Upgrade to Pro — share decks privately, control downloads, hide ads and more …

FISCから学ぶAWSセキュリティことはじめ.pdf

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for iselegant iselegant
January 29, 2020
Technology
4.1k
10

 FISCから学ぶAWSセキュリティことはじめ.pdf

Avatar for iselegant

iselegant

January 29, 2020

More Decks by iselegant

See All by iselegant
ECS障害を例に学ぶ、インシデント対応に備えた AIエージェントの育て方 / How to develop AI agents for incident response with ECS outage
Avatar for iselegant iselegant
6
1.1k
Progressive Deliveryで支える!スケールする衛星コンステレーションの地上システム運用 / Ground Station Operation for Scalable Satellite Constellation by Progressive Delivery
Avatar for iselegant iselegant
1
360
Amazon ECS & AWS Fargate 運用アーキテクチャ2025 / Amazon ECS and AWS Fargate Ops Architecture 2025
Avatar for iselegant iselegant
22
12k
勝手に!深堀り!Cloud Run worker pools / Deep dive Cloud Run worker pools
Avatar for iselegant iselegant
5
3.4k
Amazon ECSとCloud Runの相互理解で広げる クラウドネイティブの景色 / Mutually understanding Amazon ECS and Cloud Run
Avatar for iselegant iselegant
20
4.9k
AWSコンテナ本出版から3年経った今、もし改めて執筆し直すなら / If I revise our container book
Avatar for iselegant iselegant
20
7.8k
Amazon ECS & AWS Fargate 今昔物語 / past and present stories of Amazon ECS and AWS Fargate
Avatar for iselegant iselegant
20
5.8k
Binary Authorizationと友達になろう / Let's be friends with Binary Authorization
Avatar for iselegant iselegant
3
1.2k
エンジニアとして成長するための持続可能なアウトプット戦略 / Sustainable Output Strategy
Avatar for iselegant iselegant
7
1.3k

Other Decks in Technology

See All in Technology
2026年春のAgentCoreアプデ 細かいやつ全部まとめ
Avatar for みのるん minorun365
4
230
AI 時代の Platform Engineering
Avatar for Recruit recruitengineers
PRO
1
170
Every Conversation Counts
Avatar for Yasunobu Kawaguchi kawaguti
PRO
0
220
LookerとADKで作る社内AIエージェント
Avatar for chanyou0311 chanyou0311
0
160
多角的な視点から見たAGI
Avatar for Terisuke terisuke
0
130
自動テストだけで
リリース判断できるチームへ - 鍵はテストの量ではなくリリース判断基準の再設計にあった / Redesigning Release Criteria for Lightweight Releases
Avatar for えわ ewa
7
3.7k
「強制アップデート」か「チームの自律」か?エンタープライズが辿り着いたプラットフォームのハイブリッド運用/cloudnative-kaigi-hybrid-platform-operations
Avatar for みずほリサーチ&テクノロジーズ株式会社 先端技術研究部 mhrtech
0
190
そのSLO 99.9%、本当に必要ですか? 〜優先度付きSLOによる責任共有の設計思想〜 / Is that 99.9% SLO really necessary? Design philosophy of shared responsibility through prioritized SLOs
Avatar for VTRyo vtryo
0
690
会社説明資料|株式会社ギークプラス ソフトウェア事業部
Avatar for ギークプラス ソフトウェア事業部 geekplus_tech
0
220
マンション備え付けのネットワークとLTE回線を組み合わせた ネットワークの安定化の考案
Avatar for harutiro harutiro
1
130
100マイクロサービスのTerraform/Kubernetes管理地獄から抜け出すためのAI活用術
Avatar for Masaki Ishigaki markie1009
0
150
AI対話分析の夢と、汚いデータの現実 Looker / Dataplex / Dataform で実現する品質ファーストな基盤設計
Avatar for Yuta Ozaki waiwai2111
0
510

Featured

See All Featured
sira's awesome portfolio website redesign presentation
Avatar for ElsiraPls elsirapls
0
240
Marketing to machines
Avatar for Jono Alderson jonoalderson
1
5.2k
<Decoding/> the Language of Devs - We Love SEO 2024
Avatar for Nikki Halliwell nikkihalliwell
1
210
Visual Storytelling: How to be a Superhuman Communicator
Avatar for David Neal reverentgeek
2
530
Lessons Learnt from Crawling 1000+ Websites
Avatar for Charles Meaden charlesmeaden
PRO
1
1.2k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
378
71k
Information Architects: The Missing Link in Design Systems
Avatar for Michelle Chin soysaucechin
0
920
Mozcon NYC 2025: Stop Losing SEO Traffic
Avatar for Sam Torres samtorres
0
230
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
1
2.6k
The Limits of Empathy - UXLibs8
Avatar for Cassini Nazir cassininazir
1
320
HTML-Aware ERB: The Path to Reactive Rendering @ RubyCon 2026, Rimini, Italy
Avatar for Marco Roth marcoroth
1
43
The innovator’s Mindset - 
Leading Through an Era of Exponential Change - McGill University 2025
Avatar for Jean-Marc De Jonghe jdejongh
PRO
1
170

Transcript

  1. FISCから学ぶ AWSセキュリティことはじめ 野村総合研究所 新井 雅也 JAWS-UG 初⼼者⽀部#22 Fin-JAWSコラボ会

  2. *OUSPEVDUJPO @msy78

  3. FISCから学ぶAWSセキュリティことはじめ FISCガイドラインをベースに AWSセキュリティ設計を俯瞰できる ! お伝えしないこと ! ・各AWSサービスの詳細内容や実装⽅法、テクニック (それを話すには時間が⾜りない…) 本⽇お伝えしたいこと

  4. FISCから学ぶAWSセキュリティことはじめ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する 本⽇のアジェンダ FISCガイドライン準拠の上でのユースケース まとめ

  5. FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ

  6. AWS x ⾦融と聞いて、 どのようなキーワードを思い浮かべますか?

  7. プライベートブラウジングモードでGoogleのサジェストを⾒てみると…

  8. プライベートブラウジングモードでGoogleのサジェストを⾒てみると… 法令遵守の観点が意識されている のか、準拠すべきルールがある? やはりセキュリティ要件を気にし ている?

  9. 準拠すべきシステムのガイドラインが存在 ・⾦融機関がITサービスを提供する際の健全性評価の指標として、 FISCが『⾦融機関等コンピュータシステムの安全対策基準』を提供 ⾦融系ITサービスを提供する上でのFISCガイドライン https://www.fisc.or.jp/ 参考: 設備関連 138項⽬ 技術関連 53項⽬

    運⽤関連 115項⽬ ・セキュリティ対策などの技術項⽬に加え、設備や運⽤に関する基準を提供 FISCガイドライン (第8版+追補改訂版)

  10. ⾦融系サービスはFISCガイドラインの準拠が重要! (以前は⾦融庁の検査マニュアルにも記載があった)

  11. FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ

  12. セキュリティはAWSにとっても最重要項⽬の⼀つ AWSとFISCガイドラインの関係性 https://d1.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf ホワイトペーパー「 AWS セキュリティのベスト プラクティス ‒ 概要」より引⽤ アマゾン

    ウェブ サービス (AWS) のお客様にとって最も重要なこと は、情報のセ キュリティです。セキュリティは、偶発的または意図 的な盗難、漏洩、不整合、 削除からミッションクリティカルな情報 を保護する機能要件の中核部分です

  13. AWSからFISCガイドライン(第8版)に準拠したリファレンスガイドラインが提供 AWSとFISCガイドラインの関係性 https://aws.amazon.com/jp/compliance/fisc/ 参考:

  14. https://d1.awsstatic.com/whitepapers/jp/security/FISC_Document_20120824JP.pdf 引⽤: AWSが提供しているセキュリティリファレンス(⼀部抜粋)

  15. しかし、、

  16. AWS利⽤者側も対応が必要な項⽬が多数あり AWSとFISCガイドラインの関係性 https://aws.amazon.com/jp/compliance/fisc/ 参考: FISC 安全対策基準・解説書では、設備、運⽤および技術といった広範囲にわたるシステムの 安全性に関する管理策が⽰されています。お客様がAWS環境をご利⽤になる際には、責任共有 モデルに基づき、AWSの対応、あるいはお客様の対応等という形で責任の範囲を明確にした上 で、各要件に応じた対策や確認を実施する必要があります。 https://aws.amazon.com/jp/compliance/shared-responsibility-model/

  17. FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ

  18. FISCガイドラインを俯瞰するとセキュリティ/運⽤実装のポイントが⾒えてくる FISCガイドラインからセキュリティ項⽬を俯瞰する ウイルス対策(脆弱性保護) FISCガイドライン (第8版+追補改定版) 本⼈確認 ファシリティ(建物/電源/空調/回線/⼊退室管理、等) 不正アクセス対策 運⽤体制や⼿順書の整備 データ保護(漏洩対策)

    障害の早期発⾒と回復 (運⽤監視) ⼤規模災害対策(⼆重化等) 暗号鍵の管理 ソフトウェア管理 データバック アップ運⽤ 履歴管理 (アクセスログ/ 作業ログ…) 準拠が必要 (AWSリソースで対応) 準拠が不要 (AWSリソース外で対応) 凡例 セキュリティ/運⽤カットで集約した項⽬ リソース管理 抑⽌ 予防 検出 回復 AWSセキュリティ リファレンス

  19. FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ

  20. シンプルなALB+EC2+RDS構成で各FISCガイドライン観点で考察してみます FISCガイドライン準拠のユースケース

  21. NWやデータの暗号化はもちろん、データの内容によってはAppレベルで暗号化 FISCガイドライン準拠のユースケース データ保護(漏洩対策) ACM

  22. 暗号鍵はKMSに集約させるケースが多い。保護レベル要件に応じてCloudHSMも検討 FISCガイドライン準拠のユースケース 暗号鍵の管理

  23. Systems Managerのインベントリ情報やリポジトリツールでSW全体を管理 FISCガイドライン準拠のユースケース ソフトウェア管理

  24. CloudWatchメトリクスベースでリソース管理 FISCガイドライン準拠のユースケース リソース管理

  25. AWSが提供する不正予防&検出系のサービスは割と⼿厚い印象 FISCガイドライン準拠のユースケース 不正アクセス対策

  26. ウイルス対策ソフトウェアはサードパーティ製を利⽤ FISCガイドライン準拠のユースケース ウイルス対策

  27. AWSレベルはIAM、Appレベルは⾃前で⽤意することが多い FISCガイドライン準拠のユースケース 本⼈確認

  28. マルチAZは必須、データ保持要件次第でマルチリージョン化 FISCガイドライン準拠のユースケース ⼤規模災害対策

  29. CloudTrail有効化は必須、他は要件に併せてCloudWatchやKinesis->S3など FISCガイドライン準拠のユースケース 履歴管理 (アクセスログ/作業ログ…)

  30. CloudWatchアラームをベースに通知実装が可能 FISCガイドライン準拠のユースケース 障害の早期発⾒と回復 (運⽤監視)

  31. FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ

  32. まとめ ・⾦融系ITサービスの健全性指標としてFISCガイドライン ・AWSでも上記に準拠する形でリファレンスを提供 ・FISCガイドラインをベースにAWSセキュリティ設計を俯瞰できる パブリッククラウドはインターネット越しの利⽤が前提 # どのようにして多層防御を⾏うか まずは、実装可能な項⽬をすべて洗い出してみることも⼤切 # その後、コストとのバランスで採⽤可否を判断

  33. FISCの最新版は第8版ではなく、実は第9版です! 最後に 2020年1⽉29⽇時点では、 AWSからFISCガイドライン第9版に関する リファレンスガイドが掲⽰されていない様⼦。 AWSさん、なにとぞ…!!

  34. ほんの少しだけ宣伝させてください… 最後の最後に… https://booth.pm/ja/items/1563844 僕のAWS師匠である佐々⽊さんがIAMに特化した本を出しました。 IAMを踏み込んで理解したい⽅、是⾮お⼿に取ってみてください。

  35. ご清聴いただきありがとうございました。