AWSではじめるクラウドセキュリティを読んだ。気になったことや知らなかったことをメモ。

・ガバナンス：組織が健全な経営を行うための機能やプロセス。例えば株主へ責任説明を果たすために、組織が正しく機能していることを示すプロセス。ITは人よりも正確に処理できるためガバナンスを高めるために最適であり、そのような環境を作ることを統制と呼ぶ。しかしITも処理を間違えることがあるため、適切に管理する必要がある(ITガバナンス)。

・コンプライアンス：法令遵守や組織が社会や世間の期待に応えているか、社会に価値貢献するためのミッションを促進しているか管理するプロセス。

・ゲートキーパー型のセキュリティは定期的に業務を止めて、RVなどでセキュリティの設計や運用を評価するため、ガードレール型のセキュリティをAWSでは推奨している。

・セキュリティの管理策を検討する場合、NIST(National Institute of Standards and Technology)のCSF(Cyber Security Framework)の5項目(識別(Identify)・防御(Protect)・検知(Detect)・対応(Respond)・復旧(Recover))を参考にすると良い。

・ISO/IEC27005によるとリスクとは「資産が抱える脆弱性を狙う攻撃などの脅威により、組織に対して悪影響が生じる可能性」のこと。

・リスクアセスメントの代表的な手法としてベースラインアプローチ(典型的なシステムを想定し、定評あるセキュリティフレームワークなどで確保すべきセキュリティ管理策を策定する。チェックリストで状況を確認することが多い)とリスクベースアプローチ(保護対象の資産に対して重要度、脅威、脆弱性の評価指標を使って、リスクの影響範囲や対応優先度を分析する)がある。

・EDoS(Economic Denial of Service-attack)攻撃という、クラウドが従量課金であることを利用した経済的な損失を目的とするサイバー攻撃がある。