この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
今回は2022年5月25 - 26日の2日間開催されているAWS Summit Onlineのセッションレポートをしていきます。セッションのサマリーを理解し、興味があるセッションをチェックすることにご活用ください。また、セッションのアーカイブも公開されますので、詳細はそちらをチェックしてください。
セッション概要
金融機関のお客様から、ビジネスのアジリティとセキュリティをどのように両立していくか、という課題をご相談いただく機会がここ数年増えてきています。このセッションでは、マルチアカウント管理などAWS環境で金融機関に求められるセキュリティレベルとアジリティを両立するための仕組み作りの事例や実装例をご紹介します。
スピーカー
AWS 技術統括本部
金融ソリューション本部 シニアソリューションアーキテクト 能仁 信亮
セッションレポート
- 金融機関のクラウド活用状況
- セキュリティとアジリティの両立をどう実現していくか
- AWS活用が進む中でプロジェクトやシステム数が増加
- アジリティを確保しながら統制を取るメカニズム(仕組み)が必要
アジェンダ
- AWSアカウントの構成・統制のためのメカニズム
- AWS環境に発見的統制を実装するためのメカニズム
- 安全に権限を移譲するためのメカニズム
AWSアカウントの構成・統制のためのメカニズム
- シングルアカウントアーキテクチャとマルチアカウントアーキテクチャ
- マルチアカウントアーキテクチャを採用する理由
- 権限移譲が容易
- ワークロードの明確な分離
- コストの明確化
- マルチアカウントアーキテクチャを採用する理由
- どのように多数のAWSアカウントを統制するか
- 事前にセキュアなAWSアカウントを払い出す仕組みが必要
- AWSではLanding Zoneと呼ぶ
- Landing Zoneをサービスとして提供しているのがAWS Control Tower
- ログの取得やアーカイブ集約
- ガードレールの展開
- アクセス管理
- 事前にセキュアなAWSアカウントを払い出す仕組みが必要
- 独自の統制を追加する
- Control Towerの標準的な統制に加えて、追加の実装を行う
- BLEAの利用
- CDKで用途ごとのテンプレートを実装する仕組み
AWS環境に発見的統制を実装するためのメカニズム
- 発見的統制に関する典型的な状況と課題
- 金融機関ではSOCを含めて発見的統制を行う組織や仕組みを持っている
- オンプレミス環境がベースとなっているケースが多い
- これまでの知見や仕組みを活かしながらクラウドに対応する必要がある
- GuardDutyの利用
- インテリジェントな脅威検出
- Security Hubの利用
- セキュリティ基準の機能を活用
- 検知されたイベントの自動修復を行うことも可能
安全に権限を移譲するためのメカニズム
- 必要な権限を一時的に払い出すメカニズム
- 金融機関では無条件では権限を委譲することが難しいケースもある
- 申請をもとに一時的に権限を払い出す
- 権限の払い出しの仕組みを自動化して、権限を委譲
- Goldman Sachsの例
- 追加で必要な権限があれば、承認をもとにアクセス権限を一時的に付与
- この仕組みを自動化
- セッションに付与する権限を制限するセッションポリシーを利用
- 監査のためにセッション名にユーザーIDと払い出したIDを付与
- 追加で必要な権限があれば、承認をもとにアクセス権限を一時的に付与
- 多様なAWSサービスの利用
- サービスごとのセキュリティ上の考慮点などを洗い出してことが望ましい
- セキュリティリスク評価共同化 WG
- AWSサービスのリスク洗い出しや統制を各社で行うのは負荷が高い
- 10社の金融機関とAWSが共同でサービス評価を実施
- WGの成果物から新規サービスにおけるセキュリティリスク評価の省力化
おわりに
金融機関におけるセキュリティとアジリティの両立をテーマに、解決策となるAWSサービスや事例が紹介されたセッションでした。特にマルチアカウントでセキュリティを担保していく仕組みづくりは、今後どの環境でも必要となってくる課題なので紹介されていたControl TowerやGuardDutyなど各種セキュリティサービスをうまく活用していきたいですね。
「セキュリティとアジリティの両立」、「マルチアカウント管理」のキーワードでビビっときた方、AWSサービスの活用や事例についてより詳しく知りたい方は是非セッションのアーカイブをご覧ください。
2
