小さなコーポレートITのはじめかた

19.5K Views

August 06, 24

スライド概要

profile-image

CITとセキュリティなんでも見る人 / I love technologies and security, Spider-Man, Marvel & DC heroes and lovely things.

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

関連スライド

各ページのテキスト
1.

小さなコーポレートITのはじめかた 〜 デバイス管理とID管理から始めよう 〜 1

2.

このセッションについて 2

3.

想定している聞き手 ● デバイス管理やID管理に着手しようと考えているコーポレートITの皆さん ● これからコーポレートIT部門を作っていこうという組織の皆さん ● 改めて足元を見直そうと考えているコーポレートエンジニアの皆さん 3

4.

これから話すこと 1. デバイス管理のはじめかた 2. ID管理のはじめかた 3. 実装例 4. まとめ 4

5.

1. デバイス管理を始めよう 5

6.

なぜデバイス管理が必要か 6

7.

デバイスはデータにアクセスするための 物理的な出入り口だから 7

8.

デバイス管理の要点はなにか 8

9.

● 平常時から見える化しておく ● 有事の際に打てる手を用意しておく 9

10.

● 平常時から見える化しておく ○ 誰が、どのデバイスを使っているのか、会社貸与かBYODか ● 有事の際に打てる手を用意しておく ○ リモートロック / ワイプできるか など 10

11.

どのようにデバイス管理を行うか 11

12.

MDMをいいかんじに使おう 12

13.

● Excel / スプシ管理には限界がある ● 人力には限界がある ○ ● 人は最も貴重で、クリエイティブなことに投入すべき資源 加えて、有事の際に打てる手が実質ないのは致命的 13

14.

● ポリシー・ルールもいいかんじに組み合わせる ● 日常業務としてのデバイス管理を効率化しながら、 有事にも備える 14

15.

責任あるデバイス管理 15

16.

● データセキュリティを守る要として、デバイスを適 切に管理できている体制を作ろう ● 有事の際は責任を持って被害拡大防止に努める 16

17.

2. ID管理を始めよう 17

18.

なぜID管理が必要か 18

19.

IDはデータにアクセスするための 仮想空間上の出入り口だから 19

20.

ID管理の要点はなにか 20

21.

● 平常時から見える化しておく ● 有事の際に打てる手を用意しておく 21

22.

● 平常時から見える化しておく ○ ○ ○ 誰が、どのサービスのアカウントを持っているか、どのような権限 を持っているか 共有アカウントはあるか、誰がパスワードを知っているか どのような認証方法を選択できるのか ● 有事の際に打てる手を用意しておく ○ アカウントロックできるか ○ パスワードの強制変更&既存のセッションの無効化できるか 22

23.

責任あるID管理 23

24.

● デバイス管理と同様に、 データセキュリティを守る要として、IDを適切に管 理できている体制を作ろう ● 有事の際は責任を持って被害拡大防止に努める ● 識別・認証・認可・説明責任を語れる準備を始める 24

25.

3. 実装例 25

26.

なにも管理されていない世界 26

27.

実装例:なにも管理されていない世界 ※Mac中心の環境を想定して書いてます 27

28.

最初のかたち ※Mac中心の環境のため、Jamf製品を活用しています。 製品は自社の環境に合わせて選定してください。 28

29.

実装例:最初のかたち(デバイス:MDM一部導入、ID:パスワード個人管理からの脱却) 3. 2. 1. 29

30.

実装例:最初のかたち(デバイス:MDM一部導入、ID:パスワード個人管理からの脱却) 3. 2. デバイスのうち全体の大半を占める部分か ら(=導入効果が高いところから )MDMを 展開していく 1. 30

31.

実装例:最初のかたち(デバイス:MDM一部導入、ID:パスワード個人管理からの脱却) 「Googleでログイン(OAuth)」できるサービ スは、この認証方法に切り替えていく(=覚 3. えるパスワードを減らす ) 2. 1. 31

32.

実装例:最初のかたち(デバイス:MDM一部導入、ID:パスワード個人管理からの脱却) 3. 2. パスワードマネージャーも併用する (パスワードはなくならない ので...) 1. 32

33.

少し発展させたかたち 33

34.

実装例:少し発展させたかたち(デバイス:MDM管理範囲拡大、ID:SSO認証・組織向けパスワードマネージャー導入) 3. 2. 1. 34

35.

実装例:少し発展させたかたち(デバイス:MDM管理範囲拡大、ID:SSO認証・組織向けパスワードマネージャー導入) 3. MDMの対象範囲を拡大していく 2. 1. 35

36.

実装例:少し発展させたかたち(デバイス:MDM管理範囲拡大、ID:SSO認証・組織向けパスワードマネージャー導入) 3. SSOに対応しているサービスは、この認証方 法に切り替えていく(個人情報・機微な情報を 扱うサービスから順次 ) 2. 1. 36

37.

実装例:少し発展させたかたち(デバイス:MDM管理範囲拡大、ID:SSO認証・組織向けパスワードマネージャー導入) 3. 2. 組織・チーム向けのパスワードマネー ジャーに切り替える(パスワードのチーム 内共有機能などを使う目的) 1. 37

38.

更に発展させたかたち 38

39.

実装例:更に発展させたかたち(デバイスへのSSO・SWG/ZTNA一部導入、条件付きアクセス導入、ログ集中管理) 4. 3. 2. 1. 39

40.

実装例:更に発展させたかたち(デバイスへのSSO・SWG/ZTNA一部導入、条件付きアクセス導入、ログ集中管理) 4. 3. 2. デバイスもSSOにする(=覚えるパス ワードを減らす) 1. 40

41.

実装例:更に発展させたかたち(デバイスへのSSO・SWG/ZTNA一部導入、条件付きアクセス導入、ログ集中管理) 4. 3. ウェブフィルタリング機能や、ゼロトラスト ネットワークアクセス機能を活用する(詳し 2. い説明は割愛します) 1. 41

42.

実装例:更に発展させたかたち(デバイスへのSSO・SWG/ZTNA一部導入、条件付きアクセス導入、ログ集中管理) 条件付きアクセス機能も活用する(詳し い説明は割愛します) 4. 3. 2. 1. 42

43.

実装例:更に発展させたかたち(デバイスへのSSO・SWG/ZTNA一部導入、条件付きアクセス導入、ログ集中管理) 各種ログを横断的に収集・分析する準備をは 4. じめる(詳しい説明は割愛します) 3. 2. 1. 43

44.

そして、進化は続いていく... (実装例はここまで) 44

45.

4. まとめ 45

46.

世の中の言葉には惑わされない (ゼロトラスト、Okta、SASEなど) 46

47.

まずは、地味かもしれないけど 足元をしっかり固める 47

48.

テクノロジーをいいかんじに活用する でも、テクノロジーだけで完璧を目指さない (ルール等といいかんじに組み合わせる) 48

49.

ご清聴ありがとうございました 49