小さなコーポレートITのはじめかた

18.6K Views

August 06, 24

#jamf #コーポレートit #コーポレートIT #デバイス管理 #ID管理 #MDM #セキュリティ

スライド概要

Haya

@yohaya

スライド一覧

CITとセキュリティなんでも見る人 / I love technologies and security, Spider-Man, Marvel & DC heroes and lovely things.

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

ダウンロード

ダウンロード(pdf - 1.26MB)

関連スライド

Threat Modeling Night #2 in Tokyo_Feedback

脅威モデリング脅威モデリングナイト

Haya 2.4K

学振特別研究員になるために～2025年度申請版

学振 dc1 dc2 jsps pd

大上雅史 457.3K

研究に使える便利なフリーソフト ImageJ

imagej 放射線技師

片山豊 314.4K

大規模言語モデルに追加学習で専門知識を教える試み (2023, arXiv:2312.03360)

Kan Hatakeyama 231K

ウェーブレット変換の基礎と応用事例：連続ウェーブレット変換を中心に

Ryosuke Tachibana 橘亮輔 186.8K

東京大学 3Dスキャン勉強会「フォトグラメトリ」

フォトグラメトリ vr 3dデジタルアーカイブ

龍 lilea 172.7K

各ページのテキスト

小さなコーポレートITのはじめかた〜デバイス管理とID管理から始めよう〜 1

このセッションについて 2

想定している聞き手 ● デバイス管理やID管理に着手しようと考えているコーポレートITの皆さん ● これからコーポレートIT部門を作っていこうという組織の皆さん ● 改めて足元を見直そうと考えているコーポレートエンジニアの皆さん 3

これから話すこと 1. デバイス管理のはじめかた 2. ID管理のはじめかた 3. 実装例 4. まとめ 4

１. デバイス管理を始めよう 5

なぜデバイス管理が必要か 6

デバイスはデータにアクセスするための物理的な出入り口だから 7

デバイス管理の要点はなにか 8

● 平常時から見える化しておく ● 有事の際に打てる手を用意しておく 9

10.

● 平常時から見える化しておく ○ 誰が、どのデバイスを使っているのか、会社貸与かBYODか ● 有事の際に打てる手を用意しておく ○ リモートロック / ワイプできるかなど 10

11.

どのようにデバイス管理を行うか 11

12.

MDMをいいかんじに使おう 12

13.

● Excel / スプシ管理には限界がある ● 人力には限界がある ○ ● 人は最も貴重で、クリエイティブなことに投入すべき資源加えて、有事の際に打てる手が実質ないのは致命的 13

14.

● ポリシー・ルールもいいかんじに組み合わせる ● 日常業務としてのデバイス管理を効率化しながら、有事にも備える 14

15.

責任あるデバイス管理 15

16.

● データセキュリティを守る要として、デバイスを適切に管理できている体制を作ろう ● 有事の際は責任を持って被害拡大防止に努める 16

17.

２. ID管理を始めよう 17

18.

なぜID管理が必要か 18

19.

IDはデータにアクセスするための仮想空間上の出入り口だから 19

20.

ID管理の要点はなにか 20

21.

● 平常時から見える化しておく ● 有事の際に打てる手を用意しておく 21

22.

● 平常時から見える化しておく ○ ○ ○ 誰が、どのサービスのアカウントを持っているか、どのような権限を持っているか共有アカウントはあるか、誰がパスワードを知っているかどのような認証方法を選択できるのか ● 有事の際に打てる手を用意しておく ○ アカウントロックできるか ○ パスワードの強制変更＆既存のセッションの無効化できるか 22

23.

責任あるID管理 23

24.

● デバイス管理と同様に、データセキュリティを守る要として、IDを適切に管理できている体制を作ろう ● 有事の際は責任を持って被害拡大防止に努める ● 識別・認証・認可・説明責任を語れる準備を始める 24

25.

３. 実装例 25

26.

なにも管理されていない世界 26

27.

実装例：なにも管理されていない世界 ※Mac中心の環境を想定して書いてます 27

28.

最初のかたち ※Mac中心の環境のため、Jamf製品を活用しています。製品は自社の環境に合わせて選定してください。 28

29.

実装例：最初のかたち（デバイス：MDM一部導入、ID:パスワード個人管理からの脱却） 3. 2. 1. 29

30.

実装例：最初のかたち（デバイス：MDM一部導入、ID:パスワード個人管理からの脱却） 3. 2. デバイスのうち全体の大半を占める部分から（＝導入効果が高いところから）MDMを展開していく 1. 30

31.

実装例：最初のかたち（デバイス：MDM一部導入、ID:パスワード個人管理からの脱却）「Googleでログイン(OAuth)」できるサービスは、この認証方法に切り替えていく(＝覚 3. えるパスワードを減らす ) 2. 1. 31

32.

実装例：最初のかたち（デバイス：MDM一部導入、ID:パスワード個人管理からの脱却） 3. 2. パスワードマネージャーも併用する（パスワードはなくならないので...） 1. 32

33.

少し発展させたかたち 33

34.

実装例：少し発展させたかたち（デバイス：MDM管理範囲拡大、ID：SSO認証・組織向けパスワードマネージャー導入） 3. 2. 1. 34

35.

実装例：少し発展させたかたち（デバイス：MDM管理範囲拡大、ID：SSO認証・組織向けパスワードマネージャー導入） 3. MDMの対象範囲を拡大していく 2. 1. 35

36.

実装例：少し発展させたかたち（デバイス：MDM管理範囲拡大、ID：SSO認証・組織向けパスワードマネージャー導入） 3. SSOに対応しているサービスは、この認証方法に切り替えていく（個人情報・機微な情報を扱うサービスから順次） 2. 1. 36

37.

実装例：少し発展させたかたち（デバイス：MDM管理範囲拡大、ID：SSO認証・組織向けパスワードマネージャー導入） 3. 2. 組織・チーム向けのパスワードマネージャーに切り替える（パスワードのチーム内共有機能などを使う目的） 1. 37

38.

更に発展させたかたち 38

39.

実装例：更に発展させたかたち（デバイスへのSSO・SWG/ZTNA一部導入、条件付きアクセス導入、ログ集中管理） 4. 3. 2. 1. 39

40.

実装例：更に発展させたかたち（デバイスへのSSO・SWG/ZTNA一部導入、条件付きアクセス導入、ログ集中管理） 4. 3. 2. デバイスもSSOにする（＝覚えるパスワードを減らす） 1. 40

41.

実装例：更に発展させたかたち（デバイスへのSSO・SWG/ZTNA一部導入、条件付きアクセス導入、ログ集中管理） 4. 3. ウェブフィルタリング機能や、ゼロトラストネットワークアクセス機能を活用する（詳し 2. い説明は割愛します） 1. 41

42.

実装例：更に発展させたかたち（デバイスへのSSO・SWG/ZTNA一部導入、条件付きアクセス導入、ログ集中管理）条件付きアクセス機能も活用する（詳しい説明は割愛します） 4. 3. 2. 1. 42

43.

実装例：更に発展させたかたち（デバイスへのSSO・SWG/ZTNA一部導入、条件付きアクセス導入、ログ集中管理）各種ログを横断的に収集・分析する準備をは 4. じめる（詳しい説明は割愛します） 3. 2. 1. 43

44.

そして、進化は続いていく... （実装例はここまで） 44

45.

４. まとめ 45

46.

世の中の言葉には惑わされない（ゼロトラスト、Okta、SASEなど） 46

47.

まずは、地味かもしれないけど足元をしっかり固める 47

48.

テクノロジーをいいかんじに活用するでも、テクノロジーだけで完璧を目指さない（ルール等といいかんじに組み合わせる） 48

49.

ご清聴ありがとうございました 49