19.5K Views
August 06, 24
スライド概要
小さなコーポレートITのはじめかた 〜 デバイス管理とID管理から始めよう 〜 1
このセッションについて 2
想定している聞き手 ● デバイス管理やID管理に着手しようと考えているコーポレートITの皆さん ● これからコーポレートIT部門を作っていこうという組織の皆さん ● 改めて足元を見直そうと考えているコーポレートエンジニアの皆さん 3
これから話すこと 1. デバイス管理のはじめかた 2. ID管理のはじめかた 3. 実装例 4. まとめ 4
1. デバイス管理を始めよう 5
なぜデバイス管理が必要か 6
デバイスはデータにアクセスするための 物理的な出入り口だから 7
デバイス管理の要点はなにか 8
● 平常時から見える化しておく ● 有事の際に打てる手を用意しておく 9
● 平常時から見える化しておく ○ 誰が、どのデバイスを使っているのか、会社貸与かBYODか ● 有事の際に打てる手を用意しておく ○ リモートロック / ワイプできるか など 10
どのようにデバイス管理を行うか 11
MDMをいいかんじに使おう 12
● Excel / スプシ管理には限界がある ● 人力には限界がある ○ ● 人は最も貴重で、クリエイティブなことに投入すべき資源 加えて、有事の際に打てる手が実質ないのは致命的 13
● ポリシー・ルールもいいかんじに組み合わせる ● 日常業務としてのデバイス管理を効率化しながら、 有事にも備える 14
責任あるデバイス管理 15
● データセキュリティを守る要として、デバイスを適 切に管理できている体制を作ろう ● 有事の際は責任を持って被害拡大防止に努める 16
2. ID管理を始めよう 17
なぜID管理が必要か 18
IDはデータにアクセスするための 仮想空間上の出入り口だから 19
ID管理の要点はなにか 20
● 平常時から見える化しておく ● 有事の際に打てる手を用意しておく 21
● 平常時から見える化しておく ○ ○ ○ 誰が、どのサービスのアカウントを持っているか、どのような権限 を持っているか 共有アカウントはあるか、誰がパスワードを知っているか どのような認証方法を選択できるのか ● 有事の際に打てる手を用意しておく ○ アカウントロックできるか ○ パスワードの強制変更&既存のセッションの無効化できるか 22
責任あるID管理 23
● デバイス管理と同様に、 データセキュリティを守る要として、IDを適切に管 理できている体制を作ろう ● 有事の際は責任を持って被害拡大防止に努める ● 識別・認証・認可・説明責任を語れる準備を始める 24
3. 実装例 25
なにも管理されていない世界 26
実装例:なにも管理されていない世界 ※Mac中心の環境を想定して書いてます 27
最初のかたち ※Mac中心の環境のため、Jamf製品を活用しています。 製品は自社の環境に合わせて選定してください。 28
実装例:最初のかたち(デバイス:MDM一部導入、ID:パスワード個人管理からの脱却) 3. 2. 1. 29
実装例:最初のかたち(デバイス:MDM一部導入、ID:パスワード個人管理からの脱却) 3. 2. デバイスのうち全体の大半を占める部分か ら(=導入効果が高いところから )MDMを 展開していく 1. 30
実装例:最初のかたち(デバイス:MDM一部導入、ID:パスワード個人管理からの脱却) 「Googleでログイン(OAuth)」できるサービ スは、この認証方法に切り替えていく(=覚 3. えるパスワードを減らす ) 2. 1. 31
実装例:最初のかたち(デバイス:MDM一部導入、ID:パスワード個人管理からの脱却) 3. 2. パスワードマネージャーも併用する (パスワードはなくならない ので...) 1. 32
少し発展させたかたち 33
実装例:少し発展させたかたち(デバイス:MDM管理範囲拡大、ID:SSO認証・組織向けパスワードマネージャー導入) 3. 2. 1. 34
実装例:少し発展させたかたち(デバイス:MDM管理範囲拡大、ID:SSO認証・組織向けパスワードマネージャー導入) 3. MDMの対象範囲を拡大していく 2. 1. 35
実装例:少し発展させたかたち(デバイス:MDM管理範囲拡大、ID:SSO認証・組織向けパスワードマネージャー導入) 3. SSOに対応しているサービスは、この認証方 法に切り替えていく(個人情報・機微な情報を 扱うサービスから順次 ) 2. 1. 36
実装例:少し発展させたかたち(デバイス:MDM管理範囲拡大、ID:SSO認証・組織向けパスワードマネージャー導入) 3. 2. 組織・チーム向けのパスワードマネー ジャーに切り替える(パスワードのチーム 内共有機能などを使う目的) 1. 37
更に発展させたかたち 38
実装例:更に発展させたかたち(デバイスへのSSO・SWG/ZTNA一部導入、条件付きアクセス導入、ログ集中管理) 4. 3. 2. 1. 39
実装例:更に発展させたかたち(デバイスへのSSO・SWG/ZTNA一部導入、条件付きアクセス導入、ログ集中管理) 4. 3. 2. デバイスもSSOにする(=覚えるパス ワードを減らす) 1. 40
実装例:更に発展させたかたち(デバイスへのSSO・SWG/ZTNA一部導入、条件付きアクセス導入、ログ集中管理) 4. 3. ウェブフィルタリング機能や、ゼロトラスト ネットワークアクセス機能を活用する(詳し 2. い説明は割愛します) 1. 41
実装例:更に発展させたかたち(デバイスへのSSO・SWG/ZTNA一部導入、条件付きアクセス導入、ログ集中管理) 条件付きアクセス機能も活用する(詳し い説明は割愛します) 4. 3. 2. 1. 42
実装例:更に発展させたかたち(デバイスへのSSO・SWG/ZTNA一部導入、条件付きアクセス導入、ログ集中管理) 各種ログを横断的に収集・分析する準備をは 4. じめる(詳しい説明は割愛します) 3. 2. 1. 43
そして、進化は続いていく... (実装例はここまで) 44
4. まとめ 45
世の中の言葉には惑わされない (ゼロトラスト、Okta、SASEなど) 46
まずは、地味かもしれないけど 足元をしっかり固める 47
テクノロジーをいいかんじに活用する でも、テクノロジーだけで完璧を目指さない (ルール等といいかんじに組み合わせる) 48
ご清聴ありがとうございました 49