[レポート]【K-1】Keynote クラウド時代におけるリスク管理と最新のセキュリティサービス活用によるイノベーションの加速 – AWS Security and Risk Management Forum

AWS Security and Risk Management Forum 〜公共・金融DXの大前提、AWSセキュリティの理解と実践〜のセッションレポートです。

#セキュリティ

#AWS

#イベントレポート

臼田佳祐

2023.03.10

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

みなさん、リスクマネジメントしてますか？(挨拶

今回はAWS Security and Risk Management Forum 〜公共・金融DXの大前提、AWSセキュリティの理解と実践〜に参加しているのでそのセッションレポートです。

セッション概要

【K-1】Keynote クラウド時代におけるリスク管理と最新のセキュリティサービス活用によるイノベーションの加速

AWSのイノベーションカルチャに基づくセキュリティサービスやリスク管理について説明します。セキュリティ技術者、監査部門の方、意思決定者などを対象として、先進的なお客様からの学びと、AWSのセキュリティサービス、および機能が、お客様のシステムをどのように実現するのかを紹介します。 AWS セキュリティは、顧客からのフィードバックに直接基づいて継続的に革新を行っています。AWSのユーザは強力なセキュリティアーキテクチャをビジネスと運用の中心に統合しながら、革新のペースを加速させることができます。

アマゾンウェブサービスジャパン合同会社パブリックセクター技術統括本部統括本部長 / プリンシパルソリューションアーキテクト瀧澤与一氏

アマゾンウェブサービスジャパン合同会社金融事業開発本部コンプライアンススペシャリスト高野敦史氏

経済安全保障推進法の本格施行に向けた展望と対応

西村あさひ法律事務所弁護士・ニューヨーク州弁護士

ガバメントクラウドでのセキュリティの考え方～範囲の絞り込みと日々の監視・修正

デジタル庁シニアエキスパート（クラウドコンピューティング）山本教仁氏

レポート

クラウド時代におけるリスク管理と最新のセキュリティサービス活用によるイノベーションの加速

Amazonのミッション
- 地球上で最もお客様を大切にする企業
クラウドのセキュリティはAWSの最優先事項
- 一番高いレベルの設計を行う
- データをどのように守るのかが大事
- オンプレミスでも同じような方法があるが、それをクラウドにするともっと良くなる
- どうやってリスクに対処するのか
- どういう事が起きているのかという可視性、問題が起きた時に対処を自動化することなどは特にオンプレミスと違うところ
- 可視性と自動化の例
  - Amazon GuardDuty
    - 機械学習によりリスクに対してアクションができる
    - 脅威を検知すると次のアクションに繋げられる
    - インシデントの通知
      - これはオンプレミスでもできる
      - 夜間に人が通知を受け取っても対処ができない場合もある
    - 通知をAWS Lambdaに渡して対処ができる
      - 自動で対応できる
- クラウドを使うことでセキュリティ対策、リスクの対処方法が変わる

金融機関におけるリスクの対処

AWSのこれまでの歩み
- AWSは2006年から稼働
- 東京リージョンは2011年、大阪リージョンは2021年
- それぞれのリージョンはデータセンター群
- AWSの日本での投資額は1兆3,510億円
- 日本からAWSが撤退するリスクの心配をするお客様がいるが、この額を見てもらえればその心配が無いことがわかる
AWSのイベントには各企業の経営者・トップが登壇している
日本の金融業界でもAWS活用はたくさんある
- ただ利用レベルはまちまち
- AWSの活用はビジネス部門やシステム部門からが多い
- その後セキュリティ・リスク管理・内部外部の監査へとステークホルダーが広がっている
クラウドのリスクマネジメントをどうやっていくか
- クラウドの「知らなかった」をなくす
  - 可用性が低いのでは？
    - 耐障害性と高可用性を実現するインフラストラクチャ
- クラウドにも影響がある金融規制の動向
  - オペレーショナルレジリエンス
  - 通称オペレジ
  - 金融庁からオペレーショナルレジリエンス確保に向けた基本的な考え方(案)がでている
  - 重要な業務を提供し続ける能力
  - 業務中断が生じることを前提に利用者目線で復旧する仕組み
    - カオスエンジニアリング
    - 障害を擬似的に発生させて復旧できるのかをトレーニングする
    - グローバルの金融機関でもこれをやっているところがある
    - 実施する場合も突然やる、事前に告知をしないこともある
  - 重要なサードパーティの特定とリスク管理が必要
- クラウドにも関係する日本の法律
  - 経済安全保障推進法
  - 経営トップの関心事項であったりする
  - これは専門の弁護士から説明がある

経済安全保障推進法の本格施行に向けた展望と対応

経済安全保障推進法
- 2022年5月成立・公布
- オムニバス形式の法律
- 4つの柱
  - 2つは昨年より
  - 2つは2023年1月から本格開始
- 米中の派遣争いや技術革新などによる影響
- 有事と非有事の境目が曖昧になってきた
4つの柱
- 2つは支援系
  - 政府が支援をする
  - 重要物資の確保の財政支援
  - 開発の支援
- 2つは規制系
  - 基幹インフラの安定的な確保
    - 当局の事前審査が必要
  - 特許の一部の非公開化
- 他にもセキュリティクリアランスなどが動いている
特徴
- 4つの施策は基本的に別個のもの
- 外資規制ではない
- 症例の策定や審査は各所管省庁
- 柔軟性と機動性のために法律レベルは制度の外苑のみ
- 詳細は政省令
- 支援系は運用開始
- 規制系は基本法指針のパブコメ中
  - 来春以降運用開始見込み
重要物資等のサプライチェーンの強靭化
- クラウドプログラムの支援も一部ある
- 重要物資の供給確保のために政府が支援する
- 11の支援対象物資を指定
- 他にも金属や抗菌性物質など
基幹インフラ役務の安定的な提供の確保に関する制度
- 基幹インフラ事業を対象とする国家関与が疑われるようなサイバー攻撃事案が多発
- バックドアの組み込みや脆弱性設置などでインフラ安定供給が損なわれる可能性がある
- 事前に監査する
- 金融を含む法定の14業種に係るもののうち一定のものが対象
- 届け出がないと刑事罰の対象
法定重要事業とは
- パブリックセクターのもの
- 電気ガス・航空なども含む
- 特定社会基盤事業とする
- 一定の基準に該当するものを告示で指定
- 特定社会基盤事業者
- 金融の場合
  - クレジットカードの事業者など
- 具体的な事業者は決まっていない
- 案を有識者会議を通じて公開している
- 銀行の場合預金残高10超円以上などの条件
- 信託業なら信託財産額が300超円以上など
規制対象
- 重要設備の導入や委託管理が対象
- なにが重要設備なのか
- 具体的にはまだ決まっていない
- 主務省令で定められる何れにせよプログラムが含まれる
- クラウドプログラムも入る
- 計画書に記載した機能に関係する変更を加える場合は報告などが必要になる
- 特定妨害行為の手段として使用される恐れが大きいか審査される
- おそれが大きいと認めるとき必要な措置を講じることを命じたり中止すべきことを勧告する
どういった行為を守りたいか
- 安定的な提供を妨害しようとする主体による行為
- ウイルス感染や不正プログラムの埋め込みなど
記載内容
- 供給者に関する事項など
審査の考慮事項
- 供給者等の属性を中心に考慮
- 日本の外部にある主体から強い影響を受けている事業者
- 日本が消え剤制裁措置を撮っている対象及びその対象から強い影響を受けている事業者は特に見る
- 事業者自らがリスク管理措置を講じることが有効
- 脆弱性の指摘があるかや法律を守っているか
審査完了後
- 変更届出も必要
- 継続的なリスク管理が求められる
導入しているものは対象外
企業が求められる対応
- これまでの監督行政対応とは異なる視点が必要
- 複数部署にまたがる対応、供給者等のサプライチェーンの把握
- 従来のリスク管理体制に加えた体制整備・経営陣の関与も必要
- 現時点でのルールの理解をはかることからスタート
- 早めにプロジェクトにリスク管理と法務担当を入れるべき
- 何が重要設備化は決まっていないが、ナリそうなものを整理しておく
- 対象の供給者や外部ベンダーについて調べる必要がある

新しい取り組み

Amazon Security Lake (Preview)
- セキュリティのログを一括で集約
- 分析はAWSもサードパーティも利用できる
- 様々なデータを集めて統制していく必要がある
デジタル統制に関するお客様の声
- 最近はソブリンクラウドという考え方が出てきている
- 機能が制限された状態で使う
- AWSのすべての機能を使うのか、機能が制限されたソリューションを使うのか
- AWSでは自ら統制できる
- AWSでは企画・設計段階から統制
- 透明性と保証による信頼の獲得
- チームとしての変化への対応
AWS責任共有モデル
- お客さまのデータはお客様のもの
- 統制をお客様で効かせることができる
- データの暗号化やアクセスコントロール
- モニタリングや監査
- 最近はコンフィデンシャルコンピューティングにも対応
第三者機関による認証と認定を得ている
- 監査レポートを出している
- アメリカ政府からの開示要求にどの程度応じているかレポートを提出している
パートナーとの連携
- 一緒にやっている
公共機関でもAWSは沢山利用されている
- 行政もデジタル化
- デジタル庁で色々やっている
- ガバメントクラウド

ガバメントクラウドでのセキュリティの考え方～範囲の絞り込みと日々の監視・修正

会場では事前に神戸市や長崎市の取り組みについてビデオが流れていた
デジタル変革のために国として検討している
国民によりよいサービスも提供する
ガバメントクラウドに取り組んでいる
ガバメントクラウドでのガバナンスの考え方
- NISTなどのフレームワークを活用して整理
- 管理側と利用側について両方考える
- 今回は利用者側にフォーカスして話す
少し管理側の話から
- ガバメントクラウドは関係者が多い
- 1億2000万人のユーザー
- 政府や地方公共団体などのシステムが乗ってくる
- スケーラブルなアプリとインフラが必要
- 従来だと管理場所を1箇所に作ってチェックしていた
- ボトルネックになるのと、クラウドサービスの新しいサービスの活用が難しくなる
- なるべくクラウドの機能をそのまま使いつつガバナンスを効かせる
- ガードレール方式による自動化
  - クラウド自身がセキュリティやガバナンスをチェックできる
  - ガードレールの実践をする必要がある
- システム的なイメージ
  - セキュリティポリシーを適用し、分散環境にもガバナンスを適用・自動化
  - 統計管理するダッシュボードを利用
  - まずテンプレートを実行して予防的・発見的統制をしていく
利用システム側
- 利用システムをガバメントクラウドから払い出す
- すでに予防的・発見的統制が有効になっている状態
- 中央で管理しているわけではなくそれぞれの環境で動いている
- 新しい機能をどんどん利用できる
- テンプレートを活用すると一定のセキュリティを確保しやすい
利用システムをどう守るか
- 予防的・発見的統制があっても守る必要がある
- 責任共有モデルにより範囲を絞る
- 設定が意図したものか、正しいかを確認していく必要がある
ガバメントクラウドでの責任共有モデル
- セキュリティ対策の範囲を絞り込み日常的な監視で重大な状況になる前に修正する
- 具体的イメージ
  - クラウドのマネージドサービスをなるべく使っていく
  - サーバーを建てなくて良くなるのでOSを意識しなくてよく脆弱性の管理などが軽減される
  - 外部通信をHTTPSのみに絞ればWAFの監視など、適用しやすくなる
  - 運用も重要
  - IaCをしていく必要がる
  - CI/CDをセキュアにやる
  - 設定が意図したとおりか確認する
  - クラウドではすべてのログを取ることが当たり前
  - ログを自動的にチェックする仕組みもある
  - つい先日AWSではNIST SP800-53のルールも出た
  - これも活用して行きたい
  - ヒヤリハットにいかに気づくかが大切
  - 最初だけではなく運用の中で対応をやっていく必要がある
  - セキュリティの文脈でもカオスエンジニアリングをしていきたい
- どう実現しているか
  - IaCで管理しサーバーは1台も動いていない
  - ChatOpsのSlackで発見的統制でSecurity HubやConfig Rulesのアラートをリアルタイムで検知
  - CloudWatchダッシュボードで業務的なメトリクスの表示
    - インシデント数なども可視化
    - 月次ではなくリアルタイム
    - ダッシュボードでKPIを出すことが大事