ガイドライン対応のためのAWSセキュリティ系マネージドサービスの活用 / Real Tech Night #3

D879794ea42768ea417f970914430d56?s=47 Medley Inc.
December 10, 2018

ガイドライン対応のためのAWSセキュリティ系マネージドサービスの活用 / Real Tech Night #3

2018/12/7 開催の"Real Tech Night #3 AWSを最大限活用して教育/医療業界の課題をスマートに解決していく" での中畑の発表資料です。

https://realtech-night.connpass.com/event/110083/

D879794ea42768ea417f970914430d56?s=128

Medley Inc.

December 10, 2018
Tweet

Transcript

  1. ガイドライン対応のための AWSセキュリティ系マネージドサービスの活用 中畑 耕司 Kohji Nakahata 2018.12.07 @ Real Tech

    Night #3
  2. 中畑 耕司 Kohji Nakahata CLINICSカルテ 基盤システム開発チーム ゲームとキャンプを愛する 津軽出身のアラフォーエンジニア 自己紹介

  3. Agenda • CLINICSカルテについて • 3省4ガイドラインについて • セキュリティ系マネージドサービス紹介 • まとめ

  4. CLINICSカルテについて About CLINICS Karte

  5. 電子カルテサービス

  6. 3省4ガイドラインとは About 4 guidelines published by 3 Ministries

  7. 3省4ガイドラインとは • 電子カルテをはじめ、電子化された医療情報をパブリッククラウドなど に外部保存する際に遵守する必要があるガイドライン ◦ 医療情報システムの安全管理に関するガイドライン(厚生労働省) ◦ 医療情報を受託管理する情報処理事業者における安全管理ガイドライン (経済産業省) ◦

    ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(総務省) ◦ ASP・SaaSにおける情報セキュリティ対策ガイドライン(総務省) • 2018年7月から総務省のガイドラインをまとめて3省3ガイドラインに • 2019年度中には3省2ガイドラインになる予定
  8. None
  9. ガイドラインについて(一部) • 個人情報の保護方針の公開(プライバシーポリシーなど) • アカウントごとの権限管理や各種操作のログ管理 • クライアント認証や通信に関する要件 • 運営組織に属する社員へのセキュリティ教育や退職者のアカウント管理 (内部統制)

    • データのバックアップやリカバリ方法の文書化 • 日本国法の適用範囲での管理 • などなど・・・ • 個人情報の保護方針の公開(プライバシーポリシーなど) • アカウントごとの権限管理や各種操作のログ管理←今回の話題 • クライアント認証や通信に関する要件 • 運営組織に属する社員へのセキュリティ教育や退職者のアカウント管理 (内部統制) • データのバックアップやリカバリ方法の文書化 • 日本国法の適用範囲での管理 • などなど・・・
  10. 利用したマネージドサービスに ついて -

  11. セキュリティ系利用サービス(一部) ログ収集 Parameter Store Flow logs 監視、モニタリング NEW! 設定、管理 CloudWatch

    Event No Image Session Manager No Image Insights 通知
  12. AWS CloudTrail AWS CloudTrail • アクティビティを収集して可視化 ◦ AWS Management Console上での操作やAPI実行履歴など

    ◦ IAMのユーザー、リソース( Lambdaからの呼び出しなど)ごとに記録 ◦ データをS3に保存 CloudWatch Logs上での検索も可 • 集めた情報からセキュリティ分析などのトラブルシューティング • 後述するGuardDutyによる分析も可 S3 Bucket 収集 保存 分析 Users resources Event Lambda Function 起動 通知 等
  13. • VPC内のネットワーク・インターフェース (ENI)ネットワークキャプチャ • VPCごとにFlow logを作るだけですぐ収集できる。保存先は S3 or CloudWatch Logs

    • 不正侵入などがないかアクセス調査に • 後述するGuardDutyによる分析も可 VPC Flow logs Flow logs Elastic network interface (ENI) S3 Bucket Flow logs 収集 保存 分析
  14. Amazon GuardDuty • AWS全体の脅威検出 ◦ 悪意のあるスキャン、インスタンスへの脅威、アカウントへの脅威 • 機械学習による異常検知の仕組み • VPC

    Flow logs、CloudTrail Event Logs、DNS Logsのストリームを分析 • APIアクティビティ、VPCポートスキャン、異常なログインリクエスト、 IAM分析 Amazon GuardDuty DNS logs Flow logs 検知 CloudWatch Event Lambda Function 分析 起動 通知
  15. AWS Config AWS Config • AWSリソースの各種設定の履歴保存、閲覧 ◦ EC2、VPC、EBS、IAM、S3など • ルールによる異常設定の監視

    ◦ 例)S3のpublic readをNG、IAMユーザーのアカウントは MFA設定が必須 SSHトラフィックを許可しない など • デフォルトルールの他に Lambda関数によるカスタムルールの作成も可 設定項目の 評価 CloudWatch Event 設定変更 通知 S3 Bucket 保存 AWSリソース
  16. • 設定データ管理をするためのストレージ。階層構造で扱える • 設定をコードから分離するのに便利 • 最近のアップデートで ECS起動時に復号処理を書かずに環境変数が設定できるようになった! ◦ ただし Fargate

    はまだ… Parameter Store Parameter Store 保存 取得 Parameter Store Instances Containers AWS CLIなど
  17. • EC2インスタンスにSSH接続せずにシェル操作ができる! • SSHポートを開放する必要がなくなる • ユーザー名ssm-user、sudoも使える • CloudWatch Event経由で通知も可能 Parameter

    Store Session Manager セッション開 始 Session Manager AWS CLIなど No Image Event Lambda Function 起動 通知 S3 Bucket 保存 No Image
  18. • 先週(11/28)発表されたばかり • CloudWatch Logsをクエリで検索できる • filter @message like /ERROR/

    | sort @@timestamp desc 的な感じで特定のログを 抽出し、グラフ化してくれる • BigQuery的な課金($0.005/GB) • Dashboardsに任意のクエリ結果を表示 • 結果をクリップボードにコピーして markdownで貼り付けできる Parameter Store CloudWatch Logs Insights No Image
  19. まとめ • 様々なマネージドサービスを活用することで、自前で仕組みを 用意することなくセキュアにシステム構築できる • 監査や分析に必要なログも集約できていい感じ • CloudWatch Logs Insights登場でkibanaに渡す必要がなくなるかも

    • SessionManager登場でSSHポートも開放する必要なし
  20. 医療ヘルスケア分野の課題を解決する