JAWS_SecurityPaper.pdf

Transcript

1. © 2021, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. Amazon Confidential and Trademark. Nov 2, 2022 セキュリティチェックシートの書き方のヒント Amazon Web Services (AWS)

2. © 2021, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. Amazon Confidential and Trademark. 松本照吾(Shogo Matsumoto) アマゾン ウェブ サービス ジャパン合同会社 セキュリティアシュアランス本部 本部長 セキュリティソリューションのプロダクトSEを経て、セキュリティ専業のコンサルティング会社 に転職。情報セキュリティ監査や事業継続計画（BCP）、PCI DSSの審査員（QSA）等を担当。 2015年にセキュリティコンサルタントとしてAWSJに入社、2019年より現職 主な保有資格、活動 ・ ISACA東京支部 CISA委員会委員長 ・ 情報処理安全支援確保士 集合講習講師 ・ JASA（情報セキュリティ監査協会） クラウド監査実技WG リーダー ・ CISA、CISSP、公認情報セキュリティ主任監査人 ・ MBA（University of Massachusetts Lowell) ・ 九州大学サイバーセキュリティ教育訓練プログラム（SECKUN）講師 第一期修了生

3. © 2021, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. Amazon Confidential and Trademark. 今日のセッションは 主には “お客様から来たセキュリティチェックシート埋めてよ”って言われる皆様のために でも一方で、 “チェックシートを送る側の皆様”が自分たちのやり方を見直すきっかけになれば。。。

4. © 2021, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. Amazon Confidential and Trademark. 今日やりたいこと、やれないこと 本セッションではお客様などからセキュリティチェックシート出してよ、と言われる時にどのように対応し ていくべきか、を一緒に考えていきます。あまりテクニカルな内容ではありませぬ。 お客様から“AWSを使っているサービス”のセキュリティチェックシート埋めてよ、と言われた時のノウハウを一緒に考えていく。 ー そもそも求められているものの背景 ー AWSはどういうスタンスなのか ー 参考になりそうなリソース やれないこと（Disclaimer） これから先の説明で全てのケースが網羅できるとは限りません。 本来は準拠するよう開発するものですが、業務上後追いになることを踏まえて記載しています。 AWS ならびに各種機関から提供される情報は常に変化します。回答時における最新情報を収集の上、対応をお願いします。 以上より、 AWS ではこの内容を活用した際の回答を保証するものではございません。 特定の規制要件に対する技術的な適合方針をガイドするものではありません。

5. © 2021, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. Amazon Confidential and Trademark. はじめに あなたは“AWS Certified Security Specialty”保持者ですか？ あなたはAWSのセキュリティ、“チョットワカル”人ですか？ “AWS Certified Security - Specialty(SCS-C01) 試験は、合否判定方式の 試験です。試験の採点は、AWS の専門家が認定業界のベストプラクティスおよびガイ ドラインに従って定めた最低基準に照らして行われます。 試験の結果は、100～1,000 のスケールスコアとして報告されます。 合格スコアは 750 です。このスコアにより、試験全体の成績と合否がわかります。 複数の試験間で難易度がわずかに異なる可能性があるため、スコアを均等化するため にスケールスコアが使用されます。”（試験シラバスより）

6. © 2021, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. Amazon Confidential and Trademark. AGENDA Tips 0：難しさを理解しよう Tips 1：相手が“何”を評価したいのかをはっきりさせよう Tips 2：評価を行うための仕組みを知ろう Tips 3：公開されている情報をうまく活用しよう Tips 4：何かで“評価”されていることを活用しよう Tips 5：“手段”よりも“目的”にフォーカスしよう

7. © 2021, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. Amazon Confidential and Trademark. Tips 0：難しさを理解しよう クラウドの統制では、従来の物理的な統制と異なる 観点がある 完璧・直接的な答えが必ずしもあるわけではない そもそも質問が示す意味や背景があいまいな場合 も

8. © 2021, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. Amazon Confidential and Trademark. 例：Availability Zone（仮想的なデータセンター群） 物理設備を仮想化し冗長化していること、自体が本来 はより高い障害設計を実現する手段 “単一の設備”だからこそやらなければいけない管理策と、 仮想化環境で考慮することは異なる とはいえ、チェックリストではそんなことは考慮されていない

9. © 2021, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. Amazon Confidential and Trademark. そもそもの前提として（AWS自体の情報） クラウドの“サービス”はオーダーメードではなく一律のサービス を提供 必要な情報は公開ベースもしくはArtifactから 評価の“判断”は利用者の責任となる

10. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. Tips 1：相手が“何”を評価したいのかをはっきりさせよう インフラを提供している事業者としての AWS を評価したい お客様に“サービス”を提供する事業者としての “御社” を評価したい 提供されている“サービスのセキュリティ”を評価したい

11. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. セキュリティをチェックする、ということ うちの会社のセキュリティ基準にあっているかを チェックさせてください。 （うちの会社の外部委託管理の一環として） （御社と取引しても“問題ない”ということを証明 したいのです）

12. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. AWSのセキュリティチェックをする、ということ AWSが管理している領域、および、そのうえで自 社が提供（構築・運用）している領域、があるの です。 みなさんが評価したいのはどちら（両方？）ですか

13. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. 評価対象がかわれば提示する方法や対象もかわる AWS自体の情報 AWSをサービスとして取り扱う組織の情報 AWS上に構築した環境を踏まえた情報

14. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. よくある誤解：“物理的セキュリティ”はAWSさんの責任だよね。 求められてる“物理セキュリティ”はデータにアクセスする 環境から物理的に守るための手段を定義 AWSの物理的な設備からはお客様のコンテンツに直 接的なアクセスをするものではない。 マネジメントコンソールにアクセスできる環境を どう管理しているか？

15. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. よくある誤解：AWSに委託する個人情報の取り扱いをチェックしたい お客様がネットワークにアップロードしている内容を AWS 側で閲覧したり確認したりすることはできない ため、データが個人情報保護法の対象とみなされ るかどうかを含め、個人情報保護法と関連規制に 準拠する最終的な責任はお客様にあります。 https://d1.awsstatic.com/whitepapers/compliance/JP_Whitepapers/Using_AW S_in_the_context_of_Japanese_Privacy_Considerations_J_2022.pdf

16. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. Tips ２：評価を行うための仕組みを知ろう 何かに“準拠”するってどういうこと？

17. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. 参考となるキーワード 認定機関と認証機関： ISOの国際規格などに基づく監査などでは、審査を行う機関（認証機関）は、上部機関である 認定機関に“認証を与える審査を行ってもよい”という形で認定され、審査業務を提供している。 自己適合： 与えられた基準やフレームワークを踏まえ、自組織の判断でその内容に準拠を充足するものとして 対外的に宣言すること 保証型監査： 監査を行った範囲について適切かどうかを“保証”する監査であり、保証意見の形成・提出には一 定の責任がともなう。 プライベート認証： 公的な枠組みによる認証や認定がない基準やフレームワークに対して、監査機関やセキュリティ事 業者などがその組織の判断基準に基づいて準拠を評価するもの

18. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. コンプライアンスにおける“ものさし” フレームワーク、基準、ガイドライン、準拠 HOWを定義するもの （やっていることのも のさしになるもの） 認証・証明 （認定） 制度として、与えられた基準を“どう評価す るか”を備えたもの

19. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. 制度によって、はかるものさしも粒度も、適用範囲も違う ISO（マネジメント）規格： 申請者が定めた範囲に従い、その対象となるマネジメントシステムが有効に機能している かを評価する PCI DSS： クレジットカード会員データを安全に取り扱うことを目的に定められた基準を遵守している かを評価する。 ISMAP： 日本の政府調達を目的として第三者評価を受けたクラウドサービス事業者の申請を評 価し、リストに登録 プライバシーマーク制度（JIS Q15001） 日本の国内規格として国内に活動拠点を持つ事業者を対象とし、その組織全体の個 人情報の取り扱いを評価（外国会社は対象外）

20. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. ガイドラインや基準と、認定・認証 ガイドライン (ものさし) 認定・認証 (しくみ) FISC 安全対策基準 PCI DSS NIST SP800 セキリティ チェックシート ISMS 適合性評価制度 SOC2 第三者審査 自己適合 FedRAMP ISO/IEC 27001 保証業務実務指針 3850 様々なガイドラインや 事例をもとに評価基準が 定められている

21. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. 参考：ISMAPに関する規程等 https://www.ismap.go.jp/csm?id=kb_article_view&sysparm_article=KB0010007&sys_kb_id=e7 c01d14db21d110d2b773f4f3961918&spa=1

22. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. AWS Artifactの活用 利用者はArtifact利用時のNDAに基づき 様々な監査報告書などを入手ができる。 レポートをSecondary Userにも提供可能 （利用者が配布と機密保持を管理） 監査レポートだけではなく様々なセキュリティホ ワイトペーパーやResponsibility Summary も公開されている。

23. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. Operational Resiliency in Japan 日本（東京リージョン、大阪リージョン）固有の 情報として、特に地震災害に対する情報、マル チリージョンを踏まえたサービスレジリエンスの向 上を踏まえた情報を提供 https://aws.amazon.com/jp/blogs/news/resiliency-in-japan/

24. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. ISMAP Customer Package ISMAPの大項目レベルでAWSの統制お よび情報や機能の提供、および利用者の 責任範囲を記述 ISMAPの大項目はISO/IEC27001を 踏まえているため、ISO/IEC27001ベー スの統制理解としても有効な資料 ISMAPの監査は“統制の同質性“を前 提としており、対象となるリージョンで基準 にみあった活動が行われていることの証拠 になる。

25. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. 情報をタイムリーに入手・報告するために AWS Blog https://aws.amazon.com/jp/blogs/ AWS Security Bulletins https://aws.amazon.com/security/security- bulletins/ AWS Service Health Dashboard https://health.aws.amazon.com/health/status Abuse Report Form https://support.aws.amazon.com/#/contacts/repor t-abuse AWS Support https://aws.amazon.com/jp/premiumsupport/

26. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. Tips３:公開されている情報をうまく活用しよう

27. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. AWSでは様々なホワイトペーパー、ウェブページを公開 「CSA Consensus Assessments Initiative Questionnaire」は日本語でも入手可能な有益なリソース ホワイトペーパーの中にはArchivedになっているものもあるの で取り扱いは慎重に 多くの情報は英語であるため、可能な限り英語を参照する ことを推奨

28. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. データプライバシーのよくある質問：AWSはどう扱ってくれるの？ https://aws.amazon.com/jp/compliance/data-privacy-faq/ このホワイトペーパーも大事

29. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. 〇〇というサービスは安全か？ AWS のサービスが AWS アカウントにアップロードした個人 データ (顧客データ) をどのように処理するかについての透 明性を維持しており、顧客データの暗号化、削除、および 処理のモニタリングができる機能を提供しています。 お客様は、顧客データが選択した AWS リージョンに保持 されているという信頼感のもので、AWS のサービスを使用 できます。一部の AWS のサービスでは、顧客データの転 送が伴います。例えば、これらのサービスの開発や改善に役 立てるため (この場合、転送をオプトアウトできます)、また は転送がサービスの重要な部分となっている場合 (コンテン ツ配信サービスなど) です。当社では、サービスメンテナンス を含め、いかなる目的であっても、AWS 担当者による顧 客データへのリモートアクセスを禁止しており、当社のシステ ムはこのようなリモートアクセスを防止するように設計されて います。 https://aws.amazon.com/jp/compliance/privacy-features/

30. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. 参考：AWSによる顧客データの転送 お客様が顧客データの転送をオプトアウトすることが可能な AWS のサービス • Amazon CodeGuru Profiler • Amazon Comprehend • Amazon Connect Customer Profiles for Identity Resolution Amazon Fraud Detector • Amazon GuardDuty *本 AWS サービスでは、新しい「Amazon GuardDuty Malware Protection」機能を有効にしている範囲で転送が発生し ます。 • Amazon Lex • Amazon Polly • Amazon Rekognition • Amazon Textract Amazon Transcribe • Amazon Translate • Contact Lens for Amazon Connect サービスの重要な機能として顧客データを転送する AWS のサービス • Alexa for Business • Amazon AppStream 2.0 ユーザープール • Amazon Chime • Amazon CloudFront • AWS Elemental MediaConnect • Amazon Location Service • Amazon Pinpoint • Amazon Simple Email Service • Amazon Simple Notification Service

31. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. Tips4：何かで“評価”されていることを活用しよう 既存の認証などで評価済みであるものは、信頼性を高く評 価することができる 基準が抽象的であるより具体的である方が信頼性は高い 一方、抽象的なものを“保証”するのはそれだけの評価コスト がかかっている結果でもある。

32. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. 例えば。。。 PCI DSSは基準も評価手続き（Report on Compliance）も公開されている。 定義されたアプローチの要件 10.4.1 以下の監査ログを少なくとも毎日一度レビューしている。 • すべてのセキュリティイベント • カード会員データ（CHD）および／または機密認証データ（SAD）を保存、処理、または伝送するす べてのシステムコンポーネントのログ • すべての重要なシステムコンポーネントのログ • セキュリティ機能（例えば、ネットワーク・セキュリティ・コントロール、侵入検知システム／侵入防止システ ム（IDS／IPS）、認証サーバ）を実行するすべてのサーバおよびシステムコンポーネントのログ” 定義されたアプローチのテスト手順 10.4.1.a セキュリティポリシーと手順を調べ、この要件で指定されたすべての要素を少なくとも毎日一度レビュー するためのプロセスが定義されていることを確認する。 10.4.1.b プロセスを観察し、担当者にインタビューして、この要件で指定されているすべての要素が少なくとも毎 日一度レビューされていることを確認する。

33. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. 車輪の再発明を避けよう SOCレポートなどが活用されてる理由： 専門家による“評価済み”の内容を個別に評価する コストは有益ではないから

34. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. Tips 5：“手段”よりも“目的”にフォーカスしよう どうしても求められているルールがクラウドの技術とあわない ケースがあります（例：FISC ネズミの害） その時は、そのルールがなんのためのものなのか、という目的に フォーカスし、その目的を達成するための手段を評価してもら いましょう PCI DSSでは“代替的コントロール”としてこうした評価を位 置づけています。

35. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. ISO/IEC27001に見る管理目的と詳細管理策 A.11.2 利用者アクセスの管理 目的：情報システムへの，認可された利用者のアクセスを確実にし，認可されていないアクセスを防止するため。 A.11.2.1 利用者登録 管理策 ： すべての情報システム及びサービスへのアクセスを許可及び無効とするために，利用者の登録・登録削除についての正式な手順を備えな ければならない。 A.11.2.2 特権管理 管理策 ： 特権の割当て及び利用は，制限し，管理しなければならない。 A.11.2.3 利用者パスワードの管理 管理策 ： パスワードの割当ては，正式な管理プロセスによって管理しなければならない。 A.11.2.4 利用者アクセス権のレビュー 管理策： 管理者は，正式なプロセスを使用して，利用者のアクセス権を定められた間隔でレビューしなければならない 例えばAWSのIAMで使うユーザは 全部が特権かも。 “定められた間隔”どころかリアルタイ ムでレビューしてるかも AWS利用における“利用者”ってだ れだろう

36. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. 今日はこんなことをお話しました Tips 0：難しさを理解しよう Tips 1：相手が“何”を評価したいのかをはっきりさせよう Tips 2：評価を行うための仕組みを知ろう Tips 3：公開されている情報をうまく活用しよう Tips 4：何かで“評価”されていることを活用しよう Tips 5：“手段”よりも“目的”にフォーカスしよう

37. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. Amazon Confidential and Trademark. 一方で。。。 もしも固有の業界特有の規制などに基づき、AWSが開示し ている情報が不十分であると思われることがありましたら、ぜ ひご相談くださいませ。