[レポート]金融機関の AWS サービスリスク評価共同化活動とその効果 – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

AWS Security Roadshow Japan 2021で行われた「金融機関の AWS サービスリスク評価共同化活動とその効果」のセッションレポートです
2021.11.11

こんにちは、臼田です。

本日はAWS Security Roadshow Japan 2021で行われた以下の講演のレポートです。

金融機関の AWS サービスリスク評価共同化活動とその効果

金融機関におけるクラウドの導入や活用が広がるなか、各金融機関によるクラウド機能・サービスのリスク評価と管理の重要性が増している。クラウド機能・サービスのリスク評価をより効率的、効率的に実施ための活動として、複数の金融機関が共同でリスク評価を実施する取り組みが始まっている。本セッションでは、サービスリスク評価共同化ワーキンググループの活動目的、効果、そして成果についてご説明します。

みずほリサーチ&テクノロジーズ株式会社 ITインフラ本部 ITインフラ第3部 部長 児島 浩太郎 氏 みずほリサーチ&テクノロジーズ株式会社 先端技術研究部 マネージャー 服部 純一 氏

レポート

  • 金融機関がAWSを利用する際の合同で行っている評価について
  • 登壇者はCCoEとしても活動している
  • 会社概要
    • 3社が統合して非金融の中核会社となっている
    • グローバルな金融グループ
  • 金融機関におけるパブリッククラウド利用の高まり
  • SaaSだけではなくIaaS/PaaSも
  • セキュリティを重視している金融機関がパブリッククラウドを利用しているのはFISCなどの取り組みの結果
  • 前向きに検討できるようになった
  • 一方で活用範囲は限定的
    • 基幹系システムを含めた全面的な利用には移れていない
  • パブリッククラウド導入拡大の必要性
    • 厳しいセキュリティ対策や情報漏えい等の不安
    • しかし新サービスの迅速な公開も必要
  • セキュリティリスク評価
    • 外部委託先管理のための評価を実施
    • マネージドサービス利用におけるセキュリティリスク評価
    • どのように設定していくかなど
    • サービスが多数あるので時間がかかる、有識者が必要
    • 手法を標準化してもコストがかかる
    • 評価が済んでいないと利用できないため機会損失につながったこともある
    • 評価観点の漏れも気になる
  • 金融機関で同じ悩みがあるのでは
    • FISCもあり行動原理は同じ
    • AWS協力の下金融各社に声をかけた
    • E-JAWS金融分科会を通じWG参加メンバー企業を募集し現在10社が参加
  • 他の業種でも当てはめることは可能だと思う

WGの話

  • スコープ
    • 責任共有モデルからお客様責任側のところを評価
    • サービスを知る・リスクを知る工程をスコープとした
    • 対策などは異なるのでスコープ外
    • APIアクション調査はスコープ外
  • 進め方
    • 範囲を決めたらAWSのソリューションアーキテクトがドラフトを作成
    • 金融機関各社がレビュー
    • フィードバックをもとに修正してリリース
  • 活動実績
    • 23回の開催、10サービス検討終了
  • 成果物
    • リスク評価シート
      • 利用シナリオと接続経路
        • 一般的な利用シナリオを想定して一覧
        • 利用者・通信方法・通信方向を整理
        • リスクを洗い出すことが出来る
      • セキュリティクライテリア
        • セキュリティリスクに関する7評価19対策分類の観点から整理
        • 脅威に対して予防的対策と発見的対策を記述
        • 機密性・完全性・可用性の観点で整理
      • サービス利用時の留意事項
        • 留意すべきTipsなどを記載
    • KinesisやDynamoDBなど対応済み
  • WG活動をすすめる上での課題
    • オンライン開催の難しさ
      • ツールなども違う
    • 参加者の立場の違い
      • CCoE担当者に参加してもらったが部門が違う
      • 考え方に違いがある
    • 各社毎の取り組み度合いの違い
      • 枠組みを固めるまでに時間がかかった
    • アンケートを通じて改善するようにした
      • 成果物の有効性や活動内容についてフィードバック
    • 対象サービスや日数・時間などをアンケート
    • コンテンツは外部公開を予定している
      • 現状はE-JAWS参加メンバーへの公開を検討
      • フィードバックをもらえるように
  • 情報交換回を実施
    • SCPやPermission Boundary活用
    • 大阪リージョンについて
  • 自主評価
    • 自社のセキュリティ評価作業に対する効果を確認
    • シートを活用して3割ほど負担が軽減される
    • 効率的に注意事項を抽出できる
    • 自社のセキュリティ評価にそのまま使える部分が多い

感想

非常に良い取り組みですね!アウトプットが気になります。

こういった議論や活動が色んな所で行われていくといいですね。私も参加したい!