Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
FISCから学ぶAWSセキュリティことはじめ.pdf
Search
iselegant
January 29, 2020
Technology
10
3.9k
FISCから学ぶAWSセキュリティことはじめ.pdf
iselegant
January 29, 2020
Tweet
Share
More Decks by iselegant
See All by iselegant
Amazon ECS & AWS Fargate 運用アーキテクチャ2025 / Amazon ECS and AWS Fargate Ops Architecture 2025
iselegant
19
9.7k
勝手に!深堀り!Cloud Run worker pools / Deep dive Cloud Run worker pools
iselegant
5
2.2k
Amazon ECSとCloud Runの相互理解で広げるクラウドネイティブの景色 / Mutually understanding Amazon ECS and Cloud Run
iselegant
20
4.3k
AWSコンテナ本出版から3年経った今、もし改めて執筆し直すなら / If I revise our container book
iselegant
20
6.4k
Amazon ECS & AWS Fargate 今昔物語 / past and present stories of Amazon ECS and AWS Fargate
iselegant
19
5.5k
Binary Authorizationと友達になろう / Let's be friends with Binary Authorization
iselegant
3
450
エンジニアとして成長するための持続可能なアウトプット戦略 / Sustainable Output Strategy
iselegant
6
1.2k
人工衛星管制システムにおけるCICD / CICD in satellite control systems
iselegant
8
1.6k
人工衛星の運用を支えるクラウドネイティブ民主化への取り組み / Efforts toward cloud-native democratization for satellite operations
iselegant
5
1.6k
Other Decks in Technology
See All in Technology
Access-what? why and how, A11Y for All - Nordic.js 2025
gdomiciano
1
110
Goに育てられ開発者向けセキュリティ事業を立ち上げた僕が今向き合う、AI × セキュリティの最前線 / Go Conference 2025
flatt_security
0
350
研究開発部メンバーの働き⽅ / Sansan R&D Profile
sansan33
PRO
3
20k
Findy Team+のSOC2取得までの道のり
rvirus0817
0
340
成長自己責任時代のあるきかた/How to navigate the era of personal responsibility for growth
kwappa
3
270
いま注目しているデータエンジニアリングの論点
ikkimiyazaki
0
590
生成AIで「お客様の声」を ストーリーに変える 新潮流「Generative ETL」
ishikawa_satoru
1
320
SoccerNet GSRの紹介と技術応用:選手視点映像を提供するサッカー作戦盤ツール
mixi_engineers
PRO
1
180
多様な事業ドメインのクリエイターへ 価値を届けるための営みについて
massyuu
0
220
許しとアジャイル
jnuank
1
130
20201008_ファインディ_品質意識を育てる役目は人かAIか___2_.pdf
findy_eventslides
0
300
Trust as Infrastructure
bcantrill
0
340
Featured
See All Featured
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
140
34k
Bash Introduction
62gerente
615
210k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
960
Agile that works and the tools we love
rasmusluckow
331
21k
Imperfection Machines: The Place of Print at Facebook
scottboms
269
13k
Git: the NoSQL Database
bkeepers
PRO
431
66k
Site-Speed That Sticks
csswizardry
11
880
The Straight Up "How To Draw Better" Workshop
denniskardys
237
140k
It's Worth the Effort
3n
187
28k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
33
2.5k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.5k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
188
55k
Transcript
FISCから学ぶ AWSセキュリティことはじめ 野村総合研究所 新井 雅也 JAWS-UG 初⼼者⽀部#22 Fin-JAWSコラボ会
*OUSPEVDUJPO @msy78
FISCから学ぶAWSセキュリティことはじめ FISCガイドラインをベースに AWSセキュリティ設計を俯瞰できる ! お伝えしないこと ! ・各AWSサービスの詳細内容や実装⽅法、テクニック (それを話すには時間が⾜りない…) 本⽇お伝えしたいこと
FISCから学ぶAWSセキュリティことはじめ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する 本⽇のアジェンダ FISCガイドライン準拠の上でのユースケース まとめ
FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ
AWS x ⾦融と聞いて、 どのようなキーワードを思い浮かべますか?
プライベートブラウジングモードでGoogleのサジェストを⾒てみると…
プライベートブラウジングモードでGoogleのサジェストを⾒てみると… 法令遵守の観点が意識されている のか、準拠すべきルールがある? やはりセキュリティ要件を気にし ている?
準拠すべきシステムのガイドラインが存在 ・⾦融機関がITサービスを提供する際の健全性評価の指標として、 FISCが『⾦融機関等コンピュータシステムの安全対策基準』を提供 ⾦融系ITサービスを提供する上でのFISCガイドライン https://www.fisc.or.jp/ 参考: 設備関連 138項⽬ 技術関連 53項⽬
運⽤関連 115項⽬ ・セキュリティ対策などの技術項⽬に加え、設備や運⽤に関する基準を提供 FISCガイドライン (第8版+追補改訂版)
⾦融系サービスはFISCガイドラインの準拠が重要! (以前は⾦融庁の検査マニュアルにも記載があった)
FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ
セキュリティはAWSにとっても最重要項⽬の⼀つ AWSとFISCガイドラインの関係性 https://d1.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf ホワイトペーパー「 AWS セキュリティのベスト プラクティス ‒ 概要」より引⽤ アマゾン
ウェブ サービス (AWS) のお客様にとって最も重要なこと は、情報のセ キュリティです。セキュリティは、偶発的または意図 的な盗難、漏洩、不整合、 削除からミッションクリティカルな情報 を保護する機能要件の中核部分です
AWSからFISCガイドライン(第8版)に準拠したリファレンスガイドラインが提供 AWSとFISCガイドラインの関係性 https://aws.amazon.com/jp/compliance/fisc/ 参考:
https://d1.awsstatic.com/whitepapers/jp/security/FISC_Document_20120824JP.pdf 引⽤: AWSが提供しているセキュリティリファレンス(⼀部抜粋)
しかし、、
AWS利⽤者側も対応が必要な項⽬が多数あり AWSとFISCガイドラインの関係性 https://aws.amazon.com/jp/compliance/fisc/ 参考: FISC 安全対策基準・解説書では、設備、運⽤および技術といった広範囲にわたるシステムの 安全性に関する管理策が⽰されています。お客様がAWS環境をご利⽤になる際には、責任共有 モデルに基づき、AWSの対応、あるいはお客様の対応等という形で責任の範囲を明確にした上 で、各要件に応じた対策や確認を実施する必要があります。 https://aws.amazon.com/jp/compliance/shared-responsibility-model/
FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ
FISCガイドラインを俯瞰するとセキュリティ/運⽤実装のポイントが⾒えてくる FISCガイドラインからセキュリティ項⽬を俯瞰する ウイルス対策(脆弱性保護) FISCガイドライン (第8版+追補改定版) 本⼈確認 ファシリティ(建物/電源/空調/回線/⼊退室管理、等) 不正アクセス対策 運⽤体制や⼿順書の整備 データ保護(漏洩対策)
障害の早期発⾒と回復 (運⽤監視) ⼤規模災害対策(⼆重化等) 暗号鍵の管理 ソフトウェア管理 データバック アップ運⽤ 履歴管理 (アクセスログ/ 作業ログ…) 準拠が必要 (AWSリソースで対応) 準拠が不要 (AWSリソース外で対応) 凡例 セキュリティ/運⽤カットで集約した項⽬ リソース管理 抑⽌ 予防 検出 回復 AWSセキュリティ リファレンス
FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ
シンプルなALB+EC2+RDS構成で各FISCガイドライン観点で考察してみます FISCガイドライン準拠のユースケース
NWやデータの暗号化はもちろん、データの内容によってはAppレベルで暗号化 FISCガイドライン準拠のユースケース データ保護(漏洩対策) ACM
暗号鍵はKMSに集約させるケースが多い。保護レベル要件に応じてCloudHSMも検討 FISCガイドライン準拠のユースケース 暗号鍵の管理
Systems Managerのインベントリ情報やリポジトリツールでSW全体を管理 FISCガイドライン準拠のユースケース ソフトウェア管理
CloudWatchメトリクスベースでリソース管理 FISCガイドライン準拠のユースケース リソース管理
AWSが提供する不正予防&検出系のサービスは割と⼿厚い印象 FISCガイドライン準拠のユースケース 不正アクセス対策
ウイルス対策ソフトウェアはサードパーティ製を利⽤ FISCガイドライン準拠のユースケース ウイルス対策
AWSレベルはIAM、Appレベルは⾃前で⽤意することが多い FISCガイドライン準拠のユースケース 本⼈確認
マルチAZは必須、データ保持要件次第でマルチリージョン化 FISCガイドライン準拠のユースケース ⼤規模災害対策
CloudTrail有効化は必須、他は要件に併せてCloudWatchやKinesis->S3など FISCガイドライン準拠のユースケース 履歴管理 (アクセスログ/作業ログ…)
CloudWatchアラームをベースに通知実装が可能 FISCガイドライン準拠のユースケース 障害の早期発⾒と回復 (運⽤監視)
FISCから学ぶAWSセキュリティことはじめ 本⽇のアジェンダ ⾦融系ITサービスを提供する上でのFISCガイドライン AWSとFISCガイドラインの関係性 FISCガイドラインからセキュリティ項⽬を俯瞰する FISCガイドライン準拠の上でのユースケース まとめ
まとめ ・⾦融系ITサービスの健全性指標としてFISCガイドライン ・AWSでも上記に準拠する形でリファレンスを提供 ・FISCガイドラインをベースにAWSセキュリティ設計を俯瞰できる パブリッククラウドはインターネット越しの利⽤が前提 # どのようにして多層防御を⾏うか まずは、実装可能な項⽬をすべて洗い出してみることも⼤切 # その後、コストとのバランスで採⽤可否を判断
FISCの最新版は第8版ではなく、実は第9版です! 最後に 2020年1⽉29⽇時点では、 AWSからFISCガイドライン第9版に関する リファレンスガイドが掲⽰されていない様⼦。 AWSさん、なにとぞ…!!
ほんの少しだけ宣伝させてください… 最後の最後に… https://booth.pm/ja/items/1563844 僕のAWS師匠である佐々⽊さんがIAMに特化した本を出しました。 IAMを踏み込んで理解したい⽅、是⾮お⼿に取ってみてください。
ご清聴いただきありがとうございました。