HITSERIES×Azure｜SRE

導入前の課題（Before）

ーセキュリティベンダーに脆弱性診断やセキュリティ評価を見積依頼すると、見積もりからプロジェクト開始まで数ヶ月かかり、費用も高額であり事業成長のボトルネックになっていた。
ー既存事業とは守るべき法令対象や個人情報の対象が違う中で、契約上顧客や事業パートナーとどこまでの責任分担をすべきかが不明瞭であった。
ー新規事業でベンダーに言われるがままセキュリティ投資をしているとコストばかりが増えてしまうことに課題があった。場当たり的な対応ではなく、計画的なガイドラインや調達方針をもつ必要があった

導入後の成果（After）

ガイドラインや組織を整備し、計画的なセキュリティ調達が可能に。基本的な防御は24時間モニタリング。定期的な検査のスピードも数週間で済むように。脆弱性診断関連コストは３分の１に。

クラウドセキュリティベストプラクティス

1.ガイドラインの制定
事業の安全性を目的としてISO27001を導入
2.サイバー関連法令の調査および契約責任分解範囲の整理
法律専門家による裁判判例や個人情報保護法令の見解提示。クラウドベンダーや販売代理店、法人顧客、最終消費者間のデータ保持に関する責任分解点の体系化
3.基礎的な防御インフラを実装
デプロイルームをセキュリティルーム化。Microsoft EntraID(旧ActiveDirectory)による権限レイヤーの体系化、Microsoft Intuneによる開発端末の管理。Microsoft Defenderによる防御、Microsoft Sentinelによる脅威分析。
4.定期診断の実施
ImmuniWebによる年に１回の定期診断を実施。目的に応じてNessusやBurpSuiteなども利用