Finatextによる セキュリティとアジリティを両立する為の秘訣 / the-secret-to-balancing-security-and-agility

Transcript

1. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

   Inc. or its affiliates. © 2023, Amazon Web Services, Inc. or its affiliates. AWS Security Forum Japan 2023 Satoshi Tajima 取締役 CTO / CISO 株式会社Finatextホールディングス Finatextによる セキュリティとアジリティを両立する為の秘訣 A - 3

2. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

   Inc. or its affiliates. Summary • 金融業界でのDevOpsの実現のために、様々な領域で Two-Person Integrity (TPI) を実践しています。 • TPIの実践が、セキュリティとアジリティの両立の秘訣と考えています。 • 効率的なTPIの実現や、その限界の補完のため、AWS Organizations を軸に、 マルチアカウント構成を活用したAWSサービスや機能を活用しています。 2

3. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

   Inc. or its affiliates. 自己紹介 Satoshi Tajima @s_tajima • 2019年に入社 • 2022年より取締役CTO/CISO • AWS re:Invent 2023 参加予定 3

4. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

   Inc. or its affiliates. 会社紹介 株式会社Finatextホールディングス • Vision: 金融がもっと暮らしに寄り添う世の中にする • Mission: 金融を ”サービス” として再発明する • 金融の基幹システムをSaaS型で提供 • 証券・保険・貸金の領域で事業を展開 4

5. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

   Inc. or its affiliates. Agenda • セキュリティとアジリティ • 職務分離とDevOps • Two-Person Integrity (TPI) • TPIの補強 • DevOps with TPIの実践結果 5

6. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

   Inc. or its affiliates. Agenda • セキュリティとアジリティ • 職務分離とDevOps • Two-Person Integrity (TPI) • TPIの補強 • DevOps with TPIの実践結果 6

7. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

   Inc. or its affiliates. セキュリティ • 一般論としては、情報の機密性・完全性・可用性を確保すること • 金融領域においては、 お客様の資産・個人情報等の重要な情報資産を守るために非常に重要な概念 • 『FISC安全対策基準※1』等のガイドラインの遵守も重要 7 セキュリティとアジリティ ※1 正しくはFISC 金融情報システムセンター『金融機関等コンピュータシステムの安全対策基準・解説書』 金融システムの安全対策に関するデファクトスタンダード。

8. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

   Inc. or its affiliates. アジリティ • 敏捷性(びんしょうせい)や素早さのこと • “金融がもっと暮らしに寄り添う世の中” を実現するためには、素早く柔軟な サービスの改善が必要 • 会社としての非連続な成長のためにも重要 8 セキュリティとアジリティ

9. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

   Inc. or its affiliates. セキュリティ と アジリティ • 一般的には、トレードオフになると考えられている • Finatextでは、これをトレードオフとせず、両立する挑戦をしている • 今回は「職務分離とDevOps」という切り口で、当社の取り組みを紹介 9 セキュリティとアジリティ

10. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. Agenda • セキュリティとアジリティ • 職務分離とDevOps • Two-Person Integrity (TPI) • TPIの補強 • DevOps with TPIの実践結果 10

11. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. 職務分離 • 職務分離とは、主に不正防止の観点で、業務組織の分離や業務の分担を行う こと • 『FISC安全対策基準』の統制基準においてもその必要性が言及され、 “相互牽制体制を整備すること” が求められている 11 職務分離とDevOps

12. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. 開発と運用の分離 • 金融業界において、職務分離の最も一般的な手段は “開発と運用を分離” する こと • 開発部門が運用をしないこと、運用部門が開発をしないことという形で相互 牽制体制を作る • 一方で、開発と運用の分離は、多くの弊害を生む • インセンティブの違いによる対立構造 • 経験獲得や能力成長の偏り 12 職務分離とDevOps

13. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. DevOpsの重要性 • 開発部門と運用部門を分けるのではなく、 1つのチームに開発と運用の両方の権限と責任を持たせる体制 • 前述のような弊害を取り除くことができる • 『FISC安全対策基準』においても、最新の第11版においてはDevOpsの採用に ついて言及されている • ”相互牽制体制” の実現については、別途考慮が必要 13 職務分離とDevOps

14. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. Agenda • セキュリティとアジリティ • 職務分離とDevOps • Two-Person Integrity (TPI) • TPIの補強 • DevOps with TPIの実践結果 14

15. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. Two-Person Integrity (TPI) • TPI とは、重要なデータへのアクセスや、リスクの高いオペレーションに関し て、単独での実行を不可にし、2人以上の関与を必須とするアクセス管理の手 法 • Two-Person Rule と呼ばれることもある • DevOpsに、TPIの考え方を取り入れることで、相互牽制体制を実現 • このTPIを、できる限りクラウドネイティブに実現することも重要 15 Two-Person Integrity (TPI)

16. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. Two-Person Integrity (TPI) 16 Two-Person Integrity (TPI) 参考: NISTの用語集からの引用 An example of dynamic separation of duty is the two-person rule. 動的な職務分離の1つの例は、two- person rule である。 https://csrc.nist.gov/glossary/term/separation_of_duty より引用

17. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. AWSリソースのデプロイに関するTPI 前提 • インフラの構成は IaC (Infrastructure as Code) により原則コード化 • コードの管理にはGitHubを利用 TPIの実現方法 • GitHubのリポジトリに Require approvals を設定 • IaCによって管理されたコードのデプロイに、Atlantis を利用 17 Two-Person Integrity (TPI)

18. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. AWSリソースのデプロイに関するTPI Require approvals • GitHubリポジトリのブランチプロテクションのオプションの1つ • この設定を有効にすると、必要なメンバーによる承認が無い限りPull Request のマージができなくなる 18 Two-Person Integrity (TPI)

19. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. AWSリソースのデプロイに関するTPI Atlantis • https://www.runatlantis.io/ • TerraformをGitHub経由で運用できるようにするツール • Pull Requestのコメントをトリガーにして、Terraformのコマンドを実行でき る • 設定によって、terraform applyの前に、そのPull Requestが承認されているこ とを必須にできる 19 Two-Person Integrity (TPI)

20. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. AWSリソースのデプロイに関するTPI 20 Two-Person Integrity (TPI) 1. Pull Requestを作成 2. Webhook 3. terraform plan 4. plan結果をコメント 5. Review & Approve 6. ”atlantis apply” とコメント 7. Webhook 8. terraform apply 9. apply結果をコメント

21. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. AWSリソースのデプロイに関するTPI 21 Two-Person Integrity (TPI)

22. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. AWSリソースのマニュアル操作に関するTPI 前提 • システムの運用を可能な限り自動化しても、一部のマニュアル操作は残って しまう • AWSアカウントへのアクセスは、GatewayアカウントからのAssumeRoleを用 いている TPIの実現方法 • 一時的な AssumeRole の権限付与のための、TARP (Temporary AssumeRole Policy) という内製の仕組みを構築 22 Two-Person Integrity (TPI)

23. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. AWSリソースのマニュアル操作に関するTPI GatewayアカウントからのAssumeRole • 各種ワークロードの稼働するAWSアカウントに、IAM Userを作成せず、専用 のAWSアカウント(Gatewayアカウント)に作成したIAM Userから AssumeRole する形式をとっている TARP (Temporary AssumeRole Policy) • この際の AssumeRole の許可ポリシーを動的に付与・一定期間経過で自動削 除する仕組み • 権限の付与は、本人以外のメンバーによる承認が必要となっている 23 Two-Person Integrity (TPI)

24. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. AWSリソースのマニュアル操作に関するTPI 24 Two-Person Integrity (TPI) 1. AWSアカウントへのアクセス許可を要求 2. 権限付与のFunction をInvoke 3. IAM PolicyをAttach 4. AssumeRoleにより Account Aにアクセス 5. 一定期間経過で IAM Policyを自動削除

25. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. AWSリソースのマニュアル操作に関するTPI 参考: TEAM (Temporary Elevated Access Management) • https://github.com/aws-samples/iam-identity-center-team • AWSにより公開されているOSS • TARPで実現しているような承認付きの一時的な権限付与を実現するための ツール 25 Two-Person Integrity (TPI)

26. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. データベースアクセスのTPI 前提 • データベースへの直接アクセスは、極力避けるべきであるが0にはできない TPIの実現方法 • Opserver という、データベースにアクセスするための踏み台の仕組みを構築 • データベースにアクセスするためのセキュリティグループの設定を承認付き で動的に付与・一定期間経過で自動削除する仕組みとなっている 26 Two-Person Integrity (TPI)

27. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. データベースアクセスのTPI 27 Two-Person Integrity (TPI) 1. データベースへの アクセス許可を要求 2. Security Groupの 通信許可を設定 3. Opserver経由で Databaseにアクセス

28. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. ルートアカウントのTPI 前提 • ルートアカウントは強大な権限を持つため、TPIを最も必要とする部分 • ルートアカウントは、Security Key (YubiKey) によるMFAを設定している TPIの実現方法 • パスワードの管理者と、MFAデバイスの管理者を分離することでTPIを実現 28 Two-Person Integrity (TPI)

29. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. Agenda • セキュリティとアジリティ • 職務分離とDevOps • Two-Person Integrity (TPI) • TPIの補強 • DevOps with TPIの実践結果 29

30. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. TPIの限界 • TPIによるアクセス管理だけで、十分にセキュアに情報資産を保護できるわけ ではない • TPIだけに頼らず、それを補強する仕組みがセットで必要 • TPIを回避した不正・不適切なオペレーションは、悪意の有無それぞれを想定 しておく必要がある 30 TPIの補強

31. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. 監査ログの保存 補強すべきリスク • TPIによって取得した権限で、監査ログの削除・改ざんが行われる 補強の仕組み • Amazon CloudTrail等の監査ログは専用のAWSアカウントのS3 Bucketに保存 • また、Amazon S3のObject Lock※1 を使い、WORM (Write Once Read Many) な ストレージへによる保護も実施 31 TPIの補強 ※1 https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/object-lock.html

32. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. バックアップの保護 補強すべきリスク • TPIによって取得した権限で、バックアップの削除・改ざんが行われる 補強の仕組み • バックアップは、AWS Backup により取得・管理している • AWS Backup の Vault Lock※1 の機能を利用し、バックアップの保護をしている 32 TPIの補強 ※1 https://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/vault-lock.html

33. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. リアルタイムなモニタリング 補強すべきリスク • TPIによって取得した権限で、想定しない高リスクな操作が行われる 補強の仕組み • Amazon CloudTrail のログを常時監視し、リスクの高いオペレーションが行わ れた場合に通知を飛ばす • AWS Organizations の Service control policies (SCPs)※1 を組み合わせることで、 高権限を持った状態でも、このモニタリングの仕組みを解除することはでき ないようにしておく 33 TPIの補強 ※1 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps.html

34. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. CSPMの活用 補強すべきリスク • リアルタイムなモニタリングでカバーできない高リスクな操作や構成の捕捉 補強の仕組み • CSPM (Cloud Security Posture Management) により、設定を監視 • AWSについては、AWS Security Hub / AWS Trusted Advisor を活用 • GitHub については、内製のシステムを構築して監視 • 例えば、Require approvals の設定が有効になっていることを担保 34 TPIの補強

35. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. Agenda • セキュリティとアジリティ • 職務分離とDevOps • Two-Person Integrity (TPI) • TPIの補強 • DevOps with TPIの実践結果 35

36. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. セキュリティとアジリティの両立への寄与 セキュリティ • 2023年第1四半期時点での私達のパート ナー企業数 • これだけの数の企業様が、我々のサービ スを 金融基幹システム として利用して いただいている • セキュリティ面での信頼が寄与 アジリティ • 週あたりのAWSリソースの更新数 • ほとんどのエンジニアが、IaCによるイ ンフラの操作が可能 • 新入社員も Day 1 からコミットが可能に 36 DevOps with TPIの実践結果 17 400

37. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. Summary • 金融業界でのDevOpsの実現のために、様々な領域で Two-Person Integrity (TPI) を実践しています。 • TPIの実践が、セキュリティとアジリティの両立の秘訣と考えています。 • 効率的なTPIの実現や、その限界の補完のため、AWS Organizations を軸に、 マルチアカウント構成を活用したAWSサービスや機能を活用しています。 37

38. AWS SECURITY FORUM JAPAN 2023 © 2023, Amazon Web Services,

    Inc. or its affiliates. © 2023, Amazon Web Services, Inc. or its affiliates. Thank you!