#クラウドセキュリティ

クラウドのセキュリティというと、多くの人は「ログイン時に本人確認をしっかりやること」を思い浮かべると思います。もちろんそれは大事です。ただ、InfoQ のこの記事が面白いのは、その先にある話を真正面から扱っているところです。つまり、「ログインしたあと、その人が本当にその操作をしていいのか」を毎回見直すべきではないか、という提案です。 ふつうのクラウドシステムは、認可判断をログイン時に1回だけ行いがち でも機密データを扱うなら、操作ごとに「今この行動は妥当か」を見たほうが安全 役割ベースの権限管理だけでは、異常な大量アクセスや不自然な行動を止めにくい Continuous authorization は、操作ごとにリスクを評価する考え方 監査証跡は必要だが、個人情報そのものをむやみに残さない工夫も重要 ただし毎回重く判定すると遅くなるので、キャッシュや段階的な評価が要る いきなり全社導入ではなく、段階的に広げるのが現実的 この記事の出だしはかなり生々しいです。医療系プラットフォームにアクセスしたカスタマーサポート担当が、朝9時のログイン後、10時には患者記録を5,000件CSVで書き出し