[レポート]セキュリティで推進するクラウドジャーニー ~CCoEによるセキュリティ施策推進の勘所~ – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

AWS Security Roadshow Japan 2021で行われた「セキュリティで推進するクラウドジャーニー ~CCoEによるセキュリティ施策推進の勘所~」のセッションレポートです
2021.11.11

こんにちは、臼田です。

本日はAWS Security Roadshow Japan 2021で行われた以下の講演のレポートです。

セキュリティで推進するクラウドジャーニー ~CCoE によるセキュリティ施策推進の勘所~

当社では、自社プロダクトの FX 取引システムをクラウドネイティブ版にリアーキテクチャする活動の中でセキュリティ対策の強化にも取り組んできました。通常はビジネスのアジリティとの両立が難しいセキュリティ強化策ですが、CCoE がビジネス部門のパートナーとしてチームに入り込むことで両立を実現しました。本セッションでは CCoE としてクラウドセキュリティ強化を効果的に進めるためのポイントを解説します。

シンプレクス株式会社 クロス・フロンティア ディビジョン プロフェッショナル 岸野 秀昭 氏

レポート

  • 資料は後ほど公開される
  • CSIRT及びCCoEの一員としてプロジェクト横断でセキュリティ対策推進を担当している
  • 会社概要
    • 金融系のベンダーとして認識している人が多いのでは
    • クロスフロンティアとして他の事業にも取り組んでいる
  • シンプレックスのセキュリティ関連組織
    • CSIRTやCCoEが各プロジェクトを横断的にサポート
    • CCoEは今年度より本格的に活動
      • 活動の軸の1つがセキュリティ
    • このセッションではCSIRT/CCoEと各プロジェクトとの関わりについて話す
  • クラウドセキュリティ対策に自信はありますか?
    • 多くの人はNoではないか
    • 金融庁のレポートでも、8割以上の金融機関で1つ以上のセキュリティ面の懸念がある
    • クラウドセキュリティのハードルの高さ
  • セキュリティとビジネスアジリティの両立がミッション
    • アジリティは環境適応能力とも表現できる
    • 金融機関では高いコンプライアンス要件もある
    • セキュリティ = 制約が多い
    • 一般的には両立が難しい
    • 例えばコストが課題になる
      • 製品やライセンスの費用など
    • 技術的な制約
      • 暗号化したデータが検索できないなど
    • セキュリティとアジリティが相反するように見える
    • セキュリティだけに向いて仕事をすると利益を損ねる可能性がある
  • 課題構造の整理
    • 従来システム以上のセキュリティ水準かつクラウド特有の考慮事項も満たしてほしい
    • 変化の多いクラウドセキュリティをキャッチアップしアーキテクチャに最適化されたセキュリティを実現したい
    • セキュリティ知識だけでなくビジネスサイドの考慮も必要
  • ビジネス部門のパートナーとしてCCoEが入り込む
    • 外部組織としてセキュリティの提案をすると乖離が生まれる
    • セキュリティのメンバーもワンチームで関わる

FX取引システムのリアーキテクチャによる取り組み事例

  • FXサービスの紹介
    • 3-4ヶ月でのクイックな導入
    • ミニマム構成でスモールスタート
  • プロダクト概要
    • 従来はIaaSとして使うことが多かったが今回はクラウドネイティブ
  • 対策の全体像
    • 個々のアカウントに閉じた対策ではなく中央管理を推進している
  • 中心的なもの
    • NIST CSF
      • サイバーセキュリティフレームワーク
      • IPAから日本語版を取得できる
      • コア・ティア・プロファイルの3要素があり自社の対策状況のセルフアセスメントにも利用できる
      • アイデンティティ管理が向上できた
      • 課題は復旧の自動化
      • アセスメントし、Well-Architected Frameworkともマッピング
      • 整理することで非セキュリティ部門への啓蒙にも役に立った
      • セキュリティソリューションやサービスカットで訴求しがち
      • 原理原則的なアプローチができた
    • AWS Security Hub
      • アカウント個々の情報を収集して統制できる
      • 擬似的なFindingsを発生させて運用訓練を行った
      • 通知・対応例
        • 自動修復は行わない
        • EventBridgeを経由してCriticalとHighのみ通知
        • ステータスをNotifiedに自動変更
        • 別の管理ソリューションで管理
    • AWS SSO
      • ADとOktaを利用していた
      • プロジェクトサイドにIAMを作っていくと名前はいっしょだけど中身が違うことになる
      • アクセス権限セットに集約することで防げる
      • セキュリティ担当として入り込んでいく事が必要
      • Oktaを利用した拠点IPによる権限分離の実装例
        • OktaのSAML Assertion Inline Hookで接続元に応じた属性情報を付与
        • アクセス権限セットで属性情報を評価
        • CloudShellが利用できないなどの問題を属性情報で回避
        • SSOはプロジェクト生産性の向上につながるので他の施策よりも進めやすい
  • 成功要因
    • パートナーとしてCCoEが入る
    • 各ステークホルダーに対してWin-Win-Winになる
  • まとめ
    • ビジネス部門とセキュリティ部門でワンチームになることでセキュリティとビジネスアジリティを両立できる
    • クラウドジャーニーのステップアップと合わせた施策推進はセキュリティ部門にとっても最適化のチャンス
    • セキュリティはクラウドを前向きに使うための入り口である
  • クラウドセキュリティジャーニーへ飛び出そう!

感想

わかりみが深いセッションでした。

セキュリティとビジネスアジリティの両立はとても重要ですね。リアーキテクチャの例は参考になりました!