Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ガイドライン対応のためのAWSセキュリティ系マネージドサービスの活用 / Real Tech ...

Medley Inc.
December 10, 2018
Programming
7
4.5k

ガイドライン対応のためのAWSセキュリティ系マネージドサービスの活用 / Real Tech Night #3

2018/12/7 開催の"Real Tech Night #3 AWSを最大限活用して教育/医療業界の課題をスマートに解決していく" での中畑の発表資料です。

https://realtech-night.connpass.com/event/110083/

Medley Inc.

December 10, 2018
Tweet

More Decks by Medley Inc.

See All by Medley Inc.
「最強のデザイナー」とは?最強になるためのキャリア像とマインドセットを考えよう / Designer_mindset
medley
0
470
パシフィックメディカル会社説明資料/ PMed Company Guide
medley
0
290
医療アプリ開発の最前線 - 安全性と生産性の両立への挑戦 -
medley
0
1.2k
ヘルススコア100に到達した理由 / MagicPod Meetup Health score Night
medley
0
3k
TypeScriptコードの漸進的改善 / Progressive Improvement of TypeScript Code
medley
2
1.1k
メドレーという会社と デザインチームのひみつ/About Medley design team
medley
0
1k
プロダクトデザインは子育て/Product design is parenting
medley
0
680
メドレー エンジニア採用資料/ Medley Engineer Guide
medley
3
22k
メドレー 会社説明資料/ Medley Company Guide
medley
13
62k

Other Decks in Programming

See All in Programming
subpath importsで始めるモック生活
10tera
0
300
ActiveSupport::Notifications supporting instrumentation of Rails apps with OpenTelemetry
ymtdzzz
1
230
CSC509 Lecture 11
javiergs
PRO
0
180
聞き手から登壇者へ: RubyKaigi2024 LTでの初挑戦が 教えてくれた、可能性の星
mikik0
1
130
GitHub Actionsのキャッシュと手を挙げることの大切さとそれに必要なこと
satoshi256kbyte
5
430
Enabling DevOps and Team Topologies Through Architecture: Architecting for Fast Flow
cer
PRO
0
310
Laravel や Symfony で手っ取り早く
OpenAPI のドキュメントを作成する
azuki
1
110
型付き API リクエストを実現するいくつかの手法とその選択 / Typed API Request
euxn23
8
2.2k
Click-free releases & the making of a CLI app
oheyadam
2
110
Jakarta EE meets AI
ivargrimstad
0
120
Ethereum_.pdf
nekomatu
0
460
Make Impossible States Impossibleを 意識してReactのPropsを設計しよう
ikumatadokoro
0
170

Featured

See All Featured
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Git: the NoSQL Database
bkeepers
PRO
427
64k
Happy Clients
brianwarren
98
6.7k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Testing 201, or: Great Expectations
jmmastey
38
7.1k
Designing for Performance
lara
604
68k
GitHub's CSS Performance
jonrohan
1030
460k
Six Lessons from altMBA
skipperchong
27
3.5k
RailsConf 2023
tenderlove
29
900
Docker and Python
trallard
40
3.1k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
4 Signs Your Business is Dying
shpigford
180
21k

Transcript

  1. ガイドライン対応のための AWSセキュリティ系マネージドサービスの活用 中畑 耕司 Kohji Nakahata 2018.12.07 @ Real Tech

    Night #3

  2. 中畑 耕司 Kohji Nakahata CLINICSカルテ 基盤システム開発チーム ゲームとキャンプを愛する 津軽出身のアラフォーエンジニア 自己紹介

  3. Agenda • CLINICSカルテについて • 3省4ガイドラインについて • セキュリティ系マネージドサービス紹介 • まとめ

  4. CLINICSカルテについて About CLINICS Karte

  5. 電子カルテサービス

  6. 3省4ガイドラインとは About 4 guidelines published by 3 Ministries

  7. 3省4ガイドラインとは • 電子カルテをはじめ、電子化された医療情報をパブリッククラウドなど に外部保存する際に遵守する必要があるガイドライン ◦ 医療情報システムの安全管理に関するガイドライン(厚生労働省) ◦ 医療情報を受託管理する情報処理事業者における安全管理ガイドライン (経済産業省) ◦

    ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(総務省) ◦ ASP・SaaSにおける情報セキュリティ対策ガイドライン(総務省) • 2018年7月から総務省のガイドラインをまとめて3省3ガイドラインに • 2019年度中には3省2ガイドラインになる予定
  8. None

  9. ガイドラインについて(一部) • 個人情報の保護方針の公開(プライバシーポリシーなど) • アカウントごとの権限管理や各種操作のログ管理 • クライアント認証や通信に関する要件 • 運営組織に属する社員へのセキュリティ教育や退職者のアカウント管理 (内部統制)

    • データのバックアップやリカバリ方法の文書化 • 日本国法の適用範囲での管理 • などなど・・・ • 個人情報の保護方針の公開(プライバシーポリシーなど) • アカウントごとの権限管理や各種操作のログ管理←今回の話題 • クライアント認証や通信に関する要件 • 運営組織に属する社員へのセキュリティ教育や退職者のアカウント管理 (内部統制) • データのバックアップやリカバリ方法の文書化 • 日本国法の適用範囲での管理 • などなど・・・

  10. 利用したマネージドサービスに ついて -

  11. セキュリティ系利用サービス(一部) ログ収集 Parameter Store Flow logs 監視、モニタリング NEW! 設定、管理 CloudWatch

    Event No Image Session Manager No Image Insights 通知

  12. AWS CloudTrail AWS CloudTrail • アクティビティを収集して可視化 ◦ AWS Management Console上での操作やAPI実行履歴など

    ◦ IAMのユーザー、リソース( Lambdaからの呼び出しなど)ごとに記録 ◦ データをS3に保存 CloudWatch Logs上での検索も可 • 集めた情報からセキュリティ分析などのトラブルシューティング • 後述するGuardDutyによる分析も可 S3 Bucket 収集 保存 分析 Users resources Event Lambda Function 起動 通知 等

  13. • VPC内のネットワーク・インターフェース (ENI)ネットワークキャプチャ • VPCごとにFlow logを作るだけですぐ収集できる。保存先は S3 or CloudWatch Logs

    • 不正侵入などがないかアクセス調査に • 後述するGuardDutyによる分析も可 VPC Flow logs Flow logs Elastic network interface (ENI) S3 Bucket Flow logs 収集 保存 分析

  14. Amazon GuardDuty • AWS全体の脅威検出 ◦ 悪意のあるスキャン、インスタンスへの脅威、アカウントへの脅威 • 機械学習による異常検知の仕組み • VPC

    Flow logs、CloudTrail Event Logs、DNS Logsのストリームを分析 • APIアクティビティ、VPCポートスキャン、異常なログインリクエスト、 IAM分析 Amazon GuardDuty DNS logs Flow logs 検知 CloudWatch Event Lambda Function 分析 起動 通知

  15. AWS Config AWS Config • AWSリソースの各種設定の履歴保存、閲覧 ◦ EC2、VPC、EBS、IAM、S3など • ルールによる異常設定の監視

    ◦ 例)S3のpublic readをNG、IAMユーザーのアカウントは MFA設定が必須 SSHトラフィックを許可しない など • デフォルトルールの他に Lambda関数によるカスタムルールの作成も可 設定項目の 評価 CloudWatch Event 設定変更 通知 S3 Bucket 保存 AWSリソース

  16. • 設定データ管理をするためのストレージ。階層構造で扱える • 設定をコードから分離するのに便利 • 最近のアップデートで ECS起動時に復号処理を書かずに環境変数が設定できるようになった! ◦ ただし Fargate

    はまだ… Parameter Store Parameter Store 保存 取得 Parameter Store Instances Containers AWS CLIなど

  17. • EC2インスタンスにSSH接続せずにシェル操作ができる! • SSHポートを開放する必要がなくなる • ユーザー名ssm-user、sudoも使える • CloudWatch Event経由で通知も可能 Parameter

    Store Session Manager セッション開 始 Session Manager AWS CLIなど No Image Event Lambda Function 起動 通知 S3 Bucket 保存 No Image

  18. • 先週(11/28)発表されたばかり • CloudWatch Logsをクエリで検索できる • filter @message like /ERROR/

    | sort @@timestamp desc 的な感じで特定のログを 抽出し、グラフ化してくれる • BigQuery的な課金($0.005/GB) • Dashboardsに任意のクエリ結果を表示 • 結果をクリップボードにコピーして markdownで貼り付けできる Parameter Store CloudWatch Logs Insights No Image

  19. まとめ • 様々なマネージドサービスを活用することで、自前で仕組みを 用意することなくセキュアにシステム構築できる • 監査や分析に必要なログも集約できていい感じ • CloudWatch Logs Insights登場でkibanaに渡す必要がなくなるかも

    • SessionManager登場でSSHポートも開放する必要なし

  20. 医療ヘルスケア分野の課題を解決する