ガイドライン対応のための AWSセキュリティ系マネージドサービスの活用 中畑 耕司 Kohji Nakahata 2018.12.07 @ Real Tech Night #3

中畑 耕司 Kohji Nakahata CLINICSカルテ 基盤システム開発チーム ゲームとキャンプを愛する 津軽出身のアラフォーエンジニア 自己紹介

Agenda ● CLINICSカルテについて ● 3省4ガイドラインについて ● セキュリティ系マネージドサービス紹介 ● まとめ

CLINICSカルテについて About CLINICS Karte

電子カルテサービス

3省4ガイドラインとは About 4 guidelines published by 3 Ministries

3省4ガイドラインとは ● 電子カルテをはじめ、電子化された医療情報をパブリッククラウドなど に外部保存する際に遵守する必要があるガイドライン ○ 医療情報システムの安全管理に関するガイドライン（厚生労働省） ○ 医療情報を受託管理する情報処理事業者における安全管理ガイドライン （経済産業省） ○ ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン（総務省） ○ ASP・SaaSにおける情報セキュリティ対策ガイドライン（総務省） ● 2018年7月から総務省のガイドラインをまとめて3省3ガイドラインに ● 2019年度中には3省2ガイドラインになる予定

No content

ガイドラインについて（一部） ● 個人情報の保護方針の公開(プライバシーポリシーなど) ● アカウントごとの権限管理や各種操作のログ管理 ● クライアント認証や通信に関する要件 ● 運営組織に属する社員へのセキュリティ教育や退職者のアカウント管理 （内部統制） ● データのバックアップやリカバリ方法の文書化 ● 日本国法の適用範囲での管理 ● などなど・・・ ● 個人情報の保護方針の公開(プライバシーポリシーなど) ● アカウントごとの権限管理や各種操作のログ管理←今回の話題 ● クライアント認証や通信に関する要件 ● 運営組織に属する社員へのセキュリティ教育や退職者のアカウント管理 （内部統制） ● データのバックアップやリカバリ方法の文書化 ● 日本国法の適用範囲での管理 ● などなど・・・

利用したマネージドサービスに ついて -

セキュリティ系利用サービス（一部） ログ収集 Parameter Store Flow logs 監視、モニタリング NEW! 設定、管理 CloudWatch Event No Image Session Manager No Image Insights 通知

AWS CloudTrail AWS CloudTrail ● アクティビティを収集して可視化 ○ AWS Management Console上での操作やAPI実行履歴など ○ IAMのユーザー、リソース（ Lambdaからの呼び出しなど）ごとに記録 ○ データをS3に保存　CloudWatch Logs上での検索も可 ● 集めた情報からセキュリティ分析などのトラブルシューティング ● 後述するGuardDutyによる分析も可 S3 Bucket 収集 保存 分析 Users resources Event Lambda Function 起動 通知 等

● VPC内のネットワーク・インターフェース (ENI)ネットワークキャプチャ ● VPCごとにFlow logを作るだけですぐ収集できる。保存先は S3 or CloudWatch Logs ● 不正侵入などがないかアクセス調査に ● 後述するGuardDutyによる分析も可 VPC Flow logs Flow logs Elastic network interface (ENI) S3 Bucket Flow logs 収集 保存 分析

Amazon GuardDuty ● AWS全体の脅威検出 ○ 悪意のあるスキャン、インスタンスへの脅威、アカウントへの脅威 ● 機械学習による異常検知の仕組み ● VPC Flow logs、CloudTrail Event Logs、DNS Logsのストリームを分析 ● APIアクティビティ、VPCポートスキャン、異常なログインリクエスト、 IAM分析 Amazon GuardDuty DNS logs Flow logs 検知 CloudWatch Event Lambda Function 分析 起動 通知

AWS Config AWS Config ● AWSリソースの各種設定の履歴保存、閲覧 ○ EC2、VPC、EBS、IAM、S3など ● ルールによる異常設定の監視 ○ 例）S3のpublic readをNG、IAMユーザーのアカウントは MFA設定が必須 SSHトラフィックを許可しない　など ● デフォルトルールの他に Lambda関数によるカスタムルールの作成も可 設定項目の 評価 CloudWatch Event 設定変更 通知 S3 Bucket 保存 AWSリソース

● 設定データ管理をするためのストレージ。階層構造で扱える ● 設定をコードから分離するのに便利 ● 最近のアップデートで ECS起動時に復号処理を書かずに環境変数が設定できるようになった！ ○ ただし Fargate はまだ… Parameter Store Parameter Store 保存 取得 Parameter Store Instances Containers AWS CLIなど

● EC2インスタンスにSSH接続せずにシェル操作ができる！ ● SSHポートを開放する必要がなくなる ● ユーザー名ssm-user、sudoも使える ● CloudWatch Event経由で通知も可能 Parameter Store Session Manager セッション開 始 Session Manager AWS CLIなど No Image Event Lambda Function 起動 通知 S3 Bucket 保存 No Image

● 先週(11/28)発表されたばかり ● CloudWatch Logsをクエリで検索できる ● filter @message like /ERROR/ | sort @@timestamp desc 的な感じで特定のログを 抽出し、グラフ化してくれる ● BigQuery的な課金（$0.005/GB） ● Dashboardsに任意のクエリ結果を表示 ● 結果をクリップボードにコピーして markdownで貼り付けできる Parameter Store CloudWatch Logs Insights No Image

まとめ ● 様々なマネージドサービスを活用することで、自前で仕組みを 用意することなくセキュアにシステム構築できる ● 監査や分析に必要なログも集約できていい感じ ● CloudWatch Logs Insights登場でkibanaに渡す必要がなくなるかも ● SessionManager登場でSSHポートも開放する必要なし

医療ヘルスケア分野の課題を解決する