Upgrade to Pro — share decks privately, control downloads, hide ads and more …

FISCから学ぶAWSセキュリティことはじめ.pdf

C636093440dd4a8be6416e83cb980979?s=47 iselegant
January 29, 2020
Technology
9
2.8k

 FISCから学ぶAWSセキュリティことはじめ.pdf

C636093440dd4a8be6416e83cb980979?s=128

iselegant

January 29, 2020
Tweet

More Decks by iselegant

See All by iselegant
コンテナ・サーバレスがもたらす世界と開発者がAWS上で取り組むべきこと / Containers and Serverless Technology for Developers
C636093440dd4a8be6416e83cb980979?s=48 iselegant
9
11k
SRE on AWSのことはじめ / SRE on AWS
C636093440dd4a8be6416e83cb980979?s=48 iselegant
8
2.9k
AWSにおけるアプリチームとインフラチームのコワーク設計 / Co-working Design about App and Infra on AWS
C636093440dd4a8be6416e83cb980979?s=48 iselegant
5
3.8k
why-aws.pdf
C636093440dd4a8be6416e83cb980979?s=48 iselegant
18
13k
20210628_JAWSUG-container-19-final.pdf
C636093440dd4a8be6416e83cb980979?s=48 iselegant
2
2.3k
「そのコンテナ、安全ですか?」〜AWS x DevSecOpsで実践するコンテナセキュリティ〜 / Is that container safe?
C636093440dd4a8be6416e83cb980979?s=48 iselegant
16
4k
Bastion ~ AWS Fargateで実現するサーバーレスな踏み台設計 / Bastion using AWS Fargate
C636093440dd4a8be6416e83cb980979?s=48 iselegant
16
11k
Copilotによるお手軽3分ECSクッキング / The Cooking of AWS Copilot
C636093440dd4a8be6416e83cb980979?s=48 iselegant
9
1.4k
金融系サービスで ECS/Fargateを設計するということ
C636093440dd4a8be6416e83cb980979?s=48 iselegant
23
11k

Other Decks in Technology

See All in Technology
Devに力を授けたいSREのあゆみ / SRE that wants to empower developers
E12b5afe5b4e6552019c09d6ac4128c3?s=48 tocyuki
3
480
LINEのData Platform室が実践する大規模分散環境のCapacity Planning
A3966f193f4bef226a0d3e3c1f728d7f?s=48 line_developers
PRO
0
530
Scrum Fest Niigata 2022 開発エンジニアに聞いてみよう!
478bd912a17b65fa0ab8c1d81912b9b1?s=48 moritamasami
1
280
ITエンジニアを取り巻く環境とキャリアパス / A career path for Japanese IT engineers
D2322aa2c45d0190205b3ed8bfdd6717?s=48 takatama
0
590
Graph API について
C0c0e8e4d7f83912cb1b1a0699df82a5?s=48 miyakemito
0
280
SRE_チーム立ち上げから1年_気づいたら_SRE_っぽくない仕事まで貢献しちゃってる説
B35fa97f982d550e358a8c689c3f0fef?s=48 bitkey
PRO
0
2.3k
[SRE NEXT 2022]メルカリグループにおけるSREs
667ad57b416187cb22589158805603b4?s=48 srenext
0
250
Stripe Search APIを利用した、LINEとStripeの顧客情報連携/line-dc-202205
E77ca94266ffd3d69f8aee91f7468264?s=48 stripehideokamoto
0
130
街じゅうを"駅前化"する電動マイクロモビリティのシェアサービス「LUUP」のIoTとSRE
1333e8256b0ba80c369f4bcc98a839d7?s=48 0gm
1
760
testing journey / テストが嫌いでIT業界を離れるはずだったのに〜テスト嫌いが現場で品質改善を実施するまでの物語〜
055e63a40190884fdc17b918c6f6aa7e?s=48 aki_moon
1
350
スクラムマスターの「観察」スキルを掘り下げる / Scrum Fest Niigata 2022
Da40bdb49bfb7a3fc9426dacac78a99c?s=48 ama_ch
0
660
A1A会社紹介資料-2022-05-20
154d77627bc95f4eb226c722023b5168?s=48 a1a
2
1.1k

Featured

See All Featured
Making Projects Easy
C4de88ea47538e4594750e3861a341c8?s=48 brettharned
98
4.3k
Building Better People: How to give real-time feedback that sticks.
9952dfcd5d338f8a8e7175c8a8f65fb5?s=48 wjessup
343
17k
Web development in the modern age
465724d73fe3a92c0879fdfb43a3a6f3?s=48 philhawksworth
197
9.3k
WebSockets: Embracing the real-time Web
E76911cbe088e5b850d966de3fc7435b?s=48 robhawkes
57
5k
Large-scale JavaScript Application Architecture
96270e4c3e5e9806cf7245475c00b275?s=48 addyosmani
499
110k
Raft: Consensus for Rubyists
B6a8f005f39d23ffc930508ac9da68b9?s=48 vanstee
126
5.4k
Build The Right Thing And Hit Your Dates
016edace78ffe826f2348d1e0c504afd?s=48 maggiecrowley
19
1.1k
Fantastic passwords and where to find them - at NoRuKo
8ec1383b240b5ba15ffb9743fceb3c0e?s=48 philnash
25
1.5k
A Philosophy of Restraint
C9b18d9dff88a9dd2393364c2b3b21bd?s=48 colly
192
14k
Adopting Sorbet at Scale
2bb923c57a1fdc3a2eb484bb8d565fd2?s=48 ufuk
63
7.5k
5 minutes of I Can Smell Your CMS
465724d73fe3a92c0879fdfb43a3a6f3?s=48 philhawksworth
196
18k
Robots, Beer and Maslow
9375a9529679f1b42b567a640d775e7d?s=48 schacon
152
7.1k

Transcript

  1. FISCから学ぶ AWSセキュリティことはじめ 野村総合研究所 新井 雅也 JAWS-UG 初⼼者⽀部#22 Fin-JAWSコラボ会

  2. *OUSPEVDUJPO @msy78

  3. FISCから学ぶAWSセキュリティことはじめ FISCガイドラインをベースに AWSセキュリティ設計を俯瞰できる ! お伝えしないこと ! ・各AWSサービスの詳細内容や実装⽅法、テクニック (それを話すには時間が⾜りない…) 本⽇お伝えしたいこと

  4. FISCから学ぶAWSセキュリティことはじめ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する 本⽇のアジェンダ FISCガイドライン準拠の上でのユースケース まとめ

  5. FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ

  6. AWS x ⾦融と聞いて、 どのようなキーワードを思い浮かべますか?

  7. プライベートブラウジングモードでGoogleのサジェストを⾒てみると…

  8. プライベートブラウジングモードでGoogleのサジェストを⾒てみると… 法令遵守の観点が意識されている のか、準拠すべきルールがある? やはりセキュリティ要件を気にし ている?

  9. 準拠すべきシステムのガイドラインが存在 ・⾦融機関がITサービスを提供する際の健全性評価の指標として、 FISCが『⾦融機関等コンピュータシステムの安全対策基準』を提供 ⾦融系ITサービスを提供する上でのFISCガイドライン https://www.fisc.or.jp/ 参考: 設備関連 138項⽬ 技術関連 53項⽬

    運⽤関連 115項⽬ ・セキュリティ対策などの技術項⽬に加え、設備や運⽤に関する基準を提供 FISCガイドライン (第8版+追補改訂版)

  10. ⾦融系サービスはFISCガイドラインの準拠が重要! (以前は⾦融庁の検査マニュアルにも記載があった)

  11. FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ

  12. セキュリティはAWSにとっても最重要項⽬の⼀つ AWSとFISCガイドラインの関係性 https://d1.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf ホワイトペーパー「 AWS セキュリティのベスト プラクティス ‒ 概要」より引⽤ アマゾン

    ウェブ サービス (AWS) のお客様にとって最も重要なこと は、情報のセ キュリティです。セキュリティは、偶発的または意図 的な盗難、漏洩、不整合、 削除からミッションクリティカルな情報 を保護する機能要件の中核部分です

  13. AWSからFISCガイドライン(第8版)に準拠したリファレンスガイドラインが提供 AWSとFISCガイドラインの関係性 https://aws.amazon.com/jp/compliance/fisc/ 参考:

  14. https://d1.awsstatic.com/whitepapers/jp/security/FISC_Document_20120824JP.pdf 引⽤: AWSが提供しているセキュリティリファレンス(⼀部抜粋)

  15. しかし、、

  16. AWS利⽤者側も対応が必要な項⽬が多数あり AWSとFISCガイドラインの関係性 https://aws.amazon.com/jp/compliance/fisc/ 参考: FISC 安全対策基準・解説書では、設備、運⽤および技術といった広範囲にわたるシステムの 安全性に関する管理策が⽰されています。お客様がAWS環境をご利⽤になる際には、責任共有 モデルに基づき、AWSの対応、あるいはお客様の対応等という形で責任の範囲を明確にした上 で、各要件に応じた対策や確認を実施する必要があります。 https://aws.amazon.com/jp/compliance/shared-responsibility-model/

  17. FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ

  18. FISCガイドラインを俯瞰するとセキュリティ/運⽤実装のポイントが⾒えてくる FISCガイドラインからセキュリティ項⽬を俯瞰する ウイルス対策(脆弱性保護) FISCガイドライン (第8版+追補改定版) 本⼈確認 ファシリティ(建物/電源/空調/回線/⼊退室管理、等) 不正アクセス対策 運⽤体制や⼿順書の整備 データ保護(漏洩対策)

    障害の早期発⾒と回復 (運⽤監視) ⼤規模災害対策(⼆重化等) 暗号鍵の管理 ソフトウェア管理 データバック アップ運⽤ 履歴管理 (アクセスログ/ 作業ログ…) 準拠が必要 (AWSリソースで対応) 準拠が不要 (AWSリソース外で対応) 凡例 セキュリティ/運⽤カットで集約した項⽬ リソース管理 抑⽌ 予防 検出 回復 AWSセキュリティ リファレンス

  19. FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ

  20. シンプルなALB+EC2+RDS構成で各FISCガイドライン観点で考察してみます FISCガイドライン準拠のユースケース

  21. NWやデータの暗号化はもちろん、データの内容によってはAppレベルで暗号化 FISCガイドライン準拠のユースケース データ保護(漏洩対策) ACM

  22. 暗号鍵はKMSに集約させるケースが多い。保護レベル要件に応じてCloudHSMも検討 FISCガイドライン準拠のユースケース 暗号鍵の管理

  23. Systems Managerのインベントリ情報やリポジトリツールでSW全体を管理 FISCガイドライン準拠のユースケース ソフトウェア管理

  24. CloudWatchメトリクスベースでリソース管理 FISCガイドライン準拠のユースケース リソース管理

  25. AWSが提供する不正予防&検出系のサービスは割と⼿厚い印象 FISCガイドライン準拠のユースケース 不正アクセス対策

  26. ウイルス対策ソフトウェアはサードパーティ製を利⽤ FISCガイドライン準拠のユースケース ウイルス対策

  27. AWSレベルはIAM、Appレベルは⾃前で⽤意することが多い FISCガイドライン準拠のユースケース 本⼈確認

  28. マルチAZは必須、データ保持要件次第でマルチリージョン化 FISCガイドライン準拠のユースケース ⼤規模災害対策

  29. CloudTrail有効化は必須、他は要件に併せてCloudWatchやKinesis->S3など FISCガイドライン準拠のユースケース 履歴管理 (アクセスログ/作業ログ…)

  30. CloudWatchアラームをベースに通知実装が可能 FISCガイドライン準拠のユースケース 障害の早期発⾒と回復 (運⽤監視)

  31. FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ

  32. まとめ ・⾦融系ITサービスの健全性指標としてFISCガイドライン ・AWSでも上記に準拠する形でリファレンスを提供 ・FISCガイドラインをベースにAWSセキュリティ設計を俯瞰できる パブリッククラウドはインターネット越しの利⽤が前提 # どのようにして多層防御を⾏うか まずは、実装可能な項⽬をすべて洗い出してみることも⼤切 # その後、コストとのバランスで採⽤可否を判断

  33. FISCの最新版は第8版ではなく、実は第9版です! 最後に 2020年1⽉29⽇時点では、 AWSからFISCガイドライン第9版に関する リファレンスガイドが掲⽰されていない様⼦。 AWSさん、なにとぞ…!!

  34. ほんの少しだけ宣伝させてください… 最後の最後に… https://booth.pm/ja/items/1563844 僕のAWS師匠である佐々⽊さんがIAMに特化した本を出しました。 IAMを踏み込んで理解したい⽅、是⾮お⼿に取ってみてください。

  35. ご清聴いただきありがとうございました。