$30 off During Our Annual Pro Sale. View Details »

FISCから学ぶAWSセキュリティことはじめ.pdf

iselegant
January 29, 2020

 FISCから学ぶAWSセキュリティことはじめ.pdf

iselegant

January 29, 2020
Tweet

More Decks by iselegant

Other Decks in Technology

Transcript

  1. FISCから学ぶ
    AWSセキュリティことはじめ
    野村総合研究所
    新井 雅也
    JAWS-UG 初⼼者⽀部#22 Fin-JAWSコラボ会

    View Slide

  2. *OUSPEVDUJPO
    @msy78

    View Slide

  3. FISCから学ぶAWSセキュリティことはじめ
    FISCガイドラインをベースに
    AWSセキュリティ設計を俯瞰できる
    ! お伝えしないこと !
    ・各AWSサービスの詳細内容や実装⽅法、テクニック
    (それを話すには時間が⾜りない…)
    本⽇お伝えしたいこと

    View Slide

  4. FISCから学ぶAWSセキュリティことはじめ
    ⾦融系ITサービスを提供する上でのFISCガイドライン
    AWSとFISCガイドラインの関係性
    FISCガイドラインからセキュリティ項⽬を俯瞰する
    本⽇のアジェンダ
    FISCガイドライン準拠の上でのユースケース
    まとめ

    View Slide

  5. FISCから学ぶAWSセキュリティことはじめ
    本⽇のアジェンダ
    ⾦融系ITサービスを提供する上でのFISCガイドライン
    AWSとFISCガイドラインの関係性
    FISCガイドラインからセキュリティ項⽬を俯瞰する
    FISCガイドライン準拠の上でのユースケース
    まとめ

    View Slide

  6. AWS x ⾦融と聞いて、
    どのようなキーワードを思い浮かべますか?

    View Slide

  7. プライベートブラウジングモードでGoogleのサジェストを⾒てみると…

    View Slide

  8. プライベートブラウジングモードでGoogleのサジェストを⾒てみると…
    法令遵守の観点が意識されている
    のか、準拠すべきルールがある?
    やはりセキュリティ要件を気にし
    ている?

    View Slide

  9. 準拠すべきシステムのガイドラインが存在
    ・⾦融機関がITサービスを提供する際の健全性評価の指標として、
    FISCが『⾦融機関等コンピュータシステムの安全対策基準』を提供
    ⾦融系ITサービスを提供する上でのFISCガイドライン
    https://www.fisc.or.jp/
    参考:
    設備関連 138項⽬ 技術関連 53項⽬ 運⽤関連 115項⽬
    ・セキュリティ対策などの技術項⽬に加え、設備や運⽤に関する基準を提供
    FISCガイドライン
    (第8版+追補改訂版)

    View Slide

  10. ⾦融系サービスはFISCガイドラインの準拠が重要!
    (以前は⾦融庁の検査マニュアルにも記載があった)

    View Slide

  11. FISCから学ぶAWSセキュリティことはじめ
    本⽇のアジェンダ
    ⾦融系ITサービスを提供する上でのFISCガイドライン
    AWSとFISCガイドラインの関係性
    FISCガイドラインからセキュリティ項⽬を俯瞰する
    FISCガイドライン準拠の上でのユースケース
    まとめ

    View Slide

  12. セキュリティはAWSにとっても最重要項⽬の⼀つ
    AWSとFISCガイドラインの関係性
    https://d1.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf
    ホワイトペーパー「 AWS セキュリティのベスト プラクティス ‒ 概要」より引⽤
    アマゾン ウェブ サービス (AWS) のお客様にとって最も重要なこと
    は、情報のセ キュリティです。セキュリティは、偶発的または意図
    的な盗難、漏洩、不整合、 削除からミッションクリティカルな情報
    を保護する機能要件の中核部分です

    View Slide

  13. AWSからFISCガイドライン(第8版)に準拠したリファレンスガイドラインが提供
    AWSとFISCガイドラインの関係性
    https://aws.amazon.com/jp/compliance/fisc/
    参考:

    View Slide

  14. https://d1.awsstatic.com/whitepapers/jp/security/FISC_Document_20120824JP.pdf
    引⽤:
    AWSが提供しているセキュリティリファレンス(⼀部抜粋)

    View Slide

  15. しかし、、

    View Slide

  16. AWS利⽤者側も対応が必要な項⽬が多数あり
    AWSとFISCガイドラインの関係性
    https://aws.amazon.com/jp/compliance/fisc/
    参考:
    FISC 安全対策基準・解説書では、設備、運⽤および技術といった広範囲にわたるシステムの
    安全性に関する管理策が⽰されています。お客様がAWS環境をご利⽤になる際には、責任共有
    モデルに基づき、AWSの対応、あるいはお客様の対応等という形で責任の範囲を明確にした上
    で、各要件に応じた対策や確認を実施する必要があります。
    https://aws.amazon.com/jp/compliance/shared-responsibility-model/

    View Slide

  17. FISCから学ぶAWSセキュリティことはじめ
    本⽇のアジェンダ
    ⾦融系ITサービスを提供する上でのFISCガイドライン
    AWSとFISCガイドラインの関係性
    FISCガイドラインからセキュリティ項⽬を俯瞰する
    FISCガイドライン準拠の上でのユースケース
    まとめ

    View Slide

  18. FISCガイドラインを俯瞰するとセキュリティ/運⽤実装のポイントが⾒えてくる
    FISCガイドラインからセキュリティ項⽬を俯瞰する
    ウイルス対策(脆弱性保護)
    FISCガイドライン
    (第8版+追補改定版)
    本⼈確認
    ファシリティ(建物/電源/空調/回線/⼊退室管理、等)
    不正アクセス対策
    運⽤体制や⼿順書の整備
    データ保護(漏洩対策)
    障害の早期発⾒と回復
    (運⽤監視)
    ⼤規模災害対策(⼆重化等)
    暗号鍵の管理
    ソフトウェア管理
    データバック
    アップ運⽤
    履歴管理
    (アクセスログ/
    作業ログ…)
    準拠が必要
    (AWSリソースで対応)
    準拠が不要
    (AWSリソース外で対応)
    凡例
    セキュリティ/運⽤カットで集約した項⽬
    リソース管理
    抑⽌ 予防 検出 回復
    AWSセキュリティ
    リファレンス

    View Slide

  19. FISCから学ぶAWSセキュリティことはじめ
    本⽇のアジェンダ
    ⾦融系ITサービスを提供する上でのFISCガイドライン
    AWSとFISCガイドラインの関係性
    FISCガイドラインからセキュリティ項⽬を俯瞰する
    FISCガイドライン準拠の上でのユースケース
    まとめ

    View Slide

  20. シンプルなALB+EC2+RDS構成で各FISCガイドライン観点で考察してみます
    FISCガイドライン準拠のユースケース

    View Slide

  21. NWやデータの暗号化はもちろん、データの内容によってはAppレベルで暗号化
    FISCガイドライン準拠のユースケース
    データ保護(漏洩対策)
    ACM

    View Slide

  22. 暗号鍵はKMSに集約させるケースが多い。保護レベル要件に応じてCloudHSMも検討
    FISCガイドライン準拠のユースケース
    暗号鍵の管理

    View Slide

  23. Systems Managerのインベントリ情報やリポジトリツールでSW全体を管理
    FISCガイドライン準拠のユースケース
    ソフトウェア管理

    View Slide

  24. CloudWatchメトリクスベースでリソース管理
    FISCガイドライン準拠のユースケース
    リソース管理

    View Slide

  25. AWSが提供する不正予防&検出系のサービスは割と⼿厚い印象
    FISCガイドライン準拠のユースケース
    不正アクセス対策

    View Slide

  26. ウイルス対策ソフトウェアはサードパーティ製を利⽤
    FISCガイドライン準拠のユースケース
    ウイルス対策

    View Slide

  27. AWSレベルはIAM、Appレベルは⾃前で⽤意することが多い
    FISCガイドライン準拠のユースケース
    本⼈確認

    View Slide

  28. マルチAZは必須、データ保持要件次第でマルチリージョン化
    FISCガイドライン準拠のユースケース
    ⼤規模災害対策

    View Slide

  29. CloudTrail有効化は必須、他は要件に併せてCloudWatchやKinesis->S3など
    FISCガイドライン準拠のユースケース
    履歴管理
    (アクセスログ/作業ログ…)

    View Slide

  30. CloudWatchアラームをベースに通知実装が可能
    FISCガイドライン準拠のユースケース
    障害の早期発⾒と回復
    (運⽤監視)

    View Slide

  31. FISCから学ぶAWSセキュリティことはじめ
    本⽇のアジェンダ
    ⾦融系ITサービスを提供する上でのFISCガイドライン
    AWSとFISCガイドラインの関係性
    FISCガイドラインからセキュリティ項⽬を俯瞰する
    FISCガイドライン準拠の上でのユースケース
    まとめ

    View Slide

  32. まとめ
    ・⾦融系ITサービスの健全性指標としてFISCガイドライン
    ・AWSでも上記に準拠する形でリファレンスを提供
    ・FISCガイドラインをベースにAWSセキュリティ設計を俯瞰できる
    パブリッククラウドはインターネット越しの利⽤が前提
    # どのようにして多層防御を⾏うか
    まずは、実装可能な項⽬をすべて洗い出してみることも⼤切
    # その後、コストとのバランスで採⽤可否を判断

    View Slide

  33. FISCの最新版は第8版ではなく、実は第9版です!
    最後に
    2020年1⽉29⽇時点では、
    AWSからFISCガイドライン第9版に関する
    リファレンスガイドが掲⽰されていない様⼦。
    AWSさん、なにとぞ…!!

    View Slide

  34. ほんの少しだけ宣伝させてください…
    最後の最後に…
    https://booth.pm/ja/items/1563844
    僕のAWS師匠である佐々⽊さんがIAMに特化した本を出しました。
    IAMを踏み込んで理解したい⽅、是⾮お⼿に取ってみてください。

    View Slide

  35. ご清聴いただきありがとうございました。

    View Slide