Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ガイドライン対応のためのAWSセキュリティ系マネージドサービスの活用 / Real Tech Night #3

Medley Inc.
December 10, 2018

ガイドライン対応のためのAWSセキュリティ系マネージドサービスの活用 / Real Tech Night #3

2018/12/7 開催の"Real Tech Night #3 AWSを最大限活用して教育/医療業界の課題をスマートに解決していく" での中畑の発表資料です。

https://realtech-night.connpass.com/event/110083/

Medley Inc.

December 10, 2018
Tweet

More Decks by Medley Inc.

Other Decks in Programming

Transcript

  1. 3省4ガイドラインとは • 電子カルテをはじめ、電子化された医療情報をパブリッククラウドなど に外部保存する際に遵守する必要があるガイドライン ◦ 医療情報システムの安全管理に関するガイドライン(厚生労働省) ◦ 医療情報を受託管理する情報処理事業者における安全管理ガイドライン (経済産業省) ◦

    ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(総務省) ◦ ASP・SaaSにおける情報セキュリティ対策ガイドライン(総務省) • 2018年7月から総務省のガイドラインをまとめて3省3ガイドラインに • 2019年度中には3省2ガイドラインになる予定
  2. ガイドラインについて(一部) • 個人情報の保護方針の公開(プライバシーポリシーなど) • アカウントごとの権限管理や各種操作のログ管理 • クライアント認証や通信に関する要件 • 運営組織に属する社員へのセキュリティ教育や退職者のアカウント管理 (内部統制)

    • データのバックアップやリカバリ方法の文書化 • 日本国法の適用範囲での管理 • などなど・・・ • 個人情報の保護方針の公開(プライバシーポリシーなど) • アカウントごとの権限管理や各種操作のログ管理←今回の話題 • クライアント認証や通信に関する要件 • 運営組織に属する社員へのセキュリティ教育や退職者のアカウント管理 (内部統制) • データのバックアップやリカバリ方法の文書化 • 日本国法の適用範囲での管理 • などなど・・・
  3. AWS CloudTrail AWS CloudTrail • アクティビティを収集して可視化 ◦ AWS Management Console上での操作やAPI実行履歴など

    ◦ IAMのユーザー、リソース( Lambdaからの呼び出しなど)ごとに記録 ◦ データをS3に保存 CloudWatch Logs上での検索も可 • 集めた情報からセキュリティ分析などのトラブルシューティング • 後述するGuardDutyによる分析も可 S3 Bucket 収集 保存 分析 Users resources Event Lambda Function 起動 通知 等
  4. • VPC内のネットワーク・インターフェース (ENI)ネットワークキャプチャ • VPCごとにFlow logを作るだけですぐ収集できる。保存先は S3 or CloudWatch Logs

    • 不正侵入などがないかアクセス調査に • 後述するGuardDutyによる分析も可 VPC Flow logs Flow logs Elastic network interface (ENI) S3 Bucket Flow logs 収集 保存 分析
  5. Amazon GuardDuty • AWS全体の脅威検出 ◦ 悪意のあるスキャン、インスタンスへの脅威、アカウントへの脅威 • 機械学習による異常検知の仕組み • VPC

    Flow logs、CloudTrail Event Logs、DNS Logsのストリームを分析 • APIアクティビティ、VPCポートスキャン、異常なログインリクエスト、 IAM分析 Amazon GuardDuty DNS logs Flow logs 検知 CloudWatch Event Lambda Function 分析 起動 通知
  6. AWS Config AWS Config • AWSリソースの各種設定の履歴保存、閲覧 ◦ EC2、VPC、EBS、IAM、S3など • ルールによる異常設定の監視

    ◦ 例)S3のpublic readをNG、IAMユーザーのアカウントは MFA設定が必須 SSHトラフィックを許可しない など • デフォルトルールの他に Lambda関数によるカスタムルールの作成も可 設定項目の 評価 CloudWatch Event 設定変更 通知 S3 Bucket 保存 AWSリソース
  7. • 先週(11/28)発表されたばかり • CloudWatch Logsをクエリで検索できる • filter @message like /ERROR/

    | sort @@timestamp desc 的な感じで特定のログを 抽出し、グラフ化してくれる • BigQuery的な課金($0.005/GB) • Dashboardsに任意のクエリ結果を表示 • 結果をクリップボードにコピーして markdownで貼り付けできる Parameter Store CloudWatch Logs Insights No Image