【レポート】「AWSにおけるクラウドコンプライアンスの実践 ―セキュリティ担当者が理解すべき説明責任のポイント― 」 #AWSSummit

こんにちは。
ご機嫌いかがでしょうか。

こちらは2019年06月12〜14日に行われたAWS Summit Tokyo 2019のセッションレポートです。

6月13日 15:00-15:40
 AWSにおけるクラウドコンプライアンスの実践 ―セキュリティ担当者が理解すべき説明責任のポイント―

セッション概要

  • こんな話
    • 自社のセキュリティポリシーに合わないとお悩みへのヒント
    • AWSって実際にしているセキュリティ管理は?
    • グローバルスタンダード対策への悩み
  • NIST Cybersecurity Framwwork ホワイトペーパー出ました

  • 自社のデータがAWSから侵害された場合、AWSの対応は何?

  • NIST CSF

    • 世界の政府、産業界、組織で使われている
    • サイバーセキュリティの推奨ベースライン
    • ガートナー、2020年までに米国の民間セクターでの利用が50%に達する
    • IPAのサイトから日本語訳をダウンロードできる
  • NIST CSFの活用
    • 再構築より再利用
    • ありものを使い、その上に自社でカスタマイズする
  • ITガバナンスとは?
    • ビジネス価値への貢献に対する説明責任
    • 管理に対する説明責任
      • ITがビジネス資産を守っていること
    • ビジネス戦略との適合に対する説明責任
      • イノベーション、ROI
    • 両者のバランスを取る
    • AWSはセキュアな基盤であることを証明可能 → だから選ばれている
    • 組織のとりうる戦略
    • 標準化の推進
      • 管理の透明化
      • 平準化、コスト効率化
      • WhyやWhatを共通言語化
      • 標準化をつきつめてしまうと変化の受け入れを阻害 → 形骸化、陳腐化しないこと
    • 独自化
      • 強みによる差別化する
      • 競争力の源泉
      • つきつめると透明化の阻害 → 説明できない、ガラパコス化しないこと
    • どちらもネガティブ面がある
    • ベースライン再利用、第三者の目も必要
  • NIST CSF 構造
    • コア
    • カテゴリとなる参考情報
    • 管理すべき情報の機密区分に応じた管理策を具体化 (CSFにマッピング)
    • ティア
    • 機能と統制の管理に関して、適正と成熟度を図る指標
    • プロファイル
    • 組織の現状と理想像を表現
  • AWSのNTST CSF リソース
    • AWSが管理するセキュリティ + お客様が管理するセキュリティ がベース
    • NISTに関するサイトをAWSは公開している
    • NIST CSF ホワイトペーパー
    • お客様の責任範囲、AWSの責任範囲
    • 技術視点 (付録A)
      • 何をすればいいか、AWSは何をしているのか
    • ガバナンス視点 (付録B)
      • 責任共有モデルの理解
      • 第三者による評価 (ホワイトペーパー自体)
    • Workbook
      • エクセルブック、何をすべきか書いてある
    • NIST Quick Start
      • 準拠環境のテンプレートとガイドを提供 (30分~1時間で構築可能)
      • ガイドに基づき利用者は必要な統制を構築する必要あり
      • Quick Start用のコントールマトリクスが付属、要件に対してテンプレートのどこで対応しているかを記載
      • テンプレートはカスタマイズ可能、お客様のセキュリティとアジリティを両立
  • NIST CSF AWSが何をしているか
    • 識別
    • クラウドにおけるサプライチェーンリスクの管理
      • お客様にとってのクラウド利用の調達はサービスを調達するということ
      • サプライヤーや物理機器の評価はクラウド事業者の統制
      • クラウド事業者内に管理統制に関するプロセスがあることを評価する
      • AWSインフラストラクチャは日々進化している
        • カスタムハードウェアによる設計、AWSが設計して所有しているハードウェアを使用
    • 防御
    • AWSを理解して使える人を増やす → つまりセキュリティ向上
    • n+1のデプロイメントモデル
      • サービスを構成するコンポーネントはn+1になっている
      • +1はバックアップであるがアクティブ
      • ネットワークとデータセンターを含め、このモデルを採用している
    • 検知
    • NIST SP 800-53に基づく対応
    • AWSにおけるペネトレーションテスト、第三者による予告の無い実施
    • 脆弱性のレポーティングと情報提供をサイトで公開
    • 対応
    • お客様データがAWSから侵害された場合
      • High Watermarkコンセプト
      • データには関知しないが、侵害に対しては守っている
    • 復旧
  • まとめ
    • 実践のために
    • ホワイトペーパー (日本語ある)
    • AWS Artifact
    • パートナー

所感

まずは NIST CSF ホワイトペーパーを読んでみたいと思います。
常に高いアンテナは張っておくと決意しました。

すでにある基準やテンプレートを使ってベースラインを作り
自社要件のセキュリティはそのうえにカスタマイズしていくという考え方が
非常に勉強になりました。

参考リンク

2019/06/14 追記
NIST - AWS
IPA セキュリティ関連NIST文書