[レポート]Security by Design～AWSで実現する機能的で信頼性の高いガバナンスモデル～ #AWSSummit

AWS Summit Tokyo 2016

#イベントレポート

#レポート

#セキュリティ

#AWS

きうち

2016.06.03

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、城内です。
今回は、 AWS Summit Tokyo 2016の6/2(木) P3C1420セッションのレポートです。

セッション情報

セッション名：Security by Design ～AWS で実現する機能的で信頼性の高いガバナンスモデル～
スピーカー：高田智己氏（アマゾンウェブサービスジャパン株式会社　プロフェッショナルサービス本部マネージングコンサルタント）

セッション内容

セキュリティと監査における現在の課題と解決法

システムの複雑性が増加するにつれて、セキュリティの対応が難しくなってきている（監査と統制）。

セキュリティ対策の柔軟性と複雑性の実現

暗号化の手法
鍵の管理
ネットワークの構成
DBやストレージにどのようなサービスを選定するか
- 規制要件は何か？
- スコープに含まれるもの、含まれないもの（責任共有モデル）
- どのように標準に準拠していることを検証するか？

セキュリティ・統制環境の一貫性、品質の向上

監査作業や統制実施の自動化
透明性・可視化の改善

Software Defined Infrastructureによる解決

事前に監査の要件を見込んだアーキテクチャを設計し、自動化する。

Security by Designの紹介

AWSのコンプライアンスの進化

ISO27001の取得
PCI DSSの取得
カスタマーケーススタディ
- Enablers
- Workbooks
Security by Design
- Quality by Designがベース
- プロセスの設計

Security by Designとは

セキュリティを遡及的に設計する
設計の規格化、監査の自動化

１．要件把握

監査要件の組み込み、セキュリティ要件の分析、把握を行う。

セキュリティポリシーの確認
AWSのIT環境内で実施したいセキュリティルールの特定
AWS内で実施するコントロールの文書化
- Workbooksがある

２．要件と実装に合致するセキュアな環境構築

AWS CloudFormationテンプレートを作成する。

設定値の定義（暗号化、アクセス管理、ログ管理）
コントロールの標準化とアーキテクチャの作成
自動化のためにCFnを使用

３．テンプレート使用の要求

AWS Service CatalogでCloudFormationテンプレートを展開する。

サービスカタログを有効にしてテンプレートを使用するように要求
作成済のセキュアな環境を使用するように制限

４．検証アクティビティの実行

正しく使用されていることの確認を行う。

AWS CloudTrail、CloudWatch、Config、Inspector、Trusted Advisorの評価

Security by Designの狙い

ガバナンスポリシーを技術的にスクリプト化することにより、確実にセキュリティ要件を満たした環境を自動で構築できる。

Enterprise Acceleratorクイックスタート

特定のユースケースに対する標準化
- NIST対応、PCI DSS対応
セキュリティ要件への適合とAWSのベストプラクティス
- セキュリティ対策／要件マッピング
リファレンスアーキテクチャ
- CloudFormationテンプレート（カスタマイズしやすいように分割されている）
ガイダンスドキュメント

まとめ

Security by Designによって、運用、及び管理統制の信頼できる実装と強制が可能
AWSにはSecurity by Designの実現を支えるサービスが用意されている

感想

今回は、セキュリティという重いテーマであり、かつ、とても中身の濃いセッションでした！

設計の標準化ということは前々からいろいろ考えてきましたが、恥ずかしながら、「Security by Design」という考え方があることは知りませんでした。。
セキュリティに対する需要が高まってきているのはかなり前から感じていますので、早速Enterprise Acceleratorクイックスタートを読まねば！と思わされました（汗