[レポート] パブリッククラウドにおける保険とリスク管理 #AWSSummit #SEC202
Guten Tag, ベルリンから伊藤です!
今回は 2023年5月4日(木) ドイツのベルリンにて開催された AWS Summit Berlin 2023 に参加したので、そのセッションをレポートします。
セッションのテーマは、ずばりクラウド保険。
THE・技術の話からは少し逸れて、クラウド利用にあたるビジネスには必要不可欠な話題で、日本でも「アクサ」で知られる保険会社によるセッションです。
余談ですが、最近では様々な性自認に基づいて、自分が男性(he/him)か女性(she/her)のどちらで呼ばれたいかをこのように名前の後ろに明示的に書いたりするんですね。代名詞を使わず統一して「〜さん」で呼べる日本語にはない文化ですね。
セッション情報
- 時間:12:15-13:00(45分)
- タイトル:Versicherung in der Public Cloud - Management von Sicherheitsrisiken
- スピーカー:
- Max Richter, Senior Solutions Architect, AWS
- Marco Becker, Executive Director / Head of IT, AXA Germany
- レベル:200(中)
- 概要:
AXA Deutschland strebt eine 100-prozentige Migrationsrate von Core-IT-Anwendungen in die Public Cloud an, trotz vieler deutscher und EU-rechtlicher Herausforderungen für Versicherungen. Die Teilnehmer werden lernen, dass die Public Cloud neue Risiken aus Sicht des Datenschutz und anderer regulatorischer Aspekte birgt, der Wechsel zur Public Cloud aber auch viele Risiken reduziert. Insgesamt ist die Netto-Risikowirkung der Migration zur Public Cloud positiv und es gibt Möglichkeiten, sodass die Compliance-Richtlinien gewährleistet werden kann. In dem Vortrag wird erläutert, wie AXA in die Cloud migriert ist und dabei durch neue Konzepte und AWS-Services ein hohes Maß an Sicherheit ermöglichen kann, um die gesetzlichen Anforderungen zu erfüllen.
ドイツAXAは、保険会社にとってドイツやEUの法的課題が多い中、コアITアプリケーションのパブリッククラウドへの移行率100%を目指しています。参加者は、パブリッククラウドがデータ保護やその他の規制の観点から新たなリスクをもたらすが、パブリッククラウドへの移行によって多くのリスクも軽減されることを学ぶ。全体として、パブリッククラウドへの移行による正味のリスクインパクトはプラスであり、コンプライアンスポリシーを確保するための機会もある。本講演では、AXAがどのようにクラウドに移行し、新しいコンセプトとAWSのサービスによって高いレベルのセキュリティを実現し、規制要件を満たしたかを説明します。(DeepL翻訳)
セッションレポート
導入
AXA Germany のプロフィール
- グローバルの大手保険会社グループ
- 145,000 人の従業員
- 9300万ものクライアント
- 51の国々
- 2022年度は1023億ユーロの売上高
- ドイツAXAはそのグループの一つ
- 数値は下図の通り
保険というビジネス
- 保険会社やるには、規制当局にビジネスが承認されること
- BaFin (ドイツ連邦金融監督庁) が金融業界の安定を図る
- VAIT (ITに関する保険規制の要件) はBaFinの求める情報セキュリティやIT全般のガバナンスについて公開している
- 保険会社は、商品があってその代金をもらうのではなく、未来の「起こりうる」ことに備えて代金をもらう。
- 何が起きるか?どのようなリスクがあるか?を認識する必要がある
- IT業界の保険においては、技術的知識も必要
ITにおける保険
パブリッククラウド = より高いリスク?
パブリッククラウドと自前のIT、どちらの方がリスク高いのか?
規制要項で最も検討の必要なところであり、顧客も気にするテーマ:
- データプライバシー
- データ保護
- 情報セキュリティ
- 情報リスクマネジメント
- ID・アクセス管理
- ITサービス継続性マネジメント
- DR(災害復旧)
- 内部監査
- 職務の分業
正しく構成すれば、クラウドはより安全!
AXAは以下のような点でAWSに認められている。
- 正しい設定項目であることを確認する
- 自動化された登録・設定の管理
- 継続的なライフサイクル(サポート終了なし)
- 最新のサイバー攻撃対策の製品
- 検知ツールの提供
- 技術・規制に関わるサポート
- セキュリティ対策
保険会社としてただお金をサポートするだけではなく、顧客がリスクにさらされないように技術的にもサポートする。
事例1
- AXA Japan が2021年に受けたDDoS攻撃
- AWS Shild Advanced を有効化
- WAFでリクエストをモニタしてウェブサーバを守った
- このような攻撃によるウェブサイトのダウンは、特に医療系などでは深刻な問題
事例2
- 長期のクレデンシャルを減らす
- 特権ユーザやエンジニアの使うユーザは、恒久的なアクセスが与えられていることが多く、サイバー犯罪の標的になりやすい
- さらにユーザー名やパスワードは、通常ほぼ変更されない
- AXAでは、AWS Identity and Access Management (IAM) のIAMロールとIAM roles Anywhereを使用して、ユーザ名とパスワードを短期間の認証情報に置き換え
- これにより、攻撃の可能性を特定の期間&リソースに限定
IAM Roles AnywhereをAWS Private CAと連携させ、AWS外から一時クレデンシャルを取得してみた
おわりに
今回ドイツ語のセッションをひとつ聞いてみようと参加したのですが、
なんとか分かるけど頭に入った内容が次々にこぼれ落ちていって全然メモ取れませんでした(泣)
スライドが英語だったのが不幸中の幸いですが、実際には最後のQ&Aもいろいろあり活発なセッションだったのですが、あまりにも力不足で詳しくレポートできず申し訳ありません。。
「クラウド保険」とは自分には縁のないことで考えたことがなかったのですが、インシデントが起きないように保険会社が技術サポートや未然に防ぐためのツール提供などを行っているんだなぁと興味深かったです。