クラウドサービスベンダーのセキュリティチェックシート対応

hirac CTO@sweeep クラウド事業者のセキュリティチェックシート対応

©hirac 1 セキュリティチェックシートの課題と対策セキュリティチェックシートサンプルセキュリティチェックシートまとめ Point 2 Point 3 Point

©hirac 3 自己紹介 { "日立": "CTスキャナの制御ソフト開発リーダー ", "フィリップス": "医療IT製品のテクサポ・技術リーダー ",
"シーメンス": "医療IT製品のPM", "オリンパス": "クラウドサービスの開発 PM", "CAPS": "電カル・AI問診など開発エンジニア ", "フリーランス": "SREやテックリード", "sweeep": "CTO" , "twitter": "kimi_hira" }

本当に紙をやめたい人のための請求書管理ツール

©hirac 5

©hirac 6 新サービス：sweeep Box

©hirac はじめにあくまでクラウド事業者側の視点としての意見です。 ※ 以降セキュリティチェックシート→セキチクと略称

©hirac セキチクとは？クラウド利用者側が使用したいサービスのリスクマネジメントするためのものなぜ、セキュリティチェックシートはなくならないのか｜大森厚志｜ note

©hirac クラウド利用者側の視点利用部門からクラウドサービス使いたいと言われたけど、セキュリティちゃんとしてるの？なぜ、セキュリティチェックシートはなくならないのか｜大森厚志｜ note

©hirac クラウド事業者側の視点営業担当から担当者へ大量のExcelシートが送られてくる (明日までに埋めて、とか。。) なぜ、セキュリティチェックシートはなくならないのか｜大森厚志｜ note

©hirac https://twitter.com/aono/status/1537232421300539393?s=20&t=v02gRXRFZpdQamygkGsYCg セキチクマジ時間取られる。。

©hirac Before：セキチクの弊社課題 - 各社バラバラのフォーマット - CTO/CEOが都度埋めてレビューし、時間取られる - 質問ー回答の伝言ラリーが続く

©hirac セキチクの対応方針 - クラウド事業者としてビジネスを展開する上でセキチクの対応は避けられない - 各社フォーマットがバラバラなため、地道にFAQ蓄積していくしかない - クラウド事業者に求められているセキュリティ要件を理解
し、どうあるべきか検討するきっかけにしたい - 運用管理面はISMSに準拠、インフラ部分はGoogle Cloud Platformの対応状況を有効活用する

©hirac セキチクの対策 - 各社バラバラのフォーマット → 共通項目を抽出し、回答サンプルを作成 - CTO/CEOが埋めてレビューし、時間取られる → サンプルを元に埋めてからレビュー・不明点回答
- 質問ー回答の伝言ラリーが続く → 教育し、回答サンプルを元に1次回答してもらう

©hirac セキチク仕組み化実施した流れ - 回答サンプルの作成 - 回答フローの策定現場メンバー → Mgrレビュー →
CTO/CEOレビュー - 回答フロー・サンプルの内容を現場メンバーへ説明

©hirac 回答方針 - 対応状況(Yes/No/検討中)明確に。 - 説明を追加。 - 運用管理や規定に関してはISMSに準拠して回答。 - インフラ(PaaS)部分はGCP対応状況参考に回答。

©hirac 共有責任モデル

©hirac FAQカテゴリー - 環境：推奨スペック・インフラ環境など - 可用性：システムが継続して使えるか - 信頼性：
システムの壊れにくさ - サポート：サポート体制 - データ管理：暗号化・バックアップ状況など - セキュリティ：情報資産管理・他要素認証・ウイルス/不正アクセス対策など

©hirac 環境：推奨スペック(Chromeに準拠) - Windows： Windows 7、Windows 8、Windows 8.1、Windows 10 以降
Intel Pentium 4 以降のプロセッサ - Mac OS X El Capitan 10.11 以降 Chrome ブラウザのシステム要件

©hirac 環境：クラウド環境 GCP (Google Cloud Platform)を採択しております。 Google Cloud におけるデータセキュリティ
　　　　　

©hirac 可用性：SLA (Service Level Agreement) (総時間ー停止した時間) ÷ 総時間
x 100 - SLA99.75% ：21h 54m 52s（＝約22時間） - SLA99.9％（スリーナイン）：約8.76時間 - SLA99.99％（フォーナイン）： 259.2秒（＝約4分） - SLA99.995％： 129.6秒（＝約2分） - SLA99.999％： 25.92秒

©hirac 可用性：ディザスターリカバリ - DBの差分バックアップを定期的に取得しています。 - データのバックアップは別リージョンへも取得しています。　　　　　

©hirac 可用性：障害時の代替手段 - サーバー・データは2系統となっています。 - バックアップデータも本番と同様のデータ形式です。　　　　　

©hirac 信頼性：システム監視ハードウェア、アプリケーションのシステム稼働状況をモニタリング、異常があれば通知される仕組みとなっています。　　　　　

©hirac 信頼性：障害通知 - 障害通知プロセス障害発生時には弊社担当者にアラートが通知され、対応を実施します。お客様へはサービスサイト上にて報告します。 - 障害通知時間営業時間内であれば通常1時間以内に通知されます。 ※営業時間外の場合、翌営業日になることがあります。

©hirac 信頼性：ログの取得 - ユーザ操作ログユーザアクセス/操作ログは閲覧できるように準備中です。 - サーバシステムログ何か問題発生時にお問合せいただき該当箇所のログ提供など検討します (直接閲覧は今のところ検討しておりません)。

©hirac データの管理：暗号化 - データの暗号化 DB及びデータは保存時にAESで暗号化されています。 - 通信の暗号化 TLS1.2で通信を暗号化しております。 Google Cloud
での保存時の暗号化

©hirac データの管理：バックアップ - バックアップ DBは差分バックアップを定期実行し保有しております。 - バックアップ冗長化データ領域のバックアップは、サービスが稼働している環境とは異なる場所へ複製しております。

©hirac After：セキチクの弊社課題 - 各社バラバラのフォーマット → 質問・回答サンプルを作成した - CTO/CEOが埋めてレビューし、時間取られる → サンプルを元に埋めてもらって負担を分担
- 質問ー回答の伝言ラリーが続く → 教育による現場メンバーリテラシー向上により 1次回答可能にした

©hirac 今後の課題 - コンテナ化などよりマネージドサービス利用における対策と Update - セキュリティ状況を開示 - 利用者側で記入してもらうよう促すセキュリティに関する書類に回答を記入してもらえませんか？
– Backlog ヘルプセンター

©hirac 所感 - クラウド事業者側は自社のサービスのセキュリティ見直しや向上につなげる。 - クラウド利用者側は自社のリスクマネジメントしつつDXを進めたいはず。クラウド事業者側の使用している技術スタックやセキュリティに対する考えを考慮しつつ、セキチクの最適化をお願いできれば。

©hirac 参考資料・https://twitter.com/aono/status/1537232421300539393 ・セキュリティチェックシート問題を解決するための大まかな課題設定・なぜ、セキュリティチェックシートはなくならないのか｜大森厚志｜note ・日本と海外のクラウドサービスのセキュリティチェックシートの現状と課題・セキュリティに関する書類に回答を記入してもらえませんか？ – Backlog ヘルプセンター
・Google Cloud が取り組んでいるセキュリティ/プライバシー保護・Google Cloud のセキュリティの概要・Google Cloud におけるデータセキュリティ・Chrome ブラウザのシステム要件・Google Cloud での保存時の暗号化

クラウドサービスベンダーのセキュリティチェックシート対応

クラウドサービスベンダーのセキュリティチェックシート対応

More Decks by hirac

Other Decks in Technology

Featured

Transcript