初めてのセキュリティ対策
最近はじめてセキュリティについて真面目に取り組みをしたので、その備忘録を記載します。
システムは全てGoogle Cloudで動かしています。
基準を設ける
いきなりセキュリティ対策を行う事になりましたが、正直何から手を付けたら良いか分かりませんでした。
取り合えず基準となるものを探そうと、コンプライアンス基準について調査を進めました。
一覧
- ISO 27001
- NIST
- SOC2
- CIS Controls
特にISO 27001は日本国内で認証を取っている企業も多いと思い、取り合えずISO 27001を準拠できる形にしようと思いました。
Security Command Center
Security Command Center(以降SCC)とは、Google Cloudのサービスで、ログやイベントのデータを収集し脆弱性や脅威を検出してくれるサービスです。
Premiumティアにすることによって、様々なコンプライアンス基準とSCCで検知された脆弱性をマッピングしてくれます。
取り合えずはISO 27001 2022を準拠できるように下記のような設定を行いました。
- GCSのバケットの権限を均一にする
- Admin系のロールを排除する
- プロジェクト単位でプリンシパルに付与されていた権限を、リソース側に移す
- etc.
なお、本当にセキュリティレベルが上がるのか疑問に思った箇所については一旦は保留としました。
その他新たな脆弱性が見つかった場合に、アラートを飛ばす設定を入れました。
体系的なセキュリティへの理解
SCCによりISO 27001に準拠できるように設定を変更していましたが、「本当にこれで良いのか」という疑問が残っていました。体系的なセキュリティに対しての理解度が低く、ただ言われた事をやっていたのみで、「何かやり残しが無いか」「もっと体系的にセキュリティを理解できるものが無いか」と考えていました。
なんとなく上記のコンプライアンス基準の一覧で記載した CIS Controls
について調べてみたところ、無料で日本語版をダウンロードが出来る事が分かりました。
https://learn.cisecurity.org/cis-controls-download?
速攻でダウンロードし、資料を確認するとセキュリティについてかなり体系的に記載されていました。
やることの整理
これまでセキュリティ対策を行う時は、何から行えばよいか分からないため、色々対策を行った後に「あとどのようなカテゴリのセキュリティ対策があるかな・・・」となっていましたが、CIS Controlsの 18のControl
により、少なくともセキュリティ対策のカテゴリ一覧は直ぐに頭に浮かぶようになりました。
それぞれのカテゴリに対して、システム的に問題が無いかを確認し、それぞれ対策を行ったことにより、少なくとも以前よりは安心して「セキュリティ対策をしたぞ」と考えられるようになりました。
まとめ
- SCC Premiumを有効化し、脆弱性対策を行った
- また新たな脆弱性が検知された場合アラートを飛ばすようにした
- 体系的なセキュリティ対策が理解にCIS Controlsが有用だった
とは言え、まだまだセキュリティ周りについては分からない事ばかりです。今回の件でセキュリティ周りについてはかなり興味が持てました。今後も何か有用なものがあれば共有していけたらと思います。
Discussion