Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
クラウドサービスベンダーのセキュリティチェックシート対応
Search
hirac
September 16, 2022
Technology
0
190
クラウドサービスベンダーのセキュリティチェックシート対応
hirac
September 16, 2022
Tweet
Share
More Decks by hirac
See All by hirac
スタートアップのエンジニア採用広報.pdf
hirac1220
1
290
CTOとしてプロダクト価値を上げるために実施したこと
hirac1220
1
210
BFFとmicroservicesアーキテクチャ
hirac1220
1
490
フルリモート環境でのスクラム開発
hirac1220
1
370
開発リーダーとしてやったことリスト
hirac1220
0
1.4k
Other Decks in Technology
See All in Technology
実務への応用例から考える 変更に強いオブジェクト指向設計 / 20240324-ooc2024
bengo4com
7
4.5k
Azureコストは水道代/The_47th_Tokyo_Jazug
aeonpeople
3
350
単回帰分析について数式を追いながら実装してみた
kentaitakura
0
490
Cloud Deploy と仲良くなりたい
phaya72
1
100
10分でわかるfreeeのQA
freee
0
210
社内共通ルールを値オブジェクトにして社内ライブラリとして運用してみた話
leveragestech
2
720
オブジェクト指向宗教史
tanakahisateru
13
11k
OCI Data Integration技術情報 / ocidi_technical_jp
oracle4engineer
PRO
1
1.5k
なんで私に登壇依頼が?! ~頼られるエンジニアになるためには~ /
mixi_engineers
PRO
2
200
暗黙知を集積するプラットフォーム : 「健常者エミュレータ事例集」の取り組み
sora32127
1
160
XRミーティング 2024-03-20
1ftseabass
PRO
0
100
Autopsy of a Cascading Outage from a MySQL Crashing Bug
jfg956
0
200
Featured
See All Featured
Fireside Chat
paigeccino
19
2.6k
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3k
Testing 201, or: Great Expectations
jmmastey
27
6.3k
What's new in Ruby 2.0
geeforr
335
31k
Side Projects
sachag
451
41k
Teambox: Starting and Learning
jrom
126
8.4k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.8k
Raft: Consensus for Rubyists
vanstee
130
6.2k
The Mythical Team-Month
searls
214
42k
Agile that works and the tools we love
rasmusluckow
323
20k
Music & Morning Musume
bryan
39
5.5k
Transcript
hirac CTO@sweeep クラウド事業者の セキュリティチェックシート対応
©hirac 1 セキュリティチェックシートの課題と対策 セキュリティチェックシートサンプル セキュリティチェックシートまとめ Point 2 Point 3 Point
©hirac 3 自己紹介 { "日立": "CTスキャナの制御ソフト開発リーダー ", "フィリップス": "医療IT製品のテクサポ・技術リーダー ",
"シーメンス": "医療IT製品のPM", "オリンパス": "クラウドサービスの開発 PM", "CAPS": "電カル・AI問診など開発エンジニア ", "フリーランス": "SREやテックリード", "sweeep": "CTO" , "twitter": "kimi_hira" }
本当に紙をやめたい人のための請求書管理ツール
©hirac 5
©hirac 6 新サービス:sweeep Box
©hirac 1 セキュリティチェックシートの課題と対策 セキュリティチェックシートサンプル セキュリティチェックシートまとめ Point 2 Point 3 Point
©hirac はじめに あくまでクラウド事業者側の視点としての意見です。 ※ 以降セキュリティチェックシート→セキチクと略称
©hirac セキチクとは? クラウド利用者側が使用したいサービスのリスクマネジメントす るためのもの なぜ、セキュリティチェックシートはなくならないのか|大森厚志| note
©hirac クラウド利用者側の視点 利用部門からクラウドサービス使いたいと言われたけど、セ キュリティちゃんとしてるの? なぜ、セキュリティチェックシートはなくならないのか|大森厚志| note
©hirac クラウド事業者側の視点 営業担当から担当者へ大量のExcelシートが送られてくる (明日までに埋めて、とか。。) なぜ、セキュリティチェックシートはなくならないのか|大森厚志| note
©hirac https://twitter.com/aono/status/1537232421300539393?s=20&t=v02gRXRFZpdQamygkGsYCg セキチクマジ時間取られる。。
©hirac Before:セキチクの弊社課題 - 各社バラバラのフォーマット - CTO/CEOが都度埋めてレビューし、時間取られる - 質問ー回答の伝言ラリーが続く
©hirac セキチクの対応方針 - クラウド事業者としてビジネスを展開する上でセキチクの対 応は避けられない - 各社フォーマットがバラバラなため、地道にFAQ蓄積してい くしかない - クラウド事業者に求められているセキュリティ要件を理解
し、どうあるべきか検討するきっかけにしたい - 運用管理面はISMSに準拠、インフラ部分はGoogle Cloud Platformの対応状況を有効活用する
©hirac セキチクの対策 - 各社バラバラのフォーマット → 共通項目を抽出し、回答サンプルを作成 - CTO/CEOが埋めてレビューし、時間取られる → サンプルを元に埋めてからレビュー・不明点回答
- 質問ー回答の伝言ラリーが続く → 教育し、回答サンプルを元に1次回答してもらう
©hirac セキチク仕組み化実施した流れ - 回答サンプルの作成 - 回答フローの策定 現場メンバー → Mgrレビュー →
CTO/CEOレビュー - 回答フロー・サンプルの内容を現場メンバーへ説明
©hirac 1 セキュリティチェックシートの課題と対策 セキュリティチェックシートサンプル セキュリティチェックシートまとめ Point 2 Point 3 Point
©hirac 回答方針 - 対応状況(Yes/No/検討中)明確に。 - 説明を追加。 - 運用管理や規定に関してはISMSに準拠して回答。 - インフラ(PaaS)部分はGCP対応状況参考に回答。
©hirac 共有責任モデル
©hirac FAQカテゴリー - 環境: 推奨スペック・インフラ環境など - 可用性: システムが継続して使えるか - 信頼性:
システムの壊れにくさ - サポート: サポート体制 - データ管理: 暗号化・バックアップ状況など - セキュリティ: 情報資産管理・他要素認証・ ウイルス/不正アクセス対策など
©hirac 環境:推奨スペック(Chromeに準拠) - Windows: Windows 7、Windows 8、Windows 8.1、Windows 10 以降
Intel Pentium 4 以降のプロセッサ - Mac OS X El Capitan 10.11 以降 Chrome ブラウザのシステム要件
©hirac 環境:クラウド環境 GCP (Google Cloud Platform)を採択しております。 Google Cloud におけるデータ セキュリティ
©hirac 可用性:SLA (Service Level Agreement) (総時間 ー 停止した時間) ÷ 総時間
x 100 - SLA99.75% :21h 54m 52s(=約22時間) - SLA99.9%(スリーナイン):約8.76時間 - SLA99.99%(フォーナイン): 259.2秒(=約4分) - SLA99.995%: 129.6秒(=約2分) - SLA99.999%: 25.92秒
©hirac 可用性:ディザスターリカバリ - DBの差分バックアップを定期的に取得しています。 - データのバックアップは別リージョンへも取得しています。
©hirac 可用性:障害時の代替手段 - サーバー・データは2系統となっています。 - バックアップデータも本番と同様のデータ形式です。
©hirac 信頼性:システム監視 ハードウェア、アプリケーションのシステム稼働状況をモニタリング、異常があれば通 知される仕組みとなっています。
©hirac 信頼性:障害通知 - 障害通知プロセス 障害発生時には弊社担当者にアラートが通知され、対応を実施します。 お客様へはサービスサイト上にて報告します。 - 障害通知時間 営業時間内であれば通常1時間以内に通知されます。 ※営業時間外の場合、翌営業日になることがあります。
©hirac 信頼性:ログの取得 - ユーザ操作ログ ユーザアクセス/操作ログは閲覧できるように準備中です。 - サーバシステムログ 何か問題発生時にお問合せいただき該当箇所のログ提供など検討します (直接閲覧は今のところ検討しておりません)。
©hirac データの管理:暗号化 - データの暗号化 DB及びデータは保存時にAESで暗号化されています。 - 通信の暗号化 TLS1.2で通信を暗号化しております。 Google Cloud
での保存時の暗号化
©hirac データの管理:バックアップ - バックアップ DBは差分バックアップを定期実行し保有しております。 - バックアップ冗長化 データ領域のバックアップは、サービスが稼働してい る環境とは 異なる場所へ複製しております。
©hirac セキュリティ:公的認証 ISO27001(ISMS: Information Security Management System 情報セキュリティマネ ジメントシステム)を取得しております。
©hirac セキュリティ:脆弱性診断 - 定期: 定期で自動実行しております。 - 都度: サービス立上げ時など大きな変更があった場合は外部ベンダーによる 脆弱性診断を実施しております。
©hirac セキュリティ:情報資産の取扱い - 情報資産管理 ISMSにて情報資産の管理を規定しております。 - インシデント時のトレーサビリティ システムログを取得しております。
©hirac セキュリティ:多要素認証 2要素認証に対応しています。
©hirac セキュリティ:ウイルス対策 ウイルス対策ソフトをインストールしております。
©hirac セキュリティ:不正アクセス対策 - 不正アクセス遮断 Firewall/WAFで不正アクセスは遮断しております。 - 不正アクセス検知 IDS/IPSを導入しております。
©hirac GCPセキュリティ概要:セキチク該当箇所 システム監視/通知 ロギング 冗長化/暗号化 権限管理 不正検知
©hirac 1 セキュリティチェックシートの課題と対策 セキュリティチェックシートサンプル セキュリティチェックシートまとめ Point 2 Point 3 Point
©hirac After:セキチクの弊社課題 - 各社バラバラのフォーマット → 質問・回答サンプルを作成した - CTO/CEOが埋めてレビューし、時間取られる → サンプルを元に埋めてもらって負担を分担
- 質問ー回答の伝言ラリーが続く → 教育による現場メンバーリテラシー向上により 1次回答可能にした
©hirac 今後の課題 - コンテナ化などよりマネージドサービス利用における対策と Update - セキュリティ状況を開示 - 利用者側で記入してもらうよう促す セキュリティに関する書類に回答を記入してもらえませんか?
– Backlog ヘルプセンター
©hirac ヌーラボ社:情報開示と有料化 セキュリティに関する書類に回答を記入してもらえませんか? – Backlog ヘルプセンター
©hirac 所感 - クラウド事業者側は自社のサービスのセキュリティ見直しや 向上につなげる。 - クラウド利用者側は自社のリスクマネジメントしつつDXを進 めたいはず。クラウド事業者側の使用している技術スタック やセキュリティに対する考えを考慮しつつ、セキチクの最適 化をお願いできれば。
©hirac 参考資料 ・https://twitter.com/aono/status/1537232421300539393 ・セキュリティチェックシート問題を解決するための大まかな課題設定 ・なぜ、セキュリティチェックシートはなくならないのか|大森厚志|note ・日本と海外のクラウドサービスのセキュリティチェックシートの現状と課題 ・セキュリティに関する書類に回答を記入してもらえませんか? – Backlog ヘルプセンター
・Google Cloud が取り組んでいるセキュリティ/プライバシー保護 ・Google Cloud のセキュリティの概要 ・Google Cloud におけるデータ セキュリティ ・Chrome ブラウザのシステム要件 ・Google Cloud での保存時の暗号化
©hirac Thank you!