[レポート]クラウド利用におけるセキュリティ懸念をどう乗り越えるか – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

こんにちは、臼田です。

本日はAWS Security Roadshow Japan 2021で行われた以下の講演のレポートです。

クラウド利用におけるセキュリティ懸念をどう乗り越えるか

国内の金融機関においてもクラウドの利用事例が出てきているものの、いまだにセキュリティ面の懸念を抱いている金融機関も多い。本セッションでは、三菱UFJフィナンシャル・グループの戦略子会社である Japan Digital Design がこうした懸念をどのようにして乗り越え、効率的に安全性を確保する仕組みを構築したか、実例と具体的なアプローチを交えてご紹介します。

Japan Digital Design 株式会社 Technology & Development Div., Head of Technology & Development Div., Vice President of Security　唐沢 勇輔 氏

レポート

•  社内環境からプロダクトまで幅広くセキュリティを担当している
• JDDの紹介
  • 2017年設立
  • ミッション
    • 金融の新しいあたりまえをつくる
    • データと顧客価値の循環
  • 高度なソリューションの提供によりMUFGのDX推進に寄与
  • MUFG各社との協業深化・人材交流の促進によりグループ内に知見・ノウハウを蓄積
  • 提供サービス
    • データ活用
    • 顧客体験の創造
    • 新しい技術で解決
  • 最近のアウトプット
    • プレスでだしている
    • 資産形成総合サポートサービス
    • ビジネスマッチング
    • など
• クラウド利用におけるセキュリティ懸念
  • システム開発工程における主なセキュリティの考慮点
    • 企画要件定義
      • 利用しようとしているクラウド環境は安全？
    • 設計
      • アーキテクチャは安全？
    • 開発
      • コードは安全？
    • テスト
      • セキュリティテストはした？
    • 運用
      • セキュリティ侵害を検知できている？
    • クラウドでもオンプレでも考慮点は変わらない
    • 具体的な方法が変わるだけ
  • JDDでの主なセキュリティ対策
    • 事前準備で開発フェーズでの負荷を省力化
    • 設計で脅威分析を実施
    • 開発でコード解析 → 今回は対象外
    • テストで脆弱性診断 → 今回は対象外
• 事前に準備していること
  • セキュアな環境の整備
  • 開発者が安全に開発できる
  • クラウドの監査レポートの確認
    • 基本的にはSOC2レポートを確認
    • 半年に1回Security Teamがレビューし証跡を残す
    • 初回はControlで業界標準などと比較して不足しているところが無いか読み込み、2回目以降は変更箇所や課題を中心に
    • 監査のプロがチェックしてくれているのでいい
  • AWSアカウントを払い出す仕組みの整備
    • 新規プロジェクトのためにAWS環境が必要になった場合払い出しを依頼する
    • インフラチームはスクリプトを実行して標準的な設定を適用したAWSアカウントを用意
    • 開発チームは社内IdPからSSOする
    • 構成
      • アカウント作成のStepFunctionsがありLambdaで処理を行う
      • StackSets配布アカウントから色々配布
      • Config管理アカウント
      • セキュアに作れる
    • 大まかな流れ
      • アカウント作成
      • セットアップ
        • S3 Public Access Blockとか
        • Default VPC削除
      • スタンダード適用
        • StackSetsの配布
        • EBSデフォルト暗号化
      • SSO設定
    • その他CloudFormationテンプレートも公開している
  • 監視基盤の整備
    • 監視を後回しにしない
    • 本番稼働している全てのAWSアカウントに対して以下の監視を実施
      • CloudTrailをもとにセキュリティ侵害に繋がりうるイベントを検知
        • ルートユーザーの利用、ポリシー変更など
      • Prisma Cloudによりセキュアでない設定を検知
    • アカウント払い出しのタイミングで設定するので必ず監視対象になる
• 設計段階で行っていること
  • 脅威分析
    • システムに対する脅威の抽出や評価を行うこと
    • Threat Modelingを簡易的に活用
  • 流れ
    • DFDの作成
    • STRIDEの観点で脅威を抽出
    • Attack Treeで攻撃手段を具体化(簡易的)
    • 脅威の評価(1つ1つ明示的にはやらない)
    • 設計上の対策を記入
  • STRIDE
    • 脅威の頭文字を取ったもの
    • なりすまし、改ざんなど
    • セキュリティチーム手動だが開発者にも入ってもらう
    • トータルで安全が確保できるように
  • 新しい技術の脅威を抽出するのは大変
    • 役立つのはAWSセキュリティホワイトペーパー
      • 例えばLambdaでは関数間で実行環境が共有されないことなどが書かれている
• さいごに
  • クラウド利用におけるセキュリティ懸念を乗り越えるヒントは得られたか？
  • クラウドならではの仕組みでベースラインを安全に
  • システムの脅威分析をして設計から安全に
  • クラウドを怖がる時代は終わった

感想

整備している仕組みや脅威分析の手法について紹介されていました。参考になりますね。

ホワイトペーパーなども参考にしながら、仕組みで解決していきたいですね。