Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯レポート #finjaws #jawsug
Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯のレポートです。AWSを活用することでPCI DSSへの対応が非常に簡単になるのでAWSの提供しているドキュメントや便利なマネージドサービスを活用してやっていきましょう!
2020.05.25
この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、臼田です。
Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯 が開催されましたのでレポート致します。
【オンライン開催!】Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯 - connpass
今回はYoutube Liveのリモート配信に参加しました。
動画が公開されたので追記します!
レポート
AWSのPCI DSSへの取り組みと押さえておきたい耳寄り情報 アマゾン ウェブ サービス ジャパン 中島 智広さん
- はじめに
- PCI DSSが改めて着目されている背景
- いろんなイノベーションが起きている
- 裏でクレジットカードと連携しているサービスも多い
- クレジットカードを扱うときに必要な基準がPCI DSS
- 経産省・金融庁からも準拠するように言われている
- PCI DSSに準拠・維持する際の課題
- 準拠・維持の負荷がある
- PCI DSSに準拠しているAWSを利用しているお客様の声
- 対応が容易だった
- PCI DSSが改めて着目されている背景
- AWSにおけるPCI DSS準拠の基本的な考え方
- クラウドにおけるPCI DSS準拠の指針
- PCI SSCによってクラウドでの留意事項がまとめられている
- どのように責任を共有していくかということがまとめられている
- AWSでは責任共有モデルが思い浮かぶ
- AWSが管理する部分は任せられる
- マネージドサービスを利用すると審査範囲を削減できる
- オンプレミスは物理的な部分も利用者で統制する必要がある
- EC2だと物理層は任せられる
- RDSならパッチ管理なども任せられる
- AWSでは積極的にマネージドサービスの利用を推奨している
- 要件6のなかで脆弱性情報を収集してパッチを当てる要件がある
- このあたりの負荷が軽減できる
- オンプレミスとAWSの審査手法の違い
- AWS領域はAWSの提供するドキュメントを確認する
- PCI DSSワークロードをAWSに移行するメリット/考え方
- 責任共有モデルに基づく審査範囲の大幅な削減
- AWSの豊富なサービスや機能を活用
- 例えば機械学習のサービスを使って与信する
- より効率的に、より高いセキュリティを実現
- クラウドにおけるPCI DSS準拠の指針
- AWSの取り組みとリファレンスマテリアル
- PCIコンプライアンスへの取り組み
- QSAのチームを組織し、AWSとお客様おワークロードのPCIコンプライアンス準拠を支援
- 有資格者の意見は重要
- 強い根拠を持って案内できる
- AWSはLevel 1のサービスプロバイダーとして認定されている
- PCI Compliance Package
- AWSのサービスプロバイダーとしての準拠のドキュメントであるAOC
- Responsibility Summary
- コンプライアンスに関する責任をどのように分担するかを説明
- スプレッドシート版が用意されている
- AWSにおけるスコーピングの考え方
- 範囲を狭めることができれば対応も楽になる
- 従来はネットワークを境界に行っていた
- マネージドサービスはどうすればいいのか?
- ドキュメントがある
- AWSにおけるPCI DSS準拠のガイダンス
- PCI DSSコンプライアンスの標準化アーキテクチャ
- PCIコンプライアンスへの取り組み
- 準拠と維持に役立つサービス
- たくさんある
- 2つピックアップ
- Security Hub
- セキュリティ・コンプライアンスの状況を確認するダッシュボード
- 対応の優先順位付けに役立つ
- セキュリティ標準の機能がある
- 自動的にインフラをチェック
- PCI DSS v3.2.1の標準が用意されている
- PCI DSSに準拠する場合はこのセキュリティ標準を適用して精査していくといい
- すべてをカバーしているわけではないので注意
- 環境に合わせて検討する
- 検出結果にはどのようにすればいいかナビゲーションがある
- 定期的にチェックしてくれる
- Macie
- 東京リージョンにやってきた!
- PAN/PIIなどのデータがどこに有るのかを識別できる
- S3に保存されたデータを保護する
- PCI DSSではスコープの外にカード情報がないことを証明する際に役に立つ
- Security Hub
- まとめに変えて
- PCI DSSのワークロードをAWSに移行するメリットとしては特に審査範囲を削減すること
- 新しいサービス2つを是非活用してほしい
感想
AWSを利用することでどのようにPCI DSSが楽になるかよく分かる内容でした!
参考ドキュメントも多いので対応する場合にはしっかり目を通したいですね。
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介 株式会社リンク 滝村 享嗣さん
Fin-JAWS 第13回 PCI DSSとAWS の混ぜご飯 リンクの講演資料掲載 | PCI DSS Ready Cloud blog
- PCI DSS Ready Cloudは2013年から提供
- PCI DSS Ready Cloud AWSは2017年から
- PCI DSS Ready Cloudについて
- Ready Cloudのコンセプト
- PCI DSSに準拠したクラウドサービス
- PCI DSSの準拠を促進することができる
- サービスラインナップ
- プライベートクラウドモデル
- AWSモデル VPC提供型
- AWSモデル セキュリティコンポーネント提供型
- 何が違うのか?
- VPC提供型はリンクのAWS環境で利用する
- セキュリティコンポーネント提供のほうは利用者のAWS環境
- どういった利用者がいるか
- プロセッサー
- 決済代行事業者
- BPO事業者
- Fintech事業者
- EC事業者
- サイトコントローラー
- などなど
- 簡単に利用したい・スピーディーに利用したいというお客様が多い
- セキュリティコンポーネントで足りないところはどうするか
- マルチテナント化してサービス提供している
- コスト安く提供
- PCI DSS準拠を促進させる仕組み
- 適合したサービスや仕様を標準で提供
- ベンダコントロールも軽減できる
- サポートサイトも用意してある
- ナレッジを提供している
- ドキュメントを提供
- ガイダンスシートなど
- 適合したサービスや仕様を標準で提供
- オンプレミスとの対応項目比較
- 約380項目のところを大幅にカバー
- ユーザは約170項目に対応すればいい
- スケジュールもコストも抑えられる
- Ready Cloudのコンセプト
- 事例
- なかなか公開してくれる会社さんは少ない
- メトロエンジン様
- 理由
- スピード感が重視された
- 1,2ヶ月で準拠したかった
- 評価ポイント
- 1ヶ月でインフラ納品
- オンプレミスと比較して1/3のコスト
- PCI DSSに精通したエンジニアにいつでも相談可能
- まとめ
- クレジットカードの適切な管理についてぜひ相談してください
- 詳しくはWebへ
感想
準拠のためにいろんな部分を代わりにやっていただけるのは非常にいいですね!
AWS上でのPCI DSS運用でラクをする 株式会社アイレット 廣山 豊さん
- 2020 Japan APN AWS Ambassadorを受賞している
- アイレットでもPCI DSSに準拠・維持している
- ラクをしよう
- ラクとサボるは違う
- 損害を与えるようなものではない
- 効率性を上げて成果を上げること
- ラクをするために
- スコープを見つめ直す
- 扱っているデータはなにか
- データの所在及びアクセス経路
- 誰が扱っているのか
- スコープの設計は非常に大事
- 例えばサーバに直接アクセスしないやり方もできる
- RDSの再起動などを行う場合でもデータを見ることは出来なかったりする
- 更新監査があるため、運用を考えることは大事
- ツールの活用
- 集約と適材適所のバランス
- 連携先を増やしすぎるとコストが増えるので注意
- 進化の追従
- 定期的に見直すことも大事
- 例えばAWSのアップデートでツールが不要になることも
- 集約と適材適所のバランス
- スコープを見つめ直す
- ラクとサボるは違う
- アイレットにおける解決事例
- Sumo Logicを活用したログ管理の最適化
- 採用の理由
- Sumo LogicのPCI DSSテンプレート
- 設計をシンプルにできる
- テンプレートのメリット
- 完成度の高いダッシュボード
- 準拠のために必要なログが見えやすい
- データを流し込むだけですぐに可視化できる
- 元々のログ管理
- 最初はLogstorage + Rundesk + Splunk
- 次はDatadog + S3
- Datadogだけでは改ざん検知できなかった
- S3のオブジェクトロックを利用した
- 今はSumo Logic
- コンポーネントが少なくなってすっきり
- ただこれはゴールではなく引き続き進化していく
- まとめ
- PCI DSSの運用要件はセキュリティガイドラインとして有効
- 準拠するにはスコープを明確にする
- その後の運用を視野に入れる
- 運用にあたってはツールを活用
- ツールは定期的に見直す
感想
Sumo Logicは様々なダッシュボードのテンプレートがあってログを入れるだけで活用できるのは非常に強力ですね。
Sumo LogicのWebでダッシュボードを見るとイメージが付きやすいのでぜひ見てみましょう!
AWS環境でCAFIS接続を行いイシュアシステムを実現した事例 株式会社ディーエスエス 田中 悠己さん
【DSS】AWS環境でCAFIS接続を行いイシュアシステムを実現した事例紹介 | 株式会社ディーエスエス
- CAFS接続について
- 日本国内のクレジットカード決済は大半がCAFISに接続して行われる
- 加盟店(百貨店や小売店、ECショップなど)と金融機関の間にCAFIS
- いくつか課題があったが中継ポイントを設けて解決した
- 従来の接続
- CAFISと専用線で金融システムを連携
- CAFISはクラウド向けにサービスを提供しているわけではない
- AWSとの接続実績はあるが公開事例は無かった
- レンタルルータを用意してそことAWS環境を繋げば良さそうだった
- BGP対応が必要だがCAFISから提供するレンタルルータではBGP非対応だった
- 置き場所も問題
- AWSでのCAFIS接続
- レンタルルータからBGP対応のAPNパートナー(回線事業者)のルータに接続
- パートナーの拠点を利用して設置した
- Direct Connectで接続
- CAFIS側を一般的な企業と読み替えるとわりと一般的な構成となる
- 審査の際にAPNパートナーの部分も監査対象となった
- もともとPCI DSSを取得しているわけではなかった
- データが流れる土管で保存していない、通信の秘密を守っているということで通信事業者として判断した
- QSAごとに判断の仕方が変わるので注意
- PCI DSSのスコープを狭めるために試みたこと
- カード会員データを扱わない部分をスコープから外すことができれば楽になる
- 新規契約WebのDBと決済システムのDBを分離しようとした
- QSAの審査ではスコープから外すことが出来なかった
- PCI DSS準拠に活用したAWSのサービス
- データセンター自体のPCI DSS準拠
- 要件9の物理アクセスに対応
- 格納したログを保護する
- 要件10.5.2
- S3に保存してオブジェクトロック
- 証跡を削除させないようにするのはオンプレミスでは非常に大変だがAWSではメチャクチャ簡単
- PANを含むデータの保管
- 各種AWS機能の暗号化機能を利用
- AWS WAFで要件6.6
- CISベンチマークにInspector
- ウイルス対策、改ざん検知などはマーケットプレイスの製品利用
- AWSが提供しているResponsibility Summaryを活用した
- 鍵の管理はユーザの範囲となっているところなどを確認
- データセンター自体のPCI DSS準拠
- まとめ
- AWS環境でもCAFIS接続できる
- イシュアでも準拠可能
感想
CAFIS接続のAWS対応事例がこれまでまともになかったとのことで非常に参考になる事例でした。
活用したサービスも具体的で非常に参考になりますね!
まとめ
総じてAWSを利用するとPCI DSSの対応が非常に楽になるという話が非常に多かったですね。
いろんなサービスを活用して準拠や運用をラクにしていきたいですね。
