読者です 読者をやめる 読者になる 読者になる

Logic Delight

明日のワシは忘れてしまうから、コードにはコメントを書くのです。

AWS ソリューション Day 2016 セキュリティ&コンプライアンス

Security AWS

AWS ソリューション Day 2016 セキュリティ&コンプライアンス

日時: 2016 年 8 月 31 日(水) 9:30-16:30
会場: ソラシティ カンファレンスセンター(東京/御茶ノ水
来場: 参加無料(要事前申込)
定員: 330名

https://aws.amazon.com/jp/solutiondays20160831/

10:00-10:05 オープニング 長崎 忠雄

(アマゾン ウェブ サービス ジャパン株式会社 代表取締役社長)

現在13リージョン→今年中に17リージョン
シンガポールの銀行(DBS)が情報資産の50%をAWS化を決定
 →世界中の金融機関から問い合わせが殺到

10:05-10:45 基調講演:クラウドサービスセキュリティの国際規格 ~利用者責任と監査の活用~ 永宮 直史

(日本セキュリティ監査協会(JASA) クラウドセキュリティ推進協議会 事務局長)

  • 政府統一基準におけるクラウド利用の基準

    1. 情報の格付けに従ったクラウドサービス利用の判断
    2. 外国法が利用されるリスクの評価
    3. サービス中断時・終了時の円滑な業務の移管
    4. ベンダーロックインをさせないルール・独自仕様の回避・利用者情報取得の自由
    5. 情報流通経路全般にわたったセキュリティ設計・セキュリティ要件
    6. 監査報告の内容や認証制度の適応状況を踏まえた事業者の信頼性の評価
  • 監査にする記載(ガイドP118)

  • ISO/IEC27017

    • 情報セキュリティの共同責任
      • クラウド事業者は、利用者支援のため情報セキュリティ監査に必要な情報提供・機能提供をすること
      • ↑の共通的な基準を表したものが「ISO/IEC27017」
    • ISO27001, ISO27002 のクラウド
  • CSC自身による情報セキュリティマネジメント

  • CSCのための情報セキュリティ機能および情報の提供(サービスマネジメント)
  • CSPの責任範囲における情報セキュリティマネジメント
  • 共同責任

    • CSC(Cloud Service Customer)
      • 1.2. が責任範囲
    • CSP(Cloud Service Provider)
      • 2.3. が責任範囲
  • 監査

    • 文書化した証拠を提出
  • クラウド情報セキュリティ監査の特徴

    1. クラウドのリスク(see WebSite)
    2. プロセスの透明化
    3. 監査調書の雛形を提供
  • クラウド利用者がやるべきこと

    • リスクに応じた利用と対応
    • 監査報告の内容や認証制度の適応状況を踏まえた事業者の信頼性の評価
    • 利用者が負うべき責任を果たすこと
      • クラウド提供者との責任分界の確認と対応
      • クラウド利用に対するガバナンスの確立
      • 情報セキュリティの運用

10:45-11:25 基調講演:サイバーセキュリティ研究の最前線 井上 大介

(国立研究開発法人 情報通信研究機構 サイバーセキュリティ研究室 室長)

今日の資料 https://goo.gl/9JR2eU

  • NICTERとそのスピンオフ技術たち

    • グローバル観測(ダークネット)
      • NICTER
        • ダークネット from-to の通信を観測
      • DAEDALUS
    • ローカル観測(ライブネット)
  • 最近はIoT機器からの通信が多い 23port telnet

    • 日本国内では監視カメラが多い
  • クラウドからクラウドへの攻撃

  • AWSNIRVANA

    • AWSのセキュリティ機能は多々ある
      • Amazon Inspector(脆弱性自動検査)
      • AWS CloudTrail(エンドポイント監視)
      • VPC Flow Logs(通信監視)
      • Amazon Cloud Watch(アラート通知)

11:25-12:05 基調講演:日本のサイバーセキュリティ政策と政府等の対策の動向 三角 育夫

(内閣サイバーセキュリティセンター(NISC) 副センター長 内閣審議官)

新たな「サイバーセキュリティ戦略」について - サイバー空間 - 5th Domain of War - 「無限の価値を生むフロンティア」である人工空間 - 経済社会の活動基盤 - 土台・基盤の大半は「民間」によるもの

  • 政府統一基準の改定
    • 事案発生に備えた対処体勢(CSIRT)、対処・連絡手順などの整備にかかる規定の効果
    • 不正プログラム感染の発生を前提とする情報システムの防御策の強化
    • 情報及び情報システムへの不正アクセスの防止等を目的とする対策の見直し・強化
    • 新たなIT製品・サービスの普及に伴う対策事項の明確化

12:05-13:05 ランチ休憩

13:05-13:50 AWS グローバルコンプライアンス最新情報 Sara Duffer

(Sr. Manager, AWS Risk, Amazon Web Services, Inc.)

  • 規制対象業務とセキュリティ・アシュアランスにおけるグローバルの状況
  • グローバルな規制、および重要業務における原則
  • 各種リソース・情報

FinTech企業の100%はクラウドAWS)を利用

様々な形態の金融機関がクラウド利用を広げている
各国の法令規制に則ったかたちで導入を検討する必要がある

  • ガバナンスプラン
  • データセキュリティ
  • BCP
  • リバーシビリティプラン

  • グローバルにおける規制の原則的な共通要求事項

    • Location of Data
      • データの配置場所は「利用者」が決める
    • Vendor Oversite
    • Data Protection / Securty Addressed
  • AWS Quick Start Program : PCI DSS

    • Standard Architecture for AWS PCI-DSS
  • Securty Operation

    • SOC2 で対応
    • 日本におけるAWSの災害対策(Web)
  • gamedays

    • Activation and Notification
    • Validation
    • Engagement
    • Assessment
    • Recovery
    • Reconsititution
  • Data Protection / Securty Addressed

    • 3 lines defense
      • Operations
        • ビジネス環境のセキュアな構築
        • ex.) Cloud Formation
      • Supervisory
        • セキュリティ対策の有効性を確認
        • ex.) Inspector
      • Evaluation
        • 内部監査などの独立性を有する評価
        • ex.) CloudTrail
  • セキュリティに関する運用の自動化 : Automation

    • Design
    • Package
    • Constrain
    • Deploy
  • 情報リソース

13:50-14:35 セキュリティ・ソリューション・アーキテクチャ : データの完全性に関する考慮事項 Chris Whalley

(Life Science Risk Prgm Manager, AWS Security, Amazon Web Services Inc.)

Data Integrity in the AWS

  1. AWSの概要
  2. データ・インテグリティの概要
  3. トップ10 データ・インテグリティ・コントロール

  4. データの定義

    • Diffenent types of data require different types of data integrity controls.
  5. トップ10 データ・インテグリティ・コントロール

    1. リスクベースのソフトウェア設計、テスト
    2. データアクセスへの制限
    3. 監査証跡へのアクセスの制限
    4. データの同時記録
    5. 文書フォームのコントロール
    6. 定期的な監査証跡、データ、メタ・データのレビュー
    7. 監査報告の完全な保持
    8. 規制対象となるソフトウェア・アプリケーションの検証
    9. 経営上層部のデータ・ガバナンスの実装についての責任
    10. 経営上層部エラー・レポートについての前向きな検討の促進

14:35-14:55 休憩

14:55-15:40 金融機関のグローバルな規制対応情報

梅谷 晃宏 (アマゾン データ サービス ジャパン株式会社 セキュリティ アシュアランス本部 本部長 日本・アジア太平洋地域担当)

AWS FISC対応への情報は公開中 →MAS TRMガイドラインに関する情報

今泉 智(トレンドマイクロ株式会社 事業戦略推進部 業種営業推進グループ マネージャー)

シンガポールでCLOUDSECというクラウドセキュリティイベントを実施

MAS:Monetary Authority of Singapore シンガポールの金融当局規制

日本もシンガポールも、概ね同時期に、FISCやサイバーセキュリティが整備された

MAS TRM/FISCガイドライン 足立 道拡(NRIセキュアテクノロジーズ株式会社 ストラテジーコンサルティング部 部長)

世界的な災害脅威のうち、サイバー攻撃も災害に位置づけてられており、 先進国においては最重要項目にあげられていることも。

シンガポールは「働きやすい国」No.1(関税が低い)ため ビジネス・情報が集まる国なので、同様にサイバーセキュリティについて 国家レベルで関心が高い。

MAS TRMガイドライン9章 おもにサイバー攻撃対応の要求事項が記載されている。

15:40-16:25 製薬医療機器業界のクラウド対応(仮題)

梅谷 晃宏

(アマゾン データ サービス ジャパン株式会社 セキュリティ アシュアランス本部 本部長 日本・アジア太平洋地域担当)

AWSにおけるGxPクラウド GxPコンプライアンスのリソース

尾崎 孝一(東洋ビジネスエンジニアリング株式会社 ソリューション事業本部 関西ソリューション部 部長)

CSV(Computer Service Validation)

  • クラウド環境のバリデーション手法
    • ITインフラのクオリフィケーション+アプリのバリデーション
  • バリデーション対象システムのクラウド環境採用の課題
  • クラウド環境採用の促進に向けて

鴻池 明 (フィラーシステムズ株式会社代表取締役

16:25-16:30 クロージング

梅谷 晃宏 (アマゾン データサービス ジャパン株式会社 セキュリティ アシュアランス本部 本部長 日本・アジア太平洋地域担当)RR