Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
クラウドサービスベンダーのセキュリティチェックシート対応
Search
hirac
September 16, 2022
Technology
0
290
クラウドサービスベンダーのセキュリティチェックシート対応
hirac
September 16, 2022
Tweet
Share
More Decks by hirac
See All by hirac
スタートアップのエンジニア採用広報.pdf
hirac1220
1
320
CTOとしてプロダクト価値を上げるために実施したこと
hirac1220
1
260
BFFとmicroservicesアーキテクチャ
hirac1220
1
740
フルリモート環境でのスクラム開発
hirac1220
1
530
開発リーダーとしてやったことリスト
hirac1220
0
1.6k
Other Decks in Technology
See All in Technology
クラウドセキュリティを支える技術と運用の最前線 / Cutting-edge Technologies and Operations Supporting Cloud Security
yuj1osm
2
310
バッチ処理で悩むバックエンドエンジニアに捧げるAWS Glue入門
diggymo
3
180
スマートファクトリーの第一歩 〜AWSマネージドサービスで 実現する予知保全と生成AI活用まで
ganota
1
190
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
8.7k
LLMを搭載したプロダクトの品質保証の模索と学び
qa
0
1k
Terraformで構築する セルフサービス型データプラットフォーム / terraform-self-service-data-platform
pei0804
1
120
複数サービスを支えるマルチテナント型Batch MLプラットフォーム
lycorptech_jp
PRO
0
270
Webブラウザ向け動画配信プレイヤーの 大規模リプレイスから得た知見と学び
yud0uhu
0
230
フィンテック養成勉強会#56
finengine
0
140
2025年夏 コーディングエージェントを統べる者
nwiizo
0
130
JTCにおける内製×スクラム開発への挑戦〜内製化率95%達成の舞台裏/JTC's challenge of in-house development with Scrum
aeonpeople
0
190
BPaaSにおける人と協働する前提のAIエージェント-AWS登壇資料
kentarofujii
0
130
Featured
See All Featured
Code Reviewing Like a Champion
maltzj
525
40k
Why You Should Never Use an ORM
jnunemaker
PRO
59
9.5k
Facilitating Awesome Meetings
lara
55
6.5k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
187
55k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3k
Typedesign – Prime Four
hannesfritz
42
2.8k
RailsConf 2023
tenderlove
30
1.2k
Raft: Consensus for Rubyists
vanstee
140
7.1k
Thoughts on Productivity
jonyablonski
70
4.8k
Statistics for Hackers
jakevdp
799
220k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4k
Done Done
chrislema
185
16k
Transcript
hirac CTO@sweeep クラウド事業者の セキュリティチェックシート対応
©hirac 1 セキュリティチェックシートの課題と対策 セキュリティチェックシートサンプル セキュリティチェックシートまとめ Point 2 Point 3 Point
©hirac 3 自己紹介 { "日立": "CTスキャナの制御ソフト開発リーダー ", "フィリップス": "医療IT製品のテクサポ・技術リーダー ",
"シーメンス": "医療IT製品のPM", "オリンパス": "クラウドサービスの開発 PM", "CAPS": "電カル・AI問診など開発エンジニア ", "フリーランス": "SREやテックリード", "sweeep": "CTO" , "twitter": "kimi_hira" }
本当に紙をやめたい人のための請求書管理ツール
©hirac 5
©hirac 6 新サービス:sweeep Box
©hirac 1 セキュリティチェックシートの課題と対策 セキュリティチェックシートサンプル セキュリティチェックシートまとめ Point 2 Point 3 Point
©hirac はじめに あくまでクラウド事業者側の視点としての意見です。 ※ 以降セキュリティチェックシート→セキチクと略称
©hirac セキチクとは? クラウド利用者側が使用したいサービスのリスクマネジメントす るためのもの なぜ、セキュリティチェックシートはなくならないのか|大森厚志| note
©hirac クラウド利用者側の視点 利用部門からクラウドサービス使いたいと言われたけど、セ キュリティちゃんとしてるの? なぜ、セキュリティチェックシートはなくならないのか|大森厚志| note
©hirac クラウド事業者側の視点 営業担当から担当者へ大量のExcelシートが送られてくる (明日までに埋めて、とか。。) なぜ、セキュリティチェックシートはなくならないのか|大森厚志| note
©hirac https://twitter.com/aono/status/1537232421300539393?s=20&t=v02gRXRFZpdQamygkGsYCg セキチクマジ時間取られる。。
©hirac Before:セキチクの弊社課題 - 各社バラバラのフォーマット - CTO/CEOが都度埋めてレビューし、時間取られる - 質問ー回答の伝言ラリーが続く
©hirac セキチクの対応方針 - クラウド事業者としてビジネスを展開する上でセキチクの対 応は避けられない - 各社フォーマットがバラバラなため、地道にFAQ蓄積してい くしかない - クラウド事業者に求められているセキュリティ要件を理解
し、どうあるべきか検討するきっかけにしたい - 運用管理面はISMSに準拠、インフラ部分はGoogle Cloud Platformの対応状況を有効活用する
©hirac セキチクの対策 - 各社バラバラのフォーマット → 共通項目を抽出し、回答サンプルを作成 - CTO/CEOが埋めてレビューし、時間取られる → サンプルを元に埋めてからレビュー・不明点回答
- 質問ー回答の伝言ラリーが続く → 教育し、回答サンプルを元に1次回答してもらう
©hirac セキチク仕組み化実施した流れ - 回答サンプルの作成 - 回答フローの策定 現場メンバー → Mgrレビュー →
CTO/CEOレビュー - 回答フロー・サンプルの内容を現場メンバーへ説明
©hirac 1 セキュリティチェックシートの課題と対策 セキュリティチェックシートサンプル セキュリティチェックシートまとめ Point 2 Point 3 Point
©hirac 回答方針 - 対応状況(Yes/No/検討中)明確に。 - 説明を追加。 - 運用管理や規定に関してはISMSに準拠して回答。 - インフラ(PaaS)部分はGCP対応状況参考に回答。
©hirac 共有責任モデル
©hirac FAQカテゴリー - 環境: 推奨スペック・インフラ環境など - 可用性: システムが継続して使えるか - 信頼性:
システムの壊れにくさ - サポート: サポート体制 - データ管理: 暗号化・バックアップ状況など - セキュリティ: 情報資産管理・他要素認証・ ウイルス/不正アクセス対策など
©hirac 環境:推奨スペック(Chromeに準拠) - Windows: Windows 7、Windows 8、Windows 8.1、Windows 10 以降
Intel Pentium 4 以降のプロセッサ - Mac OS X El Capitan 10.11 以降 Chrome ブラウザのシステム要件
©hirac 環境:クラウド環境 GCP (Google Cloud Platform)を採択しております。 Google Cloud におけるデータ セキュリティ
©hirac 可用性:SLA (Service Level Agreement) (総時間 ー 停止した時間) ÷ 総時間
x 100 - SLA99.75% :21h 54m 52s(=約22時間) - SLA99.9%(スリーナイン):約8.76時間 - SLA99.99%(フォーナイン): 259.2秒(=約4分) - SLA99.995%: 129.6秒(=約2分) - SLA99.999%: 25.92秒
©hirac 可用性:ディザスターリカバリ - DBの差分バックアップを定期的に取得しています。 - データのバックアップは別リージョンへも取得しています。
©hirac 可用性:障害時の代替手段 - サーバー・データは2系統となっています。 - バックアップデータも本番と同様のデータ形式です。
©hirac 信頼性:システム監視 ハードウェア、アプリケーションのシステム稼働状況をモニタリング、異常があれば通 知される仕組みとなっています。
©hirac 信頼性:障害通知 - 障害通知プロセス 障害発生時には弊社担当者にアラートが通知され、対応を実施します。 お客様へはサービスサイト上にて報告します。 - 障害通知時間 営業時間内であれば通常1時間以内に通知されます。 ※営業時間外の場合、翌営業日になることがあります。
©hirac 信頼性:ログの取得 - ユーザ操作ログ ユーザアクセス/操作ログは閲覧できるように準備中です。 - サーバシステムログ 何か問題発生時にお問合せいただき該当箇所のログ提供など検討します (直接閲覧は今のところ検討しておりません)。
©hirac データの管理:暗号化 - データの暗号化 DB及びデータは保存時にAESで暗号化されています。 - 通信の暗号化 TLS1.2で通信を暗号化しております。 Google Cloud
での保存時の暗号化
©hirac データの管理:バックアップ - バックアップ DBは差分バックアップを定期実行し保有しております。 - バックアップ冗長化 データ領域のバックアップは、サービスが稼働してい る環境とは 異なる場所へ複製しております。
©hirac セキュリティ:公的認証 ISO27001(ISMS: Information Security Management System 情報セキュリティマネ ジメントシステム)を取得しております。
©hirac セキュリティ:脆弱性診断 - 定期: 定期で自動実行しております。 - 都度: サービス立上げ時など大きな変更があった場合は外部ベンダーによる 脆弱性診断を実施しております。
©hirac セキュリティ:情報資産の取扱い - 情報資産管理 ISMSにて情報資産の管理を規定しております。 - インシデント時のトレーサビリティ システムログを取得しております。
©hirac セキュリティ:多要素認証 2要素認証に対応しています。
©hirac セキュリティ:ウイルス対策 ウイルス対策ソフトをインストールしております。
©hirac セキュリティ:不正アクセス対策 - 不正アクセス遮断 Firewall/WAFで不正アクセスは遮断しております。 - 不正アクセス検知 IDS/IPSを導入しております。
©hirac GCPセキュリティ概要:セキチク該当箇所 システム監視/通知 ロギング 冗長化/暗号化 権限管理 不正検知
©hirac 1 セキュリティチェックシートの課題と対策 セキュリティチェックシートサンプル セキュリティチェックシートまとめ Point 2 Point 3 Point
©hirac After:セキチクの弊社課題 - 各社バラバラのフォーマット → 質問・回答サンプルを作成した - CTO/CEOが埋めてレビューし、時間取られる → サンプルを元に埋めてもらって負担を分担
- 質問ー回答の伝言ラリーが続く → 教育による現場メンバーリテラシー向上により 1次回答可能にした
©hirac 今後の課題 - コンテナ化などよりマネージドサービス利用における対策と Update - セキュリティ状況を開示 - 利用者側で記入してもらうよう促す セキュリティに関する書類に回答を記入してもらえませんか?
– Backlog ヘルプセンター
©hirac ヌーラボ社:情報開示と有料化 セキュリティに関する書類に回答を記入してもらえませんか? – Backlog ヘルプセンター
©hirac 所感 - クラウド事業者側は自社のサービスのセキュリティ見直しや 向上につなげる。 - クラウド利用者側は自社のリスクマネジメントしつつDXを進 めたいはず。クラウド事業者側の使用している技術スタック やセキュリティに対する考えを考慮しつつ、セキチクの最適 化をお願いできれば。
©hirac 参考資料 ・https://twitter.com/aono/status/1537232421300539393 ・セキュリティチェックシート問題を解決するための大まかな課題設定 ・なぜ、セキュリティチェックシートはなくならないのか|大森厚志|note ・日本と海外のクラウドサービスのセキュリティチェックシートの現状と課題 ・セキュリティに関する書類に回答を記入してもらえませんか? – Backlog ヘルプセンター
・Google Cloud が取り組んでいるセキュリティ/プライバシー保護 ・Google Cloud のセキュリティの概要 ・Google Cloud におけるデータ セキュリティ ・Chrome ブラウザのシステム要件 ・Google Cloud での保存時の暗号化
©hirac Thank you!