Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ガイドライン対応のためのAWSセキュリティ系マネージドサービスの活用 / Real Tech Night #3

Medley Inc.
December 10, 2018

ガイドライン対応のためのAWSセキュリティ系マネージドサービスの活用 / Real Tech Night #3

2018/12/7 開催の"Real Tech Night #3 AWSを最大限活用して教育/医療業界の課題をスマートに解決していく" での中畑の発表資料です。

https://realtech-night.connpass.com/event/110083/

Medley Inc.

December 10, 2018
Tweet

More Decks by Medley Inc.

Other Decks in Programming

Transcript

  1. ガイドライン対応のための
    AWSセキュリティ系マネージドサービスの活用
    中畑 耕司 Kohji Nakahata
    2018.12.07 @ Real Tech Night #3

    View full-size slide

  2. 中畑 耕司
    Kohji Nakahata
    CLINICSカルテ 基盤システム開発チーム
    ゲームとキャンプを愛する
    津軽出身のアラフォーエンジニア
    自己紹介

    View full-size slide

  3. Agenda
    ● CLINICSカルテについて
    ● 3省4ガイドラインについて
    ● セキュリティ系マネージドサービス紹介
    ● まとめ

    View full-size slide

  4. CLINICSカルテについて
    About CLINICS Karte

    View full-size slide

  5. 電子カルテサービス

    View full-size slide

  6. 3省4ガイドラインとは
    About 4 guidelines published by 3 Ministries

    View full-size slide

  7. 3省4ガイドラインとは
    ● 電子カルテをはじめ、電子化された医療情報をパブリッククラウドなど
    に外部保存する際に遵守する必要があるガイドライン
    ○ 医療情報システムの安全管理に関するガイドライン(厚生労働省)
    ○ 医療情報を受託管理する情報処理事業者における安全管理ガイドライン
    (経済産業省)
    ○ ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(総務省)
    ○ ASP・SaaSにおける情報セキュリティ対策ガイドライン(総務省)
    ● 2018年7月から総務省のガイドラインをまとめて3省3ガイドラインに
    ● 2019年度中には3省2ガイドラインになる予定

    View full-size slide

  8. ガイドラインについて(一部)
    ● 個人情報の保護方針の公開(プライバシーポリシーなど)
    ● アカウントごとの権限管理や各種操作のログ管理
    ● クライアント認証や通信に関する要件
    ● 運営組織に属する社員へのセキュリティ教育や退職者のアカウント管理
    (内部統制)
    ● データのバックアップやリカバリ方法の文書化
    ● 日本国法の適用範囲での管理
    ● などなど・・・
    ● 個人情報の保護方針の公開(プライバシーポリシーなど)
    ● アカウントごとの権限管理や各種操作のログ管理←今回の話題
    ● クライアント認証や通信に関する要件
    ● 運営組織に属する社員へのセキュリティ教育や退職者のアカウント管理
    (内部統制)
    ● データのバックアップやリカバリ方法の文書化
    ● 日本国法の適用範囲での管理
    ● などなど・・・

    View full-size slide

  9. 利用したマネージドサービスに
    ついて
    -

    View full-size slide

  10. セキュリティ系利用サービス(一部)
    ログ収集
    Parameter
    Store
    Flow logs
    監視、モニタリング
    NEW!
    設定、管理
    CloudWatch
    Event
    No
    Image
    Session
    Manager
    No
    Image
    Insights
    通知

    View full-size slide

  11. AWS CloudTrail
    AWS CloudTrail
    ● アクティビティを収集して可視化
    ○ AWS Management Console上での操作やAPI実行履歴など
    ○ IAMのユーザー、リソース( Lambdaからの呼び出しなど)ごとに記録
    ○ データをS3に保存 CloudWatch Logs上での検索も可
    ● 集めた情報からセキュリティ分析などのトラブルシューティング
    ● 後述するGuardDutyによる分析も可
    S3 Bucket
    収集
    保存
    分析
    Users
    resources
    Event
    Lambda
    Function
    起動
    通知

    View full-size slide

  12. ● VPC内のネットワーク・インターフェース (ENI)ネットワークキャプチャ
    ● VPCごとにFlow logを作るだけですぐ収集できる。保存先は S3 or CloudWatch Logs
    ● 不正侵入などがないかアクセス調査に
    ● 後述するGuardDutyによる分析も可
    VPC
    Flow logs
    Flow logs
    Elastic
    network
    interface
    (ENI)
    S3 Bucket
    Flow logs
    収集
    保存
    分析

    View full-size slide

  13. Amazon GuardDuty
    ● AWS全体の脅威検出
    ○ 悪意のあるスキャン、インスタンスへの脅威、アカウントへの脅威
    ● 機械学習による異常検知の仕組み
    ● VPC Flow logs、CloudTrail Event Logs、DNS Logsのストリームを分析
    ● APIアクティビティ、VPCポートスキャン、異常なログインリクエスト、 IAM分析
    Amazon GuardDuty
    DNS logs
    Flow logs
    検知
    CloudWatch
    Event
    Lambda
    Function
    分析 起動 通知

    View full-size slide

  14. AWS Config
    AWS Config
    ● AWSリソースの各種設定の履歴保存、閲覧
    ○ EC2、VPC、EBS、IAM、S3など
    ● ルールによる異常設定の監視
    ○ 例)S3のpublic readをNG、IAMユーザーのアカウントは MFA設定が必須
    SSHトラフィックを許可しない など
    ● デフォルトルールの他に Lambda関数によるカスタムルールの作成も可
    設定項目の
    評価
    CloudWatch
    Event
    設定変更 通知
    S3 Bucket
    保存
    AWSリソース

    View full-size slide

  15. ● 設定データ管理をするためのストレージ。階層構造で扱える
    ● 設定をコードから分離するのに便利
    ● 最近のアップデートで ECS起動時に復号処理を書かずに環境変数が設定できるようになった!
    ○ ただし Fargate はまだ…
    Parameter Store
    Parameter Store
    保存 取得
    Parameter
    Store
    Instances
    Containers
    AWS CLIなど

    View full-size slide

  16. ● EC2インスタンスにSSH接続せずにシェル操作ができる!
    ● SSHポートを開放する必要がなくなる
    ● ユーザー名ssm-user、sudoも使える
    ● CloudWatch Event経由で通知も可能
    Parameter Store
    Session Manager
    セッション開

    Session
    Manager
    AWS CLIなど
    No
    Image
    Event
    Lambda
    Function
    起動
    通知
    S3 Bucket
    保存
    No
    Image

    View full-size slide

  17. ● 先週(11/28)発表されたばかり
    ● CloudWatch Logsをクエリで検索できる
    ● filter @message like /ERROR/ | sort @@timestamp desc 的な感じで特定のログを
    抽出し、グラフ化してくれる
    ● BigQuery的な課金($0.005/GB)
    ● Dashboardsに任意のクエリ結果を表示
    ● 結果をクリップボードにコピーして
    markdownで貼り付けできる
    Parameter Store
    CloudWatch Logs Insights
    No
    Image

    View full-size slide

  18. まとめ
    ● 様々なマネージドサービスを活用することで、自前で仕組みを
    用意することなくセキュアにシステム構築できる
    ● 監査や分析に必要なログも集約できていい感じ
    ● CloudWatch Logs Insights登場でkibanaに渡す必要がなくなるかも
    ● SessionManager登場でSSHポートも開放する必要なし

    View full-size slide

  19. 医療ヘルスケア分野の課題を解決する

    View full-size slide