FISCから学ぶAWSセキュリティことはじめ.pdf

by iselegant

Slide 1

Slide 1 text

FISCから学ぶ AWSセキュリティことはじめ野村総合研究所新井雅也 JAWS-UG 初⼼者⽀部#22 Fin-JAWSコラボ会

Slide 2

Slide 2 text

*OUSPEVDUJPO @msy78

Slide 3

Slide 3 text

FISCから学ぶAWSセキュリティことはじめ FISCガイドラインをベースに AWSセキュリティ設計を俯瞰できる！お伝えしないこと！・各AWSサービスの詳細内容や実装⽅法、テクニック（それを話すには時間が⾜りない…）本⽇お伝えしたいこと

Slide 4

Slide 4 text

FISCから学ぶAWSセキュリティことはじめ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する本⽇のアジェンダ FISCガイドライン準拠の上でのユースケースまとめ

Slide 5

Slide 5 text

FISCから学ぶAWSセキュリティことはじめ本⽇のアジェンダ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケースまとめ

Slide 6

Slide 6 text

AWS x ⾦融と聞いて、どのようなキーワードを思い浮かべますか？

Slide 7

Slide 7 text

プライベートブラウジングモードでGoogleのサジェストを⾒てみると…

Slide 8

Slide 8 text

プライベートブラウジングモードでGoogleのサジェストを⾒てみると… 法令遵守の観点が意識されているのか、準拠すべきルールがある？やはりセキュリティ要件を気にしている？

Slide 9

Slide 9 text

準拠すべきシステムのガイドラインが存在・⾦融機関がITサービスを提供する際の健全性評価の指標として、 FISCが『⾦融機関等コンピュータシステムの安全対策基準』を提供⾦融系ITサービスを提供する上でのFISCガイドライン https://www.fisc.or.jp/ 参考：設備関連 138項⽬技術関連 53項⽬運⽤関連 115項⽬・セキュリティ対策などの技術項⽬に加え、設備や運⽤に関する基準を提供 FISCガイドライン (第8版+追補改訂版)

Slide 10

Slide 10 text

⾦融系サービスはFISCガイドラインの準拠が重要！（以前は⾦融庁の検査マニュアルにも記載があった）

Slide 11

Slide 11 text

Slide 12

Slide 12 text

セキュリティはAWSにとっても最重要項⽬の⼀つ AWSとFISCガイドラインの関係性 https://d1.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf ホワイトペーパー「 AWS セキュリティのベストプラクティス ‒ 概要」より引⽤アマゾンウェブサービス (AWS) のお客様にとって最も重要なことは、情報のセキュリティです。セキュリティは、偶発的または意図的な盗難、漏洩、不整合、削除からミッションクリティカルな情報を保護する機能要件の中核部分です

Slide 13

Slide 13 text

AWSからFISCガイドライン(第8版)に準拠したリファレンスガイドラインが提供 AWSとFISCガイドラインの関係性 https://aws.amazon.com/jp/compliance/fisc/ 参考：

Slide 14

Slide 14 text

https://d1.awsstatic.com/whitepapers/jp/security/FISC_Document_20120824JP.pdf 引⽤： AWSが提供しているセキュリティリファレンス（⼀部抜粋）

Slide 15

Slide 15 text

しかし、、

Slide 16

Slide 16 text

AWS利⽤者側も対応が必要な項⽬が多数あり AWSとFISCガイドラインの関係性 https://aws.amazon.com/jp/compliance/fisc/ 参考： FISC 安全対策基準・解説書では、設備、運⽤および技術といった広範囲にわたるシステムの安全性に関する管理策が⽰されています。お客様がAWS環境をご利⽤になる際には、責任共有モデルに基づき、AWSの対応、あるいはお客様の対応等という形で責任の範囲を明確にした上で、各要件に応じた対策や確認を実施する必要があります。 https://aws.amazon.com/jp/compliance/shared-responsibility-model/

Slide 17

Slide 17 text

Slide 18

Slide 18 text

FISCガイドラインを俯瞰するとセキュリティ/運⽤実装のポイントが⾒えてくる FISCガイドラインからセキュリティ項⽬を俯瞰するウイルス対策(脆弱性保護) FISCガイドライン (第8版+追補改定版) 本⼈確認ファシリティ(建物/電源/空調/回線/⼊退室管理、等) 不正アクセス対策運⽤体制や⼿順書の整備データ保護(漏洩対策) 障害の早期発⾒と回復 (運⽤監視) ⼤規模災害対策（⼆重化等）暗号鍵の管理ソフトウェア管理データバックアップ運⽤履歴管理 (アクセスログ/ 作業ログ…) 準拠が必要 (AWSリソースで対応) 準拠が不要 (AWSリソース外で対応) 凡例セキュリティ/運⽤カットで集約した項⽬リソース管理抑⽌予防検出回復 AWSセキュリティリファレンス

Slide 19

Slide 19 text

Slide 20

Slide 20 text

シンプルなALB+EC2+RDS構成で各FISCガイドライン観点で考察してみます FISCガイドライン準拠のユースケース

Slide 21

Slide 21 text

NWやデータの暗号化はもちろん、データの内容によってはAppレベルで暗号化 FISCガイドライン準拠のユースケースデータ保護(漏洩対策) ACM

Slide 22

Slide 22 text

暗号鍵はKMSに集約させるケースが多い。保護レベル要件に応じてCloudHSMも検討 FISCガイドライン準拠のユースケース暗号鍵の管理

Slide 23

Slide 23 text

Systems Managerのインベントリ情報やリポジトリツールでSW全体を管理 FISCガイドライン準拠のユースケースソフトウェア管理

Slide 24

Slide 24 text

CloudWatchメトリクスベースでリソース管理 FISCガイドライン準拠のユースケースリソース管理

Slide 25

Slide 25 text

AWSが提供する不正予防&検出系のサービスは割と⼿厚い印象 FISCガイドライン準拠のユースケース不正アクセス対策

Slide 26

Slide 26 text

ウイルス対策ソフトウェアはサードパーティ製を利⽤ FISCガイドライン準拠のユースケースウイルス対策

Slide 27

Slide 27 text

AWSレベルはIAM、Appレベルは⾃前で⽤意することが多い FISCガイドライン準拠のユースケース本⼈確認

Slide 28

Slide 28 text

マルチAZは必須、データ保持要件次第でマルチリージョン化 FISCガイドライン準拠のユースケース⼤規模災害対策

Slide 29

Slide 29 text

CloudTrail有効化は必須、他は要件に併せてCloudWatchやKinesis->S3など FISCガイドライン準拠のユースケース履歴管理 (アクセスログ/作業ログ…)

Slide 30

Slide 30 text

CloudWatchアラームをベースに通知実装が可能 FISCガイドライン準拠のユースケース障害の早期発⾒と回復 (運⽤監視)

Slide 31

Slide 31 text

Slide 32

Slide 32 text

まとめ・⾦融系ITサービスの健全性指標としてFISCガイドライン・AWSでも上記に準拠する形でリファレンスを提供・FISCガイドラインをベースにAWSセキュリティ設計を俯瞰できるパブリッククラウドはインターネット越しの利⽤が前提 # どのようにして多層防御を⾏うかまずは、実装可能な項⽬をすべて洗い出してみることも⼤切 # その後、コストとのバランスで採⽤可否を判断

Slide 33

Slide 33 text

FISCの最新版は第8版ではなく、実は第9版です！最後に 2020年1⽉29⽇時点では、 AWSからFISCガイドライン第9版に関するリファレンスガイドが掲⽰されていない様⼦。 AWSさん、なにとぞ…！！

Slide 34

Slide 34 text

ほんの少しだけ宣伝させてください… 最後の最後に… https://booth.pm/ja/items/1563844 僕のAWS師匠である佐々⽊さんがIAMに特化した本を出しました。 IAMを踏み込んで理解したい⽅、是⾮お⼿に取ってみてください。

Slide 35

Slide 35 text

ご清聴いただきありがとうございました。