この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
Auth0を始めとした様々な便利なSaaSがありますが、いざ業務で使おうとすると、社内・組織の承認が必要なるでしょう。 そんなときに便利なのが、IPAが公開しているクラウドサービス安全利用の手引きです。
- 中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
- 付録6: クラウドサービス安全利用の手引き
本記事では、上記のクラウドサービス安全利用の手引きを参考にして、Auth0の関連リンクを紹介していきます。
まずは下記でAuth0の構成を見てから、Auth0の各ドキュメントを読むと用語が分かりやすいと思います。
おすすめの方
- Auth0を使うにあたって、社内承認に必要な参考情報を知りたい方
はじめに
- 本記事の内容を参考にすれば、100%OKというわけではありません
- あくまでも参考情報であり、会社や組織などで最終判断をしてください
- Auth0の利用に関する文章を読むと良いです
- 2021年3月時点の情報です
I. 選択するときのポイント
1. どの業務で利用するか明確にする
どの業務をクラウドサービスで行い、どの情報を扱うかを検討し、業務の切り分けや運用ルールを明確にしましたか?
会社・組織毎に明確化してください。
2. クラウドサービスの種類を選ぶ
業務に適したクラウドサービスを選定し、どのようなメリットがあるか確認しましたか?
Auth0はIDaaSです。IDaaSおよびAuth0を採用するメリット等は、下記が参考になります。
3. 取り扱う情報の重要度を確認する
クラウドサービスで取扱う情報が漏洩、改ざん、消失したり、サービスが停止した場合の影響を確認しましたか?
Auth0では、ユーザのログインIDやパスワードなどを扱います。影響は用途によって異なると思いますので、会社・組織で確認してください。
4. セキュリティのルールと矛盾しないようにする
自社のルールとクラウドサービス活用との間に矛盾や不一致が生じませんか?
会社・組織毎に確認してください。
5. クラウド事業者の信頼性を確認する
クラウドサービスを提供する事業者は信頼できる事業者ですか?
- Auth0社について
- セキュリティ・コンプライアンス・認定など
- Auth0を利用している顧客
- Auth0が所持するデータとデータ処理
- OktaによるAuth0の買収
6. クラウドサービスの安全・信頼性を確認する
サービスの稼働率、障害発生頻度、障害時の回復目標時間などのサービス品質保証は示されていますか?
- 可用性と信頼性
- Auth0のSLAや契約書類
- Auth0のステータス
II. 運用するときのポイント
7. 管理担当者を決める
クラウドサービスの特性を理解した管理担当者を社内に確保していますか?
会社・組織毎に確認してください。
8. 利用者の範囲を決める
クラウドサービスを適切な利用者のみが利用可能となるように管理できていますか?
会社・組織毎に確認してください。
9. 利用者の認証を厳格に行う
パスワードなどの認証機能について、適切に設定・管理は実施できていますか?(共有しない、複雑にするなど)
会社・組織毎に確認してください。Auth0でできることは、下記が参考になります。
- Auth0のテナントメンバーの管理
- Auth0のテナントメンバーのMFA設定
10. バックアップに責任を持つ
サービス停止やデータの消失・改ざんなどに備えて、重要情報を手元に保管して必要なときに使えるようにしていますか?
DevelopersIOのQ&Aより抜粋した内容は下記です。
Q. Auth0のユーザーデータはどこか別にバックアップをとる必要性はありますでしょうか? とるとしたらベストプラクティスをお聞きしたいです。
A. ユーザーデータはAuth0でも異なるデータセンターにバックアップを行っておりますので、通常お客様側でバックアップを取って頂く必要はありませんが、エクスポートAPIにてユーザーデータを取得することも可能です。
- Auth0自身のバックアップについては、利用規約の
2.7. Backup and Restoreに記載があります。- Identity Management Platform Subscription Agreement
- Identity Platform Terms of Service
- データの取得
- テナント自体の設定取得
- auth0/auth0-deploy-cli: A node CLI that can be used to easily integrate configuration deploy with your build scripts.
- Auth0の設定をYAMLファイルからインポートする #Auth0JP | DevelopersIO
- Auth0の設定をYAMLファイルとしてエクスポートする #Auth0JP | DevelopersIO
- Node.jsでAuth0のテナント設定のインポート・エクスポートを実行する | DevelopersIO
- [Auth0] 可変設定値をファイルで管理して複数テナントに同じ構成でデプロイする | DevelopersIO
III. セキュリティ管理のポイント
11. 付帯するセキュリティ対策を確認する
サービスに付帯するセキュリティ対策が具体的に公開されていますか?
- Auth0のセキュリティ情報
12. 利用者サポートの体制を確認する
サービスの使い方が分からないときの支援(ヘルプデスクやFAQ)は提供されていますか?
- サポート
- ドキュメント
13. 利用終了時のデータを確保する
サービスの利用が終了したときの、データの取扱条件について確認しましたか?
- 利用規約の
7.5. Data Export, Retention and Destructionに記載があります。- Identity Management Platform Subscription Agreement
- Identity Platform Terms of Service
14. 適用法令や契約条件を確認する
個人情報法保護などを想定し、一般的契約条件の各項目について確認しましたか?
- 利用規約などの文章を確認してください
- Never Compromise on Identity
- Identity Management Platform Subscription Agreement
- Identity Platform Terms of Service
- Data Processing Addendum
- など
- Never Compromise on Identity
15. データ保存先の地理的所在地を確認する
データの保存先は、Auth0を使うリージョンによって決まります。
- 利用規約の
7.10. Territorial Restrictionsに記載があります。- Identity Management Platform Subscription Agreement
- Identity Platform Terms of Service
- Deployment Options
- Auth0 Public Cloud Service Endpoints
- Private Cloud Deployment Options
さいごに
Auth0導入の助けになれば幸いです。
9
