ちょっと話題の記事

[Auth0] IPAの「クラウドサービス安全利用の手引き」で参考になりそうなAuth0の参考情報をまとめてみた

Auth0を利用開始するとき、社内承認を得るために参考になりそうな情報をまとめてみました。
2021.03.11

Auth0を始めとした様々な便利なSaaSがありますが、いざ業務で使おうとすると、社内・組織の承認が必要なるでしょう。 そんなときに便利なのが、IPAが公開しているクラウドサービス安全利用の手引きです。

本記事では、上記のクラウドサービス安全利用の手引きを参考にして、Auth0の関連リンクを紹介していきます。

まずは下記でAuth0の構成を見てから、Auth0の各ドキュメントを読むと用語が分かりやすいと思います。

おすすめの方

  • Auth0を使うにあたって、社内承認に必要な参考情報を知りたい方

はじめに

  • 本記事の内容を参考にすれば、100%OKというわけではありません
  • あくまでも参考情報であり、会社や組織などで最終判断をしてください
  • Auth0の利用に関する文章を読むと良いです
  • 2021年3月時点の情報です

I. 選択するときのポイント

1. どの業務で利用するか明確にする

どの業務をクラウドサービスで行い、どの情報を扱うかを検討し、業務の切り分けや運用ルールを明確にしましたか?

会社・組織毎に明確化してください。

2. クラウドサービスの種類を選ぶ

業務に適したクラウドサービスを選定し、どのようなメリットがあるか確認しましたか?

Auth0はIDaaSです。IDaaSおよびAuth0を採用するメリット等は、下記が参考になります。

3. 取り扱う情報の重要度を確認する

クラウドサービスで取扱う情報が漏洩、改ざん、消失したり、サービスが停止した場合の影響を確認しましたか?

Auth0では、ユーザのログインIDやパスワードなどを扱います。影響は用途によって異なると思いますので、会社・組織で確認してください。

4. セキュリティのルールと矛盾しないようにする

自社のルールとクラウドサービス活用との間に矛盾や不一致が生じませんか?

会社・組織毎に確認してください。

5. クラウド事業者の信頼性を確認する

クラウドサービスを提供する事業者は信頼できる事業者ですか?

6. クラウドサービスの安全・信頼性を確認する

サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービス品質保証は示されていますか?

II. 運用するときのポイント

7. 管理担当者を決める

クラウドサービスの特性を理解した管理担当者を社内に確保していますか?

会社・組織毎に確認してください。

8. 利用者の範囲を決める

クラウドサービスを適切な利用者のみが利用可能となるように管理できていますか?

会社・組織毎に確認してください。

9. 利用者の認証を厳格に行う

パスワードなどの認証機能について、適切に設定・管理は実施できていますか?(共有しない、複雑にするなど)

会社・組織毎に確認してください。Auth0でできることは、下記が参考になります。

10. バックアップに責任を持つ

サービス停止やデータの消失・改ざんなどに備えて、重要情報を手元に保管して必要なときに使えるようにしていますか?

DevelopersIOのQ&Aより抜粋した内容は下記です。

Q. Auth0のユーザーデータはどこか別にバックアップをとる必要性はありますでしょうか? とるとしたらベストプラクティスをお聞きしたいです。

A. ユーザーデータはAuth0でも異なるデータセンターにバックアップを行っておりますので、通常お客様側でバックアップを取って頂く必要はありませんが、エクスポートAPIにてユーザーデータを取得することも可能です。

III. セキュリティ管理のポイント

11. 付帯するセキュリティ対策を確認する

サービスに付帯するセキュリティ対策が具体的に公開されていますか?

  • Auth0のセキュリティ情報

12. 利用者サポートの体制を確認する

サービスの使い方が分からないときの支援(ヘルプデスクやFAQ)は提供されていますか?

13. 利用終了時のデータを確保する

サービスの利用が終了したときの、データの取扱条件について確認しましたか?

  • 利用規約7.5. Data Export, Retention and Destructionに記載があります。
    • Identity Management Platform Subscription Agreement
    • Identity Platform Terms of Service

14. 適用法令や契約条件を確認する

個人情報法保護などを想定し、一般的契約条件の各項目について確認しましたか?

  • 利用規約などの文章を確認してください
    • Never Compromise on Identity
      • Identity Management Platform Subscription Agreement
      • Identity Platform Terms of Service
      • Data Processing Addendum
      • など

15. データ保存先の地理的所在地を確認する

データの保存先は、Auth0を使うリージョンによって決まります。

さいごに

Auth0導入の助けになれば幸いです。

参考