[レポート] 機密性の高いワークロードのための実践的なデータ保護およびリスクアセスメントについて考えるワークショップに参加しました #AWSreInvent #SEC247
センシティブなワークロードのための実践的なデータ保護とリスクアセスメントを学ぶワークショップに参加しました。
セッション名:
SEC247 | Practical data protection and risk assessment for sensitive workloads
概要
Join this workshop to explore how to simplify the process of selecting the right tools to mitigate your data protection risks. Kick off the data protection lifecycle by conducting a risk assessment, and then learn how Amazon Macie, Amazon EventBridge, AWS Step Functions, and AWS Lambda can help you achieve your PCI, HIPAA, and GDPR compliance and data protection requirements. These offerings can find and identify sensitive data, automatically apply tags to buckets and objects that contain sensitive data, and enforce attribute-based access control IAM decisions based on those tags. You must bring your laptop to participate.
このワークショップでは、データ保護リスクを軽減するための適切なツールの選択プロセスを簡素化する方法を探ります。リスクアセスメントを実施してデータ保護ライフサイクルを開始し、Amazon Macie、Amazon EventBridge、AWS Step Functions、AWS LambdaがPCI、HIPAA、GDPRのコンプライアンスとデータ保護要件の達成にどのように役立つかを学びます。これらのオファリングは、センシティブなデータを見つけて特定し、センシティブなデータを含むバケットやオブジェクトにタグを自動的に適用し、それらのタグに基づいて属性ベースのアクセス制御IAM決定を実施することができます。参加にはノートパソコンの持参が必要です。
レポート
ワークショップに参加する前はワークショップの説明を読んで、 データ保護リスクを軽減するための適切なツール選びの方法と普段触る機会のないサービスを試せる良い機会だな〜 と思っていたのですが実際参加してみると、
「これは thinking workshop です」
とのことで、ワークショップのドキュメントを読んで実際に手を動かして進めていくワークショップではなく、アーキテクチャ・アプリケーション・AWSサービスについてクリティカルシンキングを行うというワークショップでした。このようなタイプのワークショップに参加をしたことがなく、しかも急に thinking workshop と知ったものですから急激に緊張をしてしまいました。もう、なんとかなれ〜ッ の気持ちです。
ワークロードアセスメントのライフサイクルです。 1〜7は顧客の責任範囲で、4と5に関してはAWSがヘルプできる箇所とのことでした。
ワークショップの形式
- クイズを解いていきポイントを稼ぎ、他の仲間と競い合う
- ドキュメンテーション演習の実施
- ハンズオンラボ
このワークショップでは、データプライバシーに関連するデータ保護にフォーカスしています。
ワークショップの内容
- Introduction
- Case Study Review
- Map International Transfers: Data Mapping
- Identify Transfer Mechanism & Assess Laws and Practices
- Risk Assessment
- Selecting Controls
- Implement PII Detection and Permissions
- Implement Data Anonymization
- Implement Monitoring Technical Controls
Case Study Review
【シナリオ】
イギリスに本社がある Example.corp という、世界中に顧客を持つクレジットカード決済会社で働いています。顧客が居住する国のデータプライバシー要件を満たす様にするために、以下のことを確認する必要があります。
※ Example.corp が収集・処理・保存するすべての個人情報(PII)に対する効果的な管理を確実にする必要がある
- どのようなリスクを軽減する必要があるかを決定する
- リスクを軽減するためのコントロールを選択する
- これらのコントロールを導入・自動化する
- CISOがリスクを承認できるように、リスク所有者のためにCレベルのレポートを作成する
残念なことに、企業の開発者の多くは会社を去ってしまったので、アセスメントを行うために使用できるドキュメントが限られてしまっている...という設定です。
【ワークショップ】
このワークショップでは上記の紙が各テーブルごとに配られ、同じテーブル内の人とディスカッションしつつクイズに答えていく、というものでした。ワークショップのドキュメントに Example.corp のシステムアーキテクチャやデータ保護についての情報が記載されているので、そちらを確認しながら答えを探していくという形でした。
答えをすべて埋めたらAWSの方に紙を提出して終了です。
Map International Transfers: Data Mapping
ここでは データマッピング について学びます。
個人情報保護規制ではデータ処理を文書化することが重要で、このプロセスはデータマッピングと呼ばれます。
以下は文書化する必要のある項目となります。
- 処理の事業目的
- その目的のためにデータにアクセスができる人またはプロセス
- その目的のために使用されるデータの種類
- 人またはプロセスがデータを保管または処理している国
- データ処理に関与する第三者
企業の事業拠点がどこにあるかによって、規制要件を満たすためのデータ処理活動の文書化に関する要件が異なる場合があり、このセクションではヨーロッパのGDPRに基づく例についての内容でした。
【ワークショップ】
図を見ながらデータマッピングを行なっていくエクササイズを行いました。
スプレッドシートにデータマップが記載されており、空いている部分をうめていくという形式です。
【学んだこと】
- GDPRの基本用語
- AWSサービスを使用してコンテンツ内の個人データを処理する場合 および AWS が個人データを収集する際のAWSの立ち位置的なもの
Identify Transfer Mechanism & Assess Laws and Practices
個人情報保護法に違反したり、個人データの使用目的を損なったりしないよう、データ移転とデータ主権に関する規制に細心の注意を払うことが重要です。個人データが移転される際には、異なるプライバシー法や規制が適用される可能性があります。
【ワークショップ】
チーム内でディスカッションしつつ、クイズを解いていく形式でした。
今回のクイズは法律関係のものがメインだったので難しくて、分からない言葉ばかりなので調べながら進めました。自分ひとりなら自分のペースで調べられますが、チームで一緒にやっていくとなると結構焦ってしまいますね...。
【学んだこと】
- 境界を超えてデータを転送する際にはプライバシー義務に注意する必要があること
- 最初の決定ポイントは、移転に関係するすべての国が欧州委員会から Adequacy Decision(十分性認定)を得ているかどうか調べる。らしい。
(十分性認定を持ってない場合は、標準契約条項または他のGDPR第46条に頼ることができるかもしれない。とのこと)
EU関連の話が多く(欧州委員会からの承認とか欧州連合裁判所とか...)、データ保護・プライバシー保護に関して法律の話が絡んでくるので難しかったです。
確認する資料も実際にEUや各国が出しているルールに関するものなので読み解くのが大変でした。
Risk Assessment
多くの顧客にとって障害と感じるのは、規制当局や監査人、また組織の新たな機会を作り出そうとするビルダーを満足させる合理的なリスクアセスメントを行う場合です。
リスクアセスメントのフレームワークとして、DPIA (Data Protection Impact Assessment: DPIA) と GDPR Data Protection Certification の説明がありました。
Selecting Controles
データが直面するリスクに基づき、データを保護するために取るアクションは多岐にわたります。AWSではそれらを以下の3つのカテゴリーにわけました。
- Technical measures / 技術的な対策
- Contractual measures / 契約上の措置
- Organizational measures / 組織的な対策
AWS は データプライバシーフレームワークプログラム および EU Cloud Code of Conduct の認定を受けています。
※ これはAWSサービスがGDPRに準拠して使用できることを独立的に検証するもの
ユースケース:
データのバックアップや他の用途において、データを平文でアクセスする必要のないストレージ
【ワークショップ】
このセクションでは上記のユースケースに対して、 Technical measures に焦点をあてて進められました。そのため、チーム内で行うディスカッション&クイズもAWS寄りの内容だったので他のクイズと比べてやりやすかったです。KMSやS3の暗号化など、そのあたりの内容がメインでした。
Hands-on Labs
最後はハンズオンラボの時間がありました。
7.Implement PII Detection and Permissions
8.Implement Data Anonymization
9.Implement Monitoring Technical Controls
残り時間が20分ほどしかなかったため上記の中から好きなものを各自やってください、ということだったのでモジュール7に挑戦しました。
モジュール7 は、 Amazon Macie や Eventbridge、Step Functions を使用して自動で機密情報を検知させるワークフローを構築するラボです。このラボをやりたくてこちらのワークショップに参加したので挑戦をしたのですが、時間切れで最後までできませんでした。。。
まとめ
ラボを最後まで行えなかったことは残念ですが、初めて Thinking Workshop というものに参加し、チームで作業をしていくという経験ができとても勉強になりました。
データ保護関連に関する知識が乏しいのでドキュメンテーション演習では焦ってしまったのですが、一緒にワークショップを行なった方がセキュリティが専門の方で色々と助けて頂きました。感謝です....!その代わり、AWS関連のドキュメンテーション演習とクイズでは率先して答えを出していきました!良いチームワークだったかと思います。楽しかったです。
データ保護とリスクアセスメントの内容は難しかったですが、今回のワークショップを経て概要や用語を知ることができました。
ハンズオンラボについては家でやろうと考えていたのですが見つからないので re:Invent 限定だったのかもしれません。また機会があれば挑戦したいです。
クイズを解いてポイントを稼いだ結果、ゲットしたステッカー。
ここまで読んで頂きありがとうございました!
資料
AWS cloud services adhere to CISPE Data Protection Code of Conduct for added GDPR assurance
AWS における GDPR コンプライアンスに関する情報提供