ayumu_aoの日記

SIerから事業会社に転職したエンジニアがなにかを垂れ流してます

AmazonソリューションDay2016 セキュリティ&コンプライアンス行ってきました!

レポートというかメモ書きですが。。。

総括

 セキュリティと経営は切り離せないものなので経営者もセキュリティというものを考えていかなければいけない。

 また、後付でセキュリティの追加、機能の追加などを行うと最初から考慮しているものにくらべ歪になったりコストがあがることを経営者は理解しなければいけない    クラウドを使う場合、責任分離点を把握し共同責任であることを理解しなければならない 。

オープニング

 社長さんの挨拶

クラウドセキュリティの国際規格

政府統一基準に見るクラウド利用の基準

  1.情報の格付けに従ったクラウドサービス利用の判断

  2.外国法が適用されるリスクの評価

  3.サービス中断時・終了時の円滑な業務の移管

  4.情報流通経路全般にわたったセキュリティ設計・セキュリティ要件-特にモバイル環境からアクセスできるクラウドサービスは本当に安全なセキュリティかを判断する必要がある

  5.監査報告の内容や認証制度の適用状況を踏まえた事業者の信頼性の評価

  ●キーワード

   ISO/IEC27017

   クラウド情報セキュリティ

   SOC報告書

ISO/IEC27017を知る

  クラウド利用者はクラウド提供者から独立してISMSを実施することはできない

  情報セキュリティの共同責任

  ・利用者支援

   ・情報提供

   ・機能提供

  サービスマネジメントと情報セキュリティマネジメントの合体

   1CSC自身による情報セキュリティマネジメント

   2CSCのためんお情報セキュリティ機能及び情報の提供(サービスマネジメント

   3CSPの責任範囲における情報セキュリティマネジメント

   1,2が利用者の管理範囲(提供機能などの確認を含む)

   2,3が提供者の管理範囲

   2はサービスとしてどこまでやれるか?

   クラウド利用者は提供される機能・セキュリティ・利用上の注意事項などをきちんと把握することが大事

   クラウド提供者はクライド固有の技術対策、契約上の課題対策を行う必要がある

   メモ:27017は27002を内包する

      27017=27002+クラウド固有の対策

   27017では「政府統一基準に見るクラウド利用の基準」を網羅していない

   クラウド利用のライフサイクルのチェックは27036-4

   27017内では下記を基底

    ・クラウド提供者は文書化・プロセス化されたものを提供

    ・クラウド利用者は文書化されたものを要求

クラウド情報セキュリティ監査制度とは

  SOC(サービス・オーガニゼーション・コントロール)、CSゴールドマーク、CSシルバーマークなどがある

  ポイント:標準化

  リスク詳細はJasaのページを参照

  監査が透明であるかは監査調書を要求する・監査支援ツールを利用することで確認できる

クラウド利用者が行うべきこと

  ・リスクに応じた利用と対応

  ・クラウド提供者との責任分界の確認と対応

  ・クラウド利用に対するガバナンスの確立

  ・情報セキュリティの運用

サイバーセキュリティ研究の最前線

資料配布されてるのでメモのみ

キーワード

 バックスキャッタ

 マルウェアからのスキャン

 ダークネット

 クラウドからクラウドへ広がる攻撃

linux組み込み系のIoT製品で23ポートがデフォルトでオープンされているので注意

それが直接インターネットにつながっていることで攻撃対象、マルウェアの感染原因になる

水際対策以外にいかに内部対策をするか

とりあえず、NIRVANA改とかが攻殻機動隊というかEVAっていうかってUI

日本のサイバーセキュリティ政策と政府等の対策の動向

 セキュリティ対策は経営につながるので現場だけではなく事業者も真剣に考える必要がある

 経営観点として、あとでセキュリティを入れようとするとすごくお金がかかる

 後付でなにかを増設しようというのは基本的には良くない

 →初期段階から経営面も考え計画しておくことが必要である

 基本原則:

  ①情報の自由な流通の確保

  ②法の支配

  ③開放性

  ④自立性

  ⑤多様な主体の連携

 施策

  1.経済社会の活力工場及び持続的発展

    費用→投資へ考え方を変える

  2.国民が安全で安心して暮らせる社会の実現

    2020年その後に向けた基盤形成

  3.国際社会の平和・安定 日本の安全保障

    サイバー空間に於ける積極的平和主義

 キーワード

  ICT

  政府統一基準の改定

AWS グローバルコンプライアンス最新情報

メモ

国によって個人情報を保護する条例が違うのでそれに沿って各国の条例にしたがって情報を取り扱わなければいけない。

ヨーロッパにGDP、DDPというヨーロッパ全土の統一する条例ができる

新しい条件も追加されるがこれに則ることでヨーロッパ全土(28カ国)でサービスを提供できるようになる

ヨーロッパでサービスを始めようとするのであれば上記を頭に入れておく必要がある

グローバルにおける規制の原則的。。。。

よくある質問

 どうやってデータの統制するか

  →ユーザー、顧客がどこにデータを置くかを決定する

   Amazonではデータを移動したり管理したりしない

   どのリージョンにあるのか、どのデータを保持するのかは顧客が判断する

 ISOの認定についてはいつでもAmazonのWebページから詳細をダウンロードできる

 SOCに関しては問い合わせがあればいつでも回答をする

 AWSを利用してPCIDSSに準拠するためのクイックスタートが用意されている

 セキュリティに関する運用の自動化機能の提供をしている

 →Webサイトに情報を公開している

キーワード

NISD、GDP、DDP、GameDays(顧客継続性に関するテスト)、スリーラインディフェンス

セキュリティ・ソリューション・アーキテクチャ:データの完全性に関する考慮事項

メモ

ソフト定義のインフラ=仮想インフラ ≠ 物理インフラ

なににパッチをあてるのかなどは仮想インフラ内に関してはユーザーが責任を持つ範囲

データとは

・ビジネス・プロセスの中のデータ(情報)

・物理的なバイナリデータ

リスクベースでの設計を行わなければいけない

・データアクセスの制限

監査証跡へのアクセス制限

ラムダについて

・関数とイベントを定義し利用するもの

キーワード

責任共有モデル

機密性、完全性、可用性

ポータビリティ性

S3とグレイシア

録音参照(ただし英語)

金融機関のグローバルな規制対応情報

トレンドマイクロ

  最近の動向

   ・閉域環境

   ・水際対策済み

   だから安全ではない

  細かいところはスライドと冊子参照

メモ

  シンガポール現地での声というところで「雇用から教育というところの重要性が増している」というところがオフショアとも通じる課題に感じた

  入り口をとじたから大丈夫、出口を塞いだから大丈夫ということはないので全体を監視する必要がある

NRI

  セキュリティ動向・ビジネス環境

   従来からよくある攻撃・事件

   従来からある攻撃が進化

   新たな技術での攻撃

  MAS TRMガイドライン概要

   シンガポールの金融管理局が発行しているガイドライン

   金融機関の健全な実務と技術を管理するためのプロセル促進を目的とする

  スリーラインディフェンスの適用

   ステークホルダーの期待・要請を踏まえて

   必要最小限の対応リソースで

   リスクを適宜適切にコントロールする

  セキュリティ・ニューノーマル

   変化し続けるセキュリティリスクへの適応を柔軟かつ迅速に追求できるケイパバリティと定義

  メモ

   セキュリティと経営が近づいている

   足の短い監視を行うことで攻撃・操作ミスに気がつくようにする