Dome9でFISC安全対策基準に対応したリスクアセスメント用ルールセットが利用できるようになりました
中山です
本日は、Dome9で新たに提供されるようになったFISC安全対策基準に対応したルールセットを紹介します。
FISC安全対策基準とは?
FISC安全対策基準は、正確には「金融機関等コンピュータシステムの安全対策基準」のことで、FISC(金融情報システムセンター)が提供するセキュリティガイドラインです。
AWSをはじめとするサービスプロバイダーは、FISCへの対応状況に関する情報を提供しています。
AWS Dome9 FISC
Dome9のコンソールでルールセットを確認してみましょう。
以下の通り、FISCに対応したルールセットが提供されていることが確認できます。 本記事を執筆している時点で204のルールが含まれていることが確認できます。
ルールセットを開くと、含まれるルールを確認できます。 また、各ルールには安全対策基準の項番も付記されています。
【補足】責任共有モデルについて
ここで誤解を招かないように補足しておきます。
「このルールセットに含まれる全てのルールにパスした = FISC安全対策基準に対応できた」ではありません。
FISCに限らず、各種セキュリティガイドラインはシステムの運用やプラットフォームのファシリティからアプリケーションに関することまであらゆるものが評価の対象になります。 これら各種セキュリティガイドラインのスコープ全てをDome9で評価できるわけではありません。
Dome9のPosture ManagementはAWSなどのクラウドプラットフォームで作成するリソースの設定情報に対するセキュリティアセスメントを行う機能です。 責任共有モデルにおいてクラウドプラットフォームの利用者が管理責任追う部分の一部の管理をDome9は支援する、とご認識ください。
まとめ
FISCは日本国内向けのガイドラインのため、グローバルに展開するサービスでサポートするとは思わず、個人的には非常に驚きました。 何はともあれ、FISCを意識してシステムの設計や運用をする機会がある者としては非常にありがたいです。
現場からは以上です。
![[CGPM]Agentless Workload Postureを試してみた](https://devio2023-media.developers.io/wp-content/uploads/2023/02/cloud-guard-posture-management-1200x630-1-1.jpg)
