セキュリティのチェックリスト

[更新日：2025年09月30日]

Q1. ワークロードの認証情報と認証をどのように管理していますか？

□ アクセス要件を適切(法令、ガイドライン、社内ルールなどに合わせて)に定義している

□ 管理者アカウントにMFAを設定し、アクセスキーの利用は極力避けている

□ MFAの利用を強制している

□ アクセス制御をツールで自動化している

□ IDプロバイダまたはディレクトリサービスを用いて認証を管理している

□ パスワードポリシーを厳格に定義している

□ 認証情報のローテーションを定期的に実施している

□ 認証情報やアクセス管理の定期監査を行っている

Q2. さくらのクラウドサービスへの人為的なアクセスをどのように制御していますか？

□ 不要な特権アクセスを防ぐために、明確なアクセス要件を定義している

□ 最小権限の原則に基づいてアクセス権を設計している

□ 各ユーザーに固有の認証情報を割り当てている

□ ユーザーのライフサイクルに応じてアクセス権を管理している

□ アクセス制御の自動化を実施している

□ ロールやフェデレーションによりアクセスを統制している

Q3. プログラムによるアクセスをどのように制御していますか？

□ プログラムによるアクセス要件を明確に定義している

□ プログラムにも最小権限を付与している

□ 認証情報管理を自動化している（スクリプトによる取得や更新など）

□ 各コンポーネントに個別の認証情報を割り当てている

□ ロールベースまたはフェデレーションベースのアクセス制御を導入している

□ 動的な認証情報取得・更新機構を活用している

Q4. インシデント対応体制はどのように整備されていますか？

□ インシデント対応の担当者と体制が明確になっている

□ 対応用のツールを事前に用意している

□ インシデント対応手順を策定している（連絡・エスカレーション方法含む）

□ 被害封じ込めのための自動対応が準備されている

□ 必要に応じてフォレンジック調査も実施できる体制を整備している

□ 必要なアクセス権・ツールをセキュリティ担当者にあらかじめ付与している

□ ゲームデー（模擬訓練）により、実践的な対処スキルを養っている