Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
FISCから学ぶAWSセキュリティことはじめ.pdf
Search
iselegant
January 29, 2020
Technology
10
3.8k
FISCから学ぶAWSセキュリティことはじめ.pdf
iselegant
January 29, 2020
Tweet
Share
More Decks by iselegant
See All by iselegant
Amazon ECS & AWS Fargate 運用アーキテクチャ2025 / Amazon ECS and AWS Fargate Ops Architecture 2025
iselegant
19
9.3k
勝手に!深堀り!Cloud Run worker pools / Deep dive Cloud Run worker pools
iselegant
5
2k
Amazon ECSとCloud Runの相互理解で広げるクラウドネイティブの景色 / Mutually understanding Amazon ECS and Cloud Run
iselegant
20
4.2k
AWSコンテナ本出版から3年経った今、もし改めて執筆し直すなら / If I revise our container book
iselegant
20
6.2k
Amazon ECS & AWS Fargate 今昔物語 / past and present stories of Amazon ECS and AWS Fargate
iselegant
19
5.4k
Binary Authorizationと友達になろう / Let's be friends with Binary Authorization
iselegant
3
440
エンジニアとして成長するための持続可能なアウトプット戦略 / Sustainable Output Strategy
iselegant
6
1.2k
人工衛星管制システムにおけるCICD / CICD in satellite control systems
iselegant
8
1.6k
人工衛星の運用を支えるクラウドネイティブ民主化への取り組み / Efforts toward cloud-native democratization for satellite operations
iselegant
5
1.6k
Other Decks in Technology
See All in Technology
これでもう迷わない!Jetpack Composeの書き方実践ガイド
zozotech
PRO
0
1k
株式会社ログラス - 会社説明資料【エンジニア】/ Loglass Engineer
loglass2019
4
65k
Django's GeneratedField by example - DjangoCon US 2025
pauloxnet
0
150
バイブスに「型」を!Kent Beckに学ぶ、AI時代のテスト駆動開発
amixedcolor
2
580
現場で効くClaude Code ─ 最新動向と企業導入
takaakikakei
1
260
dbt開発 with Claude Codeのためのガードレール設計
10xinc
2
1.3k
RSCの時代にReactとフレームワークの境界を探る
uhyo
10
3.5k
まずはマネコンでちゃちゃっと作ってから、それをCDKにしてみよか。
yamada_r
2
120
LLMを搭載したプロダクトの品質保証の模索と学び
qa
0
1.1k
5年目から始める Vue3 サイト改善 #frontendo
tacck
PRO
3
230
JTCにおける内製×スクラム開発への挑戦〜内製化率95%達成の舞台裏/JTC's challenge of in-house development with Scrum
aeonpeople
0
250
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
8.8k
Featured
See All Featured
We Have a Design System, Now What?
morganepeng
53
7.8k
Designing for Performance
lara
610
69k
For a Future-Friendly Web
brad_frost
180
9.9k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4k
Building a Modern Day E-commerce SEO Strategy
aleyda
43
7.6k
What's in a price? How to price your products and services
michaelherold
246
12k
Producing Creativity
orderedlist
PRO
347
40k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
252
21k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
30
9.7k
Testing 201, or: Great Expectations
jmmastey
45
7.7k
Site-Speed That Sticks
csswizardry
10
820
How to Ace a Technical Interview
jacobian
279
23k
Transcript
FISCから学ぶ AWSセキュリティことはじめ 野村総合研究所 新井 雅也 JAWS-UG 初⼼者⽀部#22 Fin-JAWSコラボ会
*OUSPEVDUJPO @msy78
FISCから学ぶAWSセキュリティことはじめ FISCガイドラインをベースに AWSセキュリティ設計を俯瞰できる ! お伝えしないこと ! ・各AWSサービスの詳細内容や実装⽅法、テクニック (それを話すには時間が⾜りない…) 本⽇お伝えしたいこと
FISCから学ぶAWSセキュリティことはじめ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する 本⽇のアジェンダ FISCガイドライン準拠の上でのユースケース まとめ
FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ
AWS x ⾦融と聞いて、 どのようなキーワードを思い浮かべますか?
プライベートブラウジングモードでGoogleのサジェストを⾒てみると…
プライベートブラウジングモードでGoogleのサジェストを⾒てみると… 法令遵守の観点が意識されている のか、準拠すべきルールがある? やはりセキュリティ要件を気にし ている?
準拠すべきシステムのガイドラインが存在 ・⾦融機関がITサービスを提供する際の健全性評価の指標として、 FISCが『⾦融機関等コンピュータシステムの安全対策基準』を提供 ⾦融系ITサービスを提供する上でのFISCガイドライン https://www.fisc.or.jp/ 参考: 設備関連 138項⽬ 技術関連 53項⽬
運⽤関連 115項⽬ ・セキュリティ対策などの技術項⽬に加え、設備や運⽤に関する基準を提供 FISCガイドライン (第8版+追補改訂版)
⾦融系サービスはFISCガイドラインの準拠が重要! (以前は⾦融庁の検査マニュアルにも記載があった)
FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ
セキュリティはAWSにとっても最重要項⽬の⼀つ AWSとFISCガイドラインの関係性 https://d1.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf ホワイトペーパー「 AWS セキュリティのベスト プラクティス ‒ 概要」より引⽤ アマゾン
ウェブ サービス (AWS) のお客様にとって最も重要なこと は、情報のセ キュリティです。セキュリティは、偶発的または意図 的な盗難、漏洩、不整合、 削除からミッションクリティカルな情報 を保護する機能要件の中核部分です
AWSからFISCガイドライン(第8版)に準拠したリファレンスガイドラインが提供 AWSとFISCガイドラインの関係性 https://aws.amazon.com/jp/compliance/fisc/ 参考:
https://d1.awsstatic.com/whitepapers/jp/security/FISC_Document_20120824JP.pdf 引⽤: AWSが提供しているセキュリティリファレンス(⼀部抜粋)
しかし、、
AWS利⽤者側も対応が必要な項⽬が多数あり AWSとFISCガイドラインの関係性 https://aws.amazon.com/jp/compliance/fisc/ 参考: FISC 安全対策基準・解説書では、設備、運⽤および技術といった広範囲にわたるシステムの 安全性に関する管理策が⽰されています。お客様がAWS環境をご利⽤になる際には、責任共有 モデルに基づき、AWSの対応、あるいはお客様の対応等という形で責任の範囲を明確にした上 で、各要件に応じた対策や確認を実施する必要があります。 https://aws.amazon.com/jp/compliance/shared-responsibility-model/
FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ
FISCガイドラインを俯瞰するとセキュリティ/運⽤実装のポイントが⾒えてくる FISCガイドラインからセキュリティ項⽬を俯瞰する ウイルス対策(脆弱性保護) FISCガイドライン (第8版+追補改定版) 本⼈確認 ファシリティ(建物/電源/空調/回線/⼊退室管理、等) 不正アクセス対策 運⽤体制や⼿順書の整備 データ保護(漏洩対策)
障害の早期発⾒と回復 (運⽤監視) ⼤規模災害対策(⼆重化等) 暗号鍵の管理 ソフトウェア管理 データバック アップ運⽤ 履歴管理 (アクセスログ/ 作業ログ…) 準拠が必要 (AWSリソースで対応) 準拠が不要 (AWSリソース外で対応) 凡例 セキュリティ/運⽤カットで集約した項⽬ リソース管理 抑⽌ 予防 検出 回復 AWSセキュリティ リファレンス
FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ
シンプルなALB+EC2+RDS構成で各FISCガイドライン観点で考察してみます FISCガイドライン準拠のユースケース
NWやデータの暗号化はもちろん、データの内容によってはAppレベルで暗号化 FISCガイドライン準拠のユースケース データ保護(漏洩対策) ACM
暗号鍵はKMSに集約させるケースが多い。保護レベル要件に応じてCloudHSMも検討 FISCガイドライン準拠のユースケース 暗号鍵の管理
Systems Managerのインベントリ情報やリポジトリツールでSW全体を管理 FISCガイドライン準拠のユースケース ソフトウェア管理
CloudWatchメトリクスベースでリソース管理 FISCガイドライン準拠のユースケース リソース管理
AWSが提供する不正予防&検出系のサービスは割と⼿厚い印象 FISCガイドライン準拠のユースケース 不正アクセス対策
ウイルス対策ソフトウェアはサードパーティ製を利⽤ FISCガイドライン準拠のユースケース ウイルス対策
AWSレベルはIAM、Appレベルは⾃前で⽤意することが多い FISCガイドライン準拠のユースケース 本⼈確認
マルチAZは必須、データ保持要件次第でマルチリージョン化 FISCガイドライン準拠のユースケース ⼤規模災害対策
CloudTrail有効化は必須、他は要件に併せてCloudWatchやKinesis->S3など FISCガイドライン準拠のユースケース 履歴管理 (アクセスログ/作業ログ…)
CloudWatchアラームをベースに通知実装が可能 FISCガイドライン準拠のユースケース 障害の早期発⾒と回復 (運⽤監視)
FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ
まとめ ・⾦融系ITサービスの健全性指標としてFISCガイドライン ・AWSでも上記に準拠する形でリファレンスを提供 ・FISCガイドラインをベースにAWSセキュリティ設計を俯瞰できる パブリッククラウドはインターネット越しの利⽤が前提 # どのようにして多層防御を⾏うか まずは、実装可能な項⽬をすべて洗い出してみることも⼤切 # その後、コストとのバランスで採⽤可否を判断
FISCの最新版は第8版ではなく、実は第9版です! 最後に 2020年1⽉29⽇時点では、 AWSからFISCガイドライン第9版に関する リファレンスガイドが掲⽰されていない様⼦。 AWSさん、なにとぞ…!!
ほんの少しだけ宣伝させてください… 最後の最後に… https://booth.pm/ja/items/1563844 僕のAWS師匠である佐々⽊さんがIAMに特化した本を出しました。 IAMを踏み込んで理解したい⽅、是⾮お⼿に取ってみてください。
ご清聴いただきありがとうございました。