一般社団法人日本クラウドセキュリティアライアンス(CSAジャパン)は10月25日、「クラウド重大セキュリティ脅威対策-DevSecOpsのユースケース-」を公開した。 本資料はCSAジャパン クラウドセキュリティWGが、DevSecOps実現の課題解決のために「クラウドの重大セキュリティ脅威 11の悪質な脅威」を用いて、脅威を起点としたユースケースを整理、利用者がイメージしやすくなるようドキュメント作成を行ったもの。 本資料では下記の11件のケースについて、概要とビジネスインパクトについて解説し、「クラウドの重大セキュリティ脅威 11の悪質な脅威」に記載ある事例として当てはまるものを具体的に挙げ、問題点と対応策、DevSecOps を踏まえた対処を紹介している。1. データ侵害2.設定ミスと不適切な変更管理3.クラウドセキュリティアーキテクチャと戦略の欠如4.ID・資格情報・アクセス・鍵の不十分な管理5.アカウントハイジャック6.内部者の脅威7.安全でないインターフェースと API8.弱い管理プレーン9.メタストラクチャとアプリストラクチャの障害10. クラウド利用の可視性の限界11.クラウドサービスの悪用・乱用・不正利用 各脅威別の「想定事例と実例」には、具体的な事故や侵害事例として、事故が発生した組織名や社名をバイネームで明記のうえ多数掲載しており、資料としての価値が高い。
