Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Finatextによる セキュリティとアジリティを両立する為の秘訣 / the-secret-to-balancing-security-and-agility

Finatextによる セキュリティとアジリティを両立する為の秘訣 / the-secret-to-balancing-security-and-agility

AWS Security Forum Japan 2023 の A-3 のFinatextホールディングスによる発表部分の講演資料です。

資料内のURL
* Separation of Duty: https://csrc.nist.gov/glossary/term/separation_of_duty
* Atlantis: https://www.runatlantis.io/
* TEAM: https://github.com/aws-samples/iam-identity-center-team
* Object Lock: https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/object-lock.html
* Vault Lock: https://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/vault-lock.html
* Service control policies: https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps.html

※FISC安全対策基準の引用の許諾が投影資料分までという事情から、資料は登壇時から一部修正してアップロードしています。

Satoshi Tajima

October 12, 2023
Tweet

More Decks by Satoshi Tajima

Other Decks in Technology

Transcript

  1. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    © 2023, Amazon Web Services, Inc. or its affiliates.
    AWS Security Forum Japan 2023
    Satoshi Tajima
    取締役 CTO / CISO
    株式会社Finatextホールディングス
    Finatextによる
    セキュリティとアジリティを両立する為の秘訣
    A - 3

    View full-size slide

  2. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    Summary
    • 金融業界でのDevOpsの実現のために、様々な領域で Two-Person Integrity
    (TPI) を実践しています。
    • TPIの実践が、セキュリティとアジリティの両立の秘訣と考えています。
    • 効率的なTPIの実現や、その限界の補完のため、AWS Organizations を軸に、
    マルチアカウント構成を活用したAWSサービスや機能を活用しています。
    2

    View full-size slide

  3. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    自己紹介
    Satoshi Tajima @s_tajima
    • 2019年に入社
    • 2022年より取締役CTO/CISO
    • AWS re:Invent 2023 参加予定
    3

    View full-size slide

  4. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    会社紹介
    株式会社Finatextホールディングス
    • Vision: 金融がもっと暮らしに寄り添う世の中にする
    • Mission: 金融を ”サービス” として再発明する
    • 金融の基幹システムをSaaS型で提供
    • 証券・保険・貸金の領域で事業を展開
    4

    View full-size slide

  5. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    Agenda
    • セキュリティとアジリティ
    • 職務分離とDevOps
    • Two-Person Integrity (TPI)
    • TPIの補強
    • DevOps with TPIの実践結果
    5

    View full-size slide

  6. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    Agenda
    • セキュリティとアジリティ
    • 職務分離とDevOps
    • Two-Person Integrity (TPI)
    • TPIの補強
    • DevOps with TPIの実践結果
    6

    View full-size slide

  7. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    セキュリティ
    • 一般論としては、情報の機密性・完全性・可用性を確保すること
    • 金融領域においては、
    お客様の資産・個人情報等の重要な情報資産を守るために非常に重要な概念
    • 『FISC安全対策基準※1』等のガイドラインの遵守も重要
    7
    セキュリティとアジリティ
    ※1 正しくはFISC 金融情報システムセンター『金融機関等コンピュータシステムの安全対策基準・解説書』
    金融システムの安全対策に関するデファクトスタンダード。

    View full-size slide

  8. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    アジリティ
    • 敏捷性(びんしょうせい)や素早さのこと
    • “金融がもっと暮らしに寄り添う世の中” を実現するためには、素早く柔軟な
    サービスの改善が必要
    • 会社としての非連続な成長のためにも重要
    8
    セキュリティとアジリティ

    View full-size slide

  9. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    セキュリティ と アジリティ
    • 一般的には、トレードオフになると考えられている
    • Finatextでは、これをトレードオフとせず、両立する挑戦をしている
    • 今回は「職務分離とDevOps」という切り口で、当社の取り組みを紹介
    9
    セキュリティとアジリティ

    View full-size slide

  10. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    Agenda
    • セキュリティとアジリティ
    • 職務分離とDevOps
    • Two-Person Integrity (TPI)
    • TPIの補強
    • DevOps with TPIの実践結果
    10

    View full-size slide

  11. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    職務分離
    • 職務分離とは、主に不正防止の観点で、業務組織の分離や業務の分担を行う
    こと
    • 『FISC安全対策基準』の統制基準においてもその必要性が言及され、
    “相互牽制体制を整備すること” が求められている
    11
    職務分離とDevOps

    View full-size slide

  12. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    開発と運用の分離
    • 金融業界において、職務分離の最も一般的な手段は “開発と運用を分離” する
    こと
    • 開発部門が運用をしないこと、運用部門が開発をしないことという形で相互
    牽制体制を作る
    • 一方で、開発と運用の分離は、多くの弊害を生む
    • インセンティブの違いによる対立構造
    • 経験獲得や能力成長の偏り
    12
    職務分離とDevOps

    View full-size slide

  13. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    DevOpsの重要性
    • 開発部門と運用部門を分けるのではなく、
    1つのチームに開発と運用の両方の権限と責任を持たせる体制
    • 前述のような弊害を取り除くことができる
    • 『FISC安全対策基準』においても、最新の第11版においてはDevOpsの採用に
    ついて言及されている
    • ”相互牽制体制” の実現については、別途考慮が必要
    13
    職務分離とDevOps

    View full-size slide

  14. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    Agenda
    • セキュリティとアジリティ
    • 職務分離とDevOps
    • Two-Person Integrity (TPI)
    • TPIの補強
    • DevOps with TPIの実践結果
    14

    View full-size slide

  15. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    Two-Person Integrity (TPI)
    • TPI とは、重要なデータへのアクセスや、リスクの高いオペレーションに関し
    て、単独での実行を不可にし、2人以上の関与を必須とするアクセス管理の手

    • Two-Person Rule と呼ばれることもある
    • DevOpsに、TPIの考え方を取り入れることで、相互牽制体制を実現
    • このTPIを、できる限りクラウドネイティブに実現することも重要
    15
    Two-Person Integrity (TPI)

    View full-size slide

  16. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    Two-Person Integrity (TPI)
    16
    Two-Person Integrity (TPI)
    参考: NISTの用語集からの引用
    An example of dynamic separation of
    duty is the two-person rule.
    動的な職務分離の1つの例は、two-
    person rule である。
    https://csrc.nist.gov/glossary/term/separation_of_duty より引用

    View full-size slide

  17. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    AWSリソースのデプロイに関するTPI
    前提
    • インフラの構成は IaC (Infrastructure as Code) により原則コード化
    • コードの管理にはGitHubを利用
    TPIの実現方法
    • GitHubのリポジトリに Require approvals を設定
    • IaCによって管理されたコードのデプロイに、Atlantis を利用
    17
    Two-Person Integrity (TPI)

    View full-size slide

  18. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    AWSリソースのデプロイに関するTPI
    Require approvals
    • GitHubリポジトリのブランチプロテクションのオプションの1つ
    • この設定を有効にすると、必要なメンバーによる承認が無い限りPull Request
    のマージができなくなる
    18
    Two-Person Integrity (TPI)

    View full-size slide

  19. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    AWSリソースのデプロイに関するTPI
    Atlantis
    • https://www.runatlantis.io/
    • TerraformをGitHub経由で運用できるようにするツール
    • Pull Requestのコメントをトリガーにして、Terraformのコマンドを実行でき

    • 設定によって、terraform applyの前に、そのPull Requestが承認されているこ
    とを必須にできる
    19
    Two-Person Integrity (TPI)

    View full-size slide

  20. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    AWSリソースのデプロイに関するTPI
    20
    Two-Person Integrity (TPI)
    1. Pull Requestを作成
    2. Webhook
    3. terraform plan
    4. plan結果をコメント
    5. Review & Approve
    6. ”atlantis apply” とコメント
    7. Webhook
    8. terraform apply
    9. apply結果をコメント

    View full-size slide

  21. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    AWSリソースのデプロイに関するTPI
    21
    Two-Person Integrity (TPI)

    View full-size slide

  22. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    AWSリソースのマニュアル操作に関するTPI
    前提
    • システムの運用を可能な限り自動化しても、一部のマニュアル操作は残って
    しまう
    • AWSアカウントへのアクセスは、GatewayアカウントからのAssumeRoleを用
    いている
    TPIの実現方法
    • 一時的な AssumeRole の権限付与のための、TARP (Temporary AssumeRole
    Policy) という内製の仕組みを構築
    22
    Two-Person Integrity (TPI)

    View full-size slide

  23. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    AWSリソースのマニュアル操作に関するTPI
    GatewayアカウントからのAssumeRole
    • 各種ワークロードの稼働するAWSアカウントに、IAM Userを作成せず、専用
    のAWSアカウント(Gatewayアカウント)に作成したIAM Userから AssumeRole
    する形式をとっている
    TARP (Temporary AssumeRole Policy)
    • この際の AssumeRole の許可ポリシーを動的に付与・一定期間経過で自動削
    除する仕組み
    • 権限の付与は、本人以外のメンバーによる承認が必要となっている
    23
    Two-Person Integrity (TPI)

    View full-size slide

  24. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    AWSリソースのマニュアル操作に関するTPI
    24
    Two-Person Integrity (TPI)
    1. AWSアカウントへのアクセス許可を要求
    2. 権限付与のFunction
    をInvoke 3. IAM PolicyをAttach
    4. AssumeRoleにより
    Account Aにアクセス
    5. 一定期間経過で
    IAM Policyを自動削除

    View full-size slide

  25. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    AWSリソースのマニュアル操作に関するTPI
    参考: TEAM (Temporary Elevated Access Management)
    • https://github.com/aws-samples/iam-identity-center-team
    • AWSにより公開されているOSS
    • TARPで実現しているような承認付きの一時的な権限付与を実現するための
    ツール
    25
    Two-Person Integrity (TPI)

    View full-size slide

  26. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    データベースアクセスのTPI
    前提
    • データベースへの直接アクセスは、極力避けるべきであるが0にはできない
    TPIの実現方法
    • Opserver という、データベースにアクセスするための踏み台の仕組みを構築
    • データベースにアクセスするためのセキュリティグループの設定を承認付き
    で動的に付与・一定期間経過で自動削除する仕組みとなっている
    26
    Two-Person Integrity (TPI)

    View full-size slide

  27. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    データベースアクセスのTPI
    27
    Two-Person Integrity (TPI)
    1. データベースへの
    アクセス許可を要求
    2. Security Groupの
    通信許可を設定
    3. Opserver経由で
    Databaseにアクセス

    View full-size slide

  28. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    ルートアカウントのTPI
    前提
    • ルートアカウントは強大な権限を持つため、TPIを最も必要とする部分
    • ルートアカウントは、Security Key (YubiKey) によるMFAを設定している
    TPIの実現方法
    • パスワードの管理者と、MFAデバイスの管理者を分離することでTPIを実現
    28
    Two-Person Integrity (TPI)

    View full-size slide

  29. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    Agenda
    • セキュリティとアジリティ
    • 職務分離とDevOps
    • Two-Person Integrity (TPI)
    • TPIの補強
    • DevOps with TPIの実践結果
    29

    View full-size slide

  30. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    TPIの限界
    • TPIによるアクセス管理だけで、十分にセキュアに情報資産を保護できるわけ
    ではない
    • TPIだけに頼らず、それを補強する仕組みがセットで必要
    • TPIを回避した不正・不適切なオペレーションは、悪意の有無それぞれを想定
    しておく必要がある
    30
    TPIの補強

    View full-size slide

  31. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    監査ログの保存
    補強すべきリスク
    • TPIによって取得した権限で、監査ログの削除・改ざんが行われる
    補強の仕組み
    • Amazon CloudTrail等の監査ログは専用のAWSアカウントのS3 Bucketに保存
    • また、Amazon S3のObject Lock※1 を使い、WORM (Write Once Read Many) な
    ストレージへによる保護も実施
    31
    TPIの補強
    ※1 https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/object-lock.html

    View full-size slide

  32. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    バックアップの保護
    補強すべきリスク
    • TPIによって取得した権限で、バックアップの削除・改ざんが行われる
    補強の仕組み
    • バックアップは、AWS Backup により取得・管理している
    • AWS Backup の Vault Lock※1 の機能を利用し、バックアップの保護をしている
    32
    TPIの補強
    ※1 https://docs.aws.amazon.com/ja_jp/aws-backup/latest/devguide/vault-lock.html

    View full-size slide

  33. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    リアルタイムなモニタリング
    補強すべきリスク
    • TPIによって取得した権限で、想定しない高リスクな操作が行われる
    補強の仕組み
    • Amazon CloudTrail のログを常時監視し、リスクの高いオペレーションが行わ
    れた場合に通知を飛ばす
    • AWS Organizations の Service control policies (SCPs)※1 を組み合わせることで、
    高権限を持った状態でも、このモニタリングの仕組みを解除することはでき
    ないようにしておく
    33
    TPIの補強
    ※1 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_manage_policies_scps.html

    View full-size slide

  34. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    CSPMの活用
    補強すべきリスク
    • リアルタイムなモニタリングでカバーできない高リスクな操作や構成の捕捉
    補強の仕組み
    • CSPM (Cloud Security Posture Management) により、設定を監視
    • AWSについては、AWS Security Hub / AWS Trusted Advisor を活用
    • GitHub については、内製のシステムを構築して監視
    • 例えば、Require approvals の設定が有効になっていることを担保
    34
    TPIの補強

    View full-size slide

  35. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    Agenda
    • セキュリティとアジリティ
    • 職務分離とDevOps
    • Two-Person Integrity (TPI)
    • TPIの補強
    • DevOps with TPIの実践結果
    35

    View full-size slide

  36. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    セキュリティとアジリティの両立への寄与
    セキュリティ
    • 2023年第1四半期時点での私達のパート
    ナー企業数
    • これだけの数の企業様が、我々のサービ
    スを 金融基幹システム として利用して
    いただいている
    • セキュリティ面での信頼が寄与
    アジリティ
    • 週あたりのAWSリソースの更新数
    • ほとんどのエンジニアが、IaCによるイ
    ンフラの操作が可能
    • 新入社員も Day 1 からコミットが可能に
    36
    DevOps with TPIの実践結果
    17 400

    View full-size slide

  37. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    Summary
    • 金融業界でのDevOpsの実現のために、様々な領域で Two-Person Integrity
    (TPI) を実践しています。
    • TPIの実践が、セキュリティとアジリティの両立の秘訣と考えています。
    • 効率的なTPIの実現や、その限界の補完のため、AWS Organizations を軸に、
    マルチアカウント構成を活用したAWSサービスや機能を活用しています。
    37

    View full-size slide

  38. AWS SECURITY FORUM JAPAN 2023
    © 2023, Amazon Web Services, Inc. or its affiliates.
    © 2023, Amazon Web Services, Inc. or its affiliates.
    Thank you!

    View full-size slide