$30 off During Our Annual Pro Sale. View Details »

FISCから学ぶAWSセキュリティことはじめ.pdf

iselegant
January 29, 2020
Technology
9
3.3k

 FISCから学ぶAWSセキュリティことはじめ.pdf

iselegant

January 29, 2020
Tweet

More Decks by iselegant

See All by iselegant
サーバーレスファーストで考えるクレジットカードビジネスの最適化 / Business Optimization for Credit Card by Serverless
iselegant
6
820
全AWSエンジニアに捧ぐ、CloudWatch 設計・運用 虎の巻 / CloudWatch design and operation bible
iselegant
34
14k
ECS Service Connectによるサービスの新しいつなぎ方 / A new way to connect services with ECS Service Connect
iselegant
12
5.4k
PCI DSS準拠から学ぶサステナブルなAWSクラウドネイティブの運用 / Sustainable PCIDSS operation on AWS
iselegant
14
6k
アーキテクトに求められるマインドとは / mindset for an architect
iselegant
24
9.7k
コンテナ・サーバレスがもたらす世界と開発者がAWS上で取り組むべきこと / Containers and Serverless Technology for Developers
iselegant
9
14k
SRE on AWSのことはじめ / SRE on AWS
iselegant
9
4.3k
AWSにおけるアプリチームとインフラチームのコワーク設計 / Co-working Design about App and Infra on AWS
iselegant
5
5.3k
「なんでAWS選んだんですか?」
iselegant
18
14k

Other Decks in Technology

See All in Technology
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
0
150
APIシナリオテストツールとしてのrunn / 4 API testing tools
k1low
1
440
SRE推進における失敗と成功 〜く"し"け"な"い"〜 - NIFTY Tech Day 2023
niftycorp
0
120
LINEでのコミュニケーションにマスコットキーホルダーを使ってみる / LINEを使ったLT大会 #5
you
PRO
0
110
LINE WORKS 最新メジャーアップデート(v3.8)勉強会
lwug
0
150
提案段階のVS CodeのチャットエージェントAPIを動かしてみた
masa5555
0
130
生成AIでシステム開発はどう変わるか
etaroid
18
7.6k
VS CodeとPostmanを活用した効率的なAPI開発 / Efficient API development using VS Code and Postman
yokawasa
3
330
開発チーム横断タスクフォース 「Goサブ会」の 運用事例と今後の展望
stefafafan
0
110
DMMプラットフォームにおける GKE を利用した プラットフォームエンジニアリングへの 取り組み
pospome
1
180
APIテスト導入から2年。アジャイルな組織で見えてきたmabl活用の道
bengo4com
0
1.9k
AWS re:Invent 2023の主要キーノート4つ全部を15分でおさらい
minorun365
PRO
1
200

Featured

See All Featured
Building Effective Engineering Teams - LeadDev
addyosmani
22
1.2k
Scaling GitHub
holman
455
140k
How to Ace a Technical Interview
jacobian
272
22k
The Art of Programming - Codeland 2020
erikaheidi
39
12k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
15
1.7k
Fontdeck: Realign not Redesign
paulrobertlloyd
74
4.7k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
240
20k
Code Review Best Practice
trishagee
53
14k
Fashionably flexible responsive web design (full day workshop)
malarkey
396
64k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
185
15k
Ruby is Unlike a Banana
tanoku
93
10k
Pencils Down: Stop Designing & Start Developing
hursman
115
11k

Transcript

  1. FISCから学ぶ
    AWSセキュリティことはじめ
    野村総合研究所
    新井 雅也
    JAWS-UG 初⼼者⽀部#22 Fin-JAWSコラボ会

    View Slide

  2. *OUSPEVDUJPO
    @msy78

    View Slide

  3. FISCから学ぶAWSセキュリティことはじめ
    FISCガイドラインをベースに
    AWSセキュリティ設計を俯瞰できる
    ! お伝えしないこと !
    ・各AWSサービスの詳細内容や実装⽅法、テクニック
    (それを話すには時間が⾜りない…)
    本⽇お伝えしたいこと

    View Slide

  4. FISCから学ぶAWSセキュリティことはじめ
    ⾦融系ITサービスを提供する上でのFISCガイドライン
    AWSとFISCガイドラインの関係性
    FISCガイドラインからセキュリティ項⽬を俯瞰する
    本⽇のアジェンダ
    FISCガイドライン準拠の上でのユースケース
    まとめ

    View Slide

  5. FISCから学ぶAWSセキュリティことはじめ
    本⽇のアジェンダ
    ⾦融系ITサービスを提供する上でのFISCガイドライン
    AWSとFISCガイドラインの関係性
    FISCガイドラインからセキュリティ項⽬を俯瞰する
    FISCガイドライン準拠の上でのユースケース
    まとめ

    View Slide

  6. AWS x ⾦融と聞いて、
    どのようなキーワードを思い浮かべますか?

    View Slide

  7. プライベートブラウジングモードでGoogleのサジェストを⾒てみると…

    View Slide

  8. プライベートブラウジングモードでGoogleのサジェストを⾒てみると…
    法令遵守の観点が意識されている
    のか、準拠すべきルールがある?
    やはりセキュリティ要件を気にし
    ている?

    View Slide

  9. 準拠すべきシステムのガイドラインが存在
    ・⾦融機関がITサービスを提供する際の健全性評価の指標として、
    FISCが『⾦融機関等コンピュータシステムの安全対策基準』を提供
    ⾦融系ITサービスを提供する上でのFISCガイドライン
    https://www.fisc.or.jp/
    参考:
    設備関連 138項⽬ 技術関連 53項⽬ 運⽤関連 115項⽬
    ・セキュリティ対策などの技術項⽬に加え、設備や運⽤に関する基準を提供
    FISCガイドライン
    (第8版+追補改訂版)

    View Slide

  10. ⾦融系サービスはFISCガイドラインの準拠が重要!
    (以前は⾦融庁の検査マニュアルにも記載があった)

    View Slide

  11. FISCから学ぶAWSセキュリティことはじめ
    本⽇のアジェンダ
    ⾦融系ITサービスを提供する上でのFISCガイドライン
    AWSとFISCガイドラインの関係性
    FISCガイドラインからセキュリティ項⽬を俯瞰する
    FISCガイドライン準拠の上でのユースケース
    まとめ

    View Slide

  12. セキュリティはAWSにとっても最重要項⽬の⼀つ
    AWSとFISCガイドラインの関係性
    https://d1.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf
    ホワイトペーパー「 AWS セキュリティのベスト プラクティス ‒ 概要」より引⽤
    アマゾン ウェブ サービス (AWS) のお客様にとって最も重要なこと
    は、情報のセ キュリティです。セキュリティは、偶発的または意図
    的な盗難、漏洩、不整合、 削除からミッションクリティカルな情報
    を保護する機能要件の中核部分です

    View Slide

  13. AWSからFISCガイドライン(第8版)に準拠したリファレンスガイドラインが提供
    AWSとFISCガイドラインの関係性
    https://aws.amazon.com/jp/compliance/fisc/
    参考:

    View Slide

  14. https://d1.awsstatic.com/whitepapers/jp/security/FISC_Document_20120824JP.pdf
    引⽤:
    AWSが提供しているセキュリティリファレンス(⼀部抜粋)

    View Slide

  15. しかし、、

    View Slide

  16. AWS利⽤者側も対応が必要な項⽬が多数あり
    AWSとFISCガイドラインの関係性
    https://aws.amazon.com/jp/compliance/fisc/
    参考:
    FISC 安全対策基準・解説書では、設備、運⽤および技術といった広範囲にわたるシステムの
    安全性に関する管理策が⽰されています。お客様がAWS環境をご利⽤になる際には、責任共有
    モデルに基づき、AWSの対応、あるいはお客様の対応等という形で責任の範囲を明確にした上
    で、各要件に応じた対策や確認を実施する必要があります。
    https://aws.amazon.com/jp/compliance/shared-responsibility-model/

    View Slide

  17. FISCから学ぶAWSセキュリティことはじめ
    本⽇のアジェンダ
    ⾦融系ITサービスを提供する上でのFISCガイドライン
    AWSとFISCガイドラインの関係性
    FISCガイドラインからセキュリティ項⽬を俯瞰する
    FISCガイドライン準拠の上でのユースケース
    まとめ

    View Slide

  18. FISCガイドラインを俯瞰するとセキュリティ/運⽤実装のポイントが⾒えてくる
    FISCガイドラインからセキュリティ項⽬を俯瞰する
    ウイルス対策(脆弱性保護)
    FISCガイドライン
    (第8版+追補改定版)
    本⼈確認
    ファシリティ(建物/電源/空調/回線/⼊退室管理、等)
    不正アクセス対策
    運⽤体制や⼿順書の整備
    データ保護(漏洩対策)
    障害の早期発⾒と回復
    (運⽤監視)
    ⼤規模災害対策(⼆重化等)
    暗号鍵の管理
    ソフトウェア管理
    データバック
    アップ運⽤
    履歴管理
    (アクセスログ/
    作業ログ…)
    準拠が必要
    (AWSリソースで対応)
    準拠が不要
    (AWSリソース外で対応)
    凡例
    セキュリティ/運⽤カットで集約した項⽬
    リソース管理
    抑⽌ 予防 検出 回復
    AWSセキュリティ
    リファレンス

    View Slide

  19. FISCから学ぶAWSセキュリティことはじめ
    本⽇のアジェンダ
    ⾦融系ITサービスを提供する上でのFISCガイドライン
    AWSとFISCガイドラインの関係性
    FISCガイドラインからセキュリティ項⽬を俯瞰する
    FISCガイドライン準拠の上でのユースケース
    まとめ

    View Slide

  20. シンプルなALB+EC2+RDS構成で各FISCガイドライン観点で考察してみます
    FISCガイドライン準拠のユースケース

    View Slide

  21. NWやデータの暗号化はもちろん、データの内容によってはAppレベルで暗号化
    FISCガイドライン準拠のユースケース
    データ保護(漏洩対策)
    ACM

    View Slide

  22. 暗号鍵はKMSに集約させるケースが多い。保護レベル要件に応じてCloudHSMも検討
    FISCガイドライン準拠のユースケース
    暗号鍵の管理

    View Slide

  23. Systems Managerのインベントリ情報やリポジトリツールでSW全体を管理
    FISCガイドライン準拠のユースケース
    ソフトウェア管理

    View Slide

  24. CloudWatchメトリクスベースでリソース管理
    FISCガイドライン準拠のユースケース
    リソース管理

    View Slide

  25. AWSが提供する不正予防&検出系のサービスは割と⼿厚い印象
    FISCガイドライン準拠のユースケース
    不正アクセス対策

    View Slide

  26. ウイルス対策ソフトウェアはサードパーティ製を利⽤
    FISCガイドライン準拠のユースケース
    ウイルス対策

    View Slide

  27. AWSレベルはIAM、Appレベルは⾃前で⽤意することが多い
    FISCガイドライン準拠のユースケース
    本⼈確認

    View Slide

  28. マルチAZは必須、データ保持要件次第でマルチリージョン化
    FISCガイドライン準拠のユースケース
    ⼤規模災害対策

    View Slide

  29. CloudTrail有効化は必須、他は要件に併せてCloudWatchやKinesis->S3など
    FISCガイドライン準拠のユースケース
    履歴管理
    (アクセスログ/作業ログ…)

    View Slide

  30. CloudWatchアラームをベースに通知実装が可能
    FISCガイドライン準拠のユースケース
    障害の早期発⾒と回復
    (運⽤監視)

    View Slide

  31. FISCから学ぶAWSセキュリティことはじめ
    本⽇のアジェンダ
    ⾦融系ITサービスを提供する上でのFISCガイドライン
    AWSとFISCガイドラインの関係性
    FISCガイドラインからセキュリティ項⽬を俯瞰する
    FISCガイドライン準拠の上でのユースケース
    まとめ

    View Slide

  32. まとめ
    ・⾦融系ITサービスの健全性指標としてFISCガイドライン
    ・AWSでも上記に準拠する形でリファレンスを提供
    ・FISCガイドラインをベースにAWSセキュリティ設計を俯瞰できる
    パブリッククラウドはインターネット越しの利⽤が前提
    # どのようにして多層防御を⾏うか
    まずは、実装可能な項⽬をすべて洗い出してみることも⼤切
    # その後、コストとのバランスで採⽤可否を判断

    View Slide

  33. FISCの最新版は第8版ではなく、実は第9版です!
    最後に
    2020年1⽉29⽇時点では、
    AWSからFISCガイドライン第9版に関する
    リファレンスガイドが掲⽰されていない様⼦。
    AWSさん、なにとぞ…!!

    View Slide

  34. ほんの少しだけ宣伝させてください…
    最後の最後に…
    https://booth.pm/ja/items/1563844
    僕のAWS師匠である佐々⽊さんがIAMに特化した本を出しました。
    IAMを踏み込んで理解したい⽅、是⾮お⼿に取ってみてください。

    View Slide

  35. ご清聴いただきありがとうございました。

    View Slide