウドセキュリティ

  • SLAやSLOでは直す期間が定められていない場合がある
  • 職員だけではなく、クラウドシステム業者の社員も悪意がある場合がある

 →ガバナンスをどうするか?暗号化するか?

  • 情報漏洩、データ消失の場合

 →安い物はバックアップしない場合がある

  • アカウント情報の漏洩

 →ガンブラーウイルス→アカウントを盗む

仮想化技術のセキュリティ

  • せきゅりてぃ確保の見落とし
  • VM間ににおける攻撃、不正プログラムの感染
  • 移動先によって異なるセキュリティレベル

セキュアクラウド

  • アメリカでは導入済み
  • 日本ではもうすぐ
  • 鍵の管理はどうするか?業者に任せるか?

モバイル端末におけるセキュリティ対策およびデバイス管理

  • スマートフォンは、クラウド利用の際のデバイスにもなりえる
  • 紛失・情報漏洩が多い
  • 管理されていないデバイスが利用されているのでは?
  • エンドポイントが多様化
  • iphone基本的に不正アプリは乗ってこない

→アップルがアップルストアを運営しているため

  • androidは、androidマーケットだけでない為、他のストアからのリスクが残る

ウイルスバスターモバイルが9月末まで無償配布中とのこと

質問

 →こういったものがふさわしいというものが増えてくると思う
  ガイドラインがLASDECから出てくるのでは?

 →いつの企業が行うもの。庁内にあるハードを外に出すとのあまり変わらない
 →スケールメリットは、パブリッククラウドには劣る
 ただ、プライベートクラウドの定義はあいまい

 →データセンターのロケーションはどうするのか?アメリカではFBIが証拠として持っていくことがある
  サービスが継続できない。
 →どういうセキュリティをもっているかというのはHPを見て

  • 仮想パッチとは

 →パッチが当たっていない場合、勝手に仮想パッチを当ててくれる機能

 →Saasではウイルス対策ソフトは、選定出来ないことが多い
  Iaasでは、ウイルス対策ソフトを選定できる

ロケーションは、日本国内
国外では訴訟費用が高額
なかなか勝ち目がない
SLAは必ず必要

このあたりが勉強になりました。

クラウドの衝撃――IT史上最大の創造的破壊が始まった

クラウドの衝撃――IT史上最大の創造的破壊が始まった

米国クラウドビジネス最前線

米国クラウドビジネス最前線

今さら聞けないクラウドの常識・非常識 (新書y 223)

今さら聞けないクラウドの常識・非常識 (新書y 223)

[rakuten:mangazenkan:10064710:detail]