CISA Seeks Public Opinion on Cloud Application Security Guidance
2023/03/16 SecurityWeek — CISA は、クラウド・ビジネス・アプリケーションの安全性確保のためのガイダンスについて、パブリック・コメントを募集している。この、SCuBA (Secure Cloud Business Applications) Hybrid Identity Solutions Architecture と題されたドキュメントは、連邦政府機関におけるクラウドベースのソリューションと、既存のオンプレミス・インフラとの安全な統合を支援するものだ。
SCuBA プロジェクトには、CISA が作成した2つのガイダンス・ドキュメントが含まれている。これらのドキュメントにより、クラウドサービスの利用に必要な、セキュリティと耐障害性のベスト・プラクティスを採用するための推奨事項が、各機関に提供されていく。
CISAは、「SCuBA は、一貫性があり、効果的で、最新かつ管理しやすいセキュリティ設定により、クラウド環境内に保存された FCEB (Federal Civilian Executive Branch) の情報資産の保護に役立つ」と述べている。これらのドキュメントは、主に連邦政府機関を対象としているが、それ以外の組織でも使用できる。
1つ目のドキュメント SCuBA Technical Reference Architecture (TRA) は、SCuBA に沿ったコンテキスト/標準的な見解/用語などを提供する。
2つ目のドキュメント Extensible Visibility Reference Framework (eVRF) Guidebook では、拡張可能な eVRF フレームワークの概要が説明されている。このドキュメントは、組織が脅威の軽減に使用する可視性データを特定し、製品やサービスが提供できる可視性の量を理解し、潜在的なギャップを特定できるよう設計されている。
eVRF は、概念とワークフローを定義したガイドブックと、特定の可視化サーフェスを定義し、組織が可視化カバーマップを作成するためのワークブックで構成されている。
CISA が TRA と eVRF を公開したのは昨年であり、これらのパブリック・コメント期間は終了している。現在は、オンプレミスとクラウドベースのソリューションの統合に伴う ID 管理の選択肢と課題を詳述し、その対処方法について推奨する Hybrid Identity Solutions Architecture guidance への意見を募集している。
これらのドキュメントのパブリック・コメント期間は、2023年4月17日に終了する予定だ。
CISA は、「大統領令 14028 に従い、CISA の SCuBA プロジェクトは、クラウド環境に保存された政府機関の情報資産を保護するのに役立つ、一貫性があり、効果的で、最新かつ管理しやすいセキュリティの確立を目的としている」と記している。
CISA の SCuBA プロジェクトには、期待が集まるのでしょう。2022/09/02 の「SaaS 利用に関する調査:利便性と安全性のギャップを埋める方法はあるのか?」という記事では、調査の結果として、回答者の74% が SaaS ベースのアプリを使用していると回答しています。しかし、以下の記事が指摘するように、問題が山積しているようです。なんらかの指針がないと、問題解決までに時間が掛かってしまうと思います。
2023/03/01:SaaS 内の資産は混乱している
2023/02/27:SaaS-to-SaaS 接続のリスク:根深い問題
2023/01/28:SaaS Shadow IT をゼロにしたい
IoT OT Security News 
You must be logged in to post a comment.