AWS ソリューション Day 2016 セキュリティ&コンプライアンス
AWS ソリューション Day 2016 セキュリティ&コンプライアンス
日時: 2016 年 8 月 31 日(水) 9:30-16:30
会場: ソラシティ カンファレンスセンター(東京/御茶ノ水)
来場: 参加無料(要事前申込)
定員: 330名
https://aws.amazon.com/jp/solutiondays20160831/
10:00-10:05 オープニング 長崎 忠雄
(アマゾン ウェブ サービス ジャパン株式会社 代表取締役社長)
現在13リージョン→今年中に17リージョン
シンガポールの銀行(DBS)が情報資産の50%をAWS化を決定
→世界中の金融機関から問い合わせが殺到
10:05-10:45 基調講演:クラウドサービスセキュリティの国際規格 ~利用者責任と監査の活用~ 永宮 直史
(日本セキュリティ監査協会(JASA) クラウドセキュリティ推進協議会 事務局長)
政府統一基準におけるクラウド利用の基準
- 情報の格付けに従ったクラウドサービス利用の判断
- 外国法が利用されるリスクの評価
- サービス中断時・終了時の円滑な業務の移管
- ベンダーロックインをさせないルール・独自仕様の回避・利用者情報取得の自由
- 情報流通経路全般にわたったセキュリティ設計・セキュリティ要件
- 監査報告の内容や認証制度の適応状況を踏まえた事業者の信頼性の評価
監査にする記載(ガイドP118)
- ISO/IEC27017
- クラウド情報セキュリティ監査
ISO/IEC27017
CSC自身による情報セキュリティマネジメント
- CSCのための情報セキュリティ機能および情報の提供(サービスマネジメント)
- CSPの責任範囲における情報セキュリティマネジメント
共同責任
- CSC(Cloud Service Customer)
- 1.2. が責任範囲
- CSP(Cloud Service Provider)
- 2.3. が責任範囲
- CSC(Cloud Service Customer)
監査
- 文書化した証拠を提出
クラウド情報セキュリティ監査の特徴
- クラウドのリスク(see WebSite)
- プロセスの透明化
- 監査調書の雛形を提供
クラウド利用者がやるべきこと
10:45-11:25 基調講演:サイバーセキュリティ研究の最前線 井上 大介
(国立研究開発法人 情報通信研究機構 サイバーセキュリティ研究室 室長)
今日の資料 https://goo.gl/9JR2eU
NICTERとそのスピンオフ技術たち
最近はIoT機器からの通信が多い 23port telnet
- 日本国内では監視カメラが多い
11:25-12:05 基調講演:日本のサイバーセキュリティ政策と政府等の対策の動向 三角 育夫
(内閣サイバーセキュリティセンター(NISC) 副センター長 内閣審議官)
新たな「サイバーセキュリティ戦略」について - サイバー空間 - 5th Domain of War - 「無限の価値を生むフロンティア」である人工空間 - 経済社会の活動基盤 - 土台・基盤の大半は「民間」によるもの
- 政府統一基準の改定
- 事案発生に備えた対処体勢(CSIRT)、対処・連絡手順などの整備にかかる規定の効果
- 不正プログラム感染の発生を前提とする情報システムの防御策の強化
- 情報及び情報システムへの不正アクセスの防止等を目的とする対策の見直し・強化
- 新たなIT製品・サービスの普及に伴う対策事項の明確化
12:05-13:05 ランチ休憩
13:05-13:50 AWS グローバルコンプライアンス最新情報 Sara Duffer
(Sr. Manager, AWS Risk, Amazon Web Services, Inc.)
- 規制対象業務とセキュリティ・アシュアランスにおけるグローバルの状況
- グローバルな規制、および重要業務における原則
- 各種リソース・情報
様々な形態の金融機関がクラウド利用を広げている
各国の法令規制に則ったかたちで導入を検討する必要がある
- ガバナンスプラン
- データセキュリティ
- BCP
リバーシビリティプラン
グローバルにおける規制の原則的な共通要求事項
- Location of Data
- データの配置場所は「利用者」が決める
- Vendor Oversite
- Data Protection / Securty Addressed
- Location of Data
Securty Operation
- SOC2 で対応
- 日本におけるAWSの災害対策(Web)
gamedays
- Activation and Notification
- Validation
- Engagement
- Assessment
- Recovery
- Reconsititution
Data Protection / Securty Addressed
- 3 lines defense
- Operations
- ビジネス環境のセキュアな構築
- ex.) Cloud Formation
- Supervisory
- セキュリティ対策の有効性を確認
- ex.) Inspector
- Evaluation
- 内部監査などの独立性を有する評価
- ex.) CloudTrail
- Operations
- 3 lines defense
セキュリティに関する運用の自動化 : Automation
- Design
- Package
- Constrain
- Deploy
情報リソース
13:50-14:35 セキュリティ・ソリューション・アーキテクチャ : データの完全性に関する考慮事項 Chris Whalley
(Life Science Risk Prgm Manager, AWS Security, Amazon Web Services Inc.)
Data Integrity in the AWS
- AWSの概要
- データ・インテグリティの概要
トップ10 データ・インテグリティ・コントロール
データの定義
- Diffenent types of data require different types of data integrity controls.
トップ10 データ・インテグリティ・コントロール
14:35-14:55 休憩
14:55-15:40 金融機関のグローバルな規制対応情報
梅谷 晃宏 (アマゾン データ サービス ジャパン株式会社 セキュリティ アシュアランス本部 本部長 日本・アジア太平洋地域担当)
AWS FISC対応への情報は公開中 →MAS TRMガイドラインに関する情報
今泉 智(トレンドマイクロ株式会社 事業戦略推進部 業種営業推進グループ マネージャー)
シンガポールでCLOUDSECというクラウドセキュリティイベントを実施
MAS:Monetary Authority of Singapore シンガポールの金融当局規制
日本もシンガポールも、概ね同時期に、FISCやサイバーセキュリティが整備された
-
- Assosiation of Banks in Singapore が2016/8/2にリリース
- サイバーセキュリティの項目でクラウドについてガイドラインをリリース
- ABS 内のKey Control項目の抜粋
- 暗号化
- 変更及び特権アクセス管理
- アクセス管理と職務分掌
- セキュリティイベントモニタリングとインシデント管理
- ペネトレーションテストと脆弱性管理
- FISC と同様
侵入を前提とした対策を
- 防御だけでなく検知を強化
MAS TRM/FISCガイドライン 足立 道拡(NRIセキュアテクノロジーズ株式会社 ストラテジーコンサルティング部 部長)
世界的な災害脅威のうち、サイバー攻撃も災害に位置づけてられており、 先進国においては最重要項目にあげられていることも。
シンガポールは「働きやすい国」No.1(関税が低い)ため ビジネス・情報が集まる国なので、同様にサイバーセキュリティについて 国家レベルで関心が高い。
MAS TRMガイドライン9章 おもにサイバー攻撃対応の要求事項が記載されている。
15:40-16:25 製薬医療機器業界のクラウド対応(仮題)
梅谷 晃宏
(アマゾン データ サービス ジャパン株式会社 セキュリティ アシュアランス本部 本部長 日本・アジア太平洋地域担当)
AWSにおけるGxPクラウド GxPコンプライアンスのリソース
尾崎 孝一(東洋ビジネスエンジニアリング株式会社 ソリューション事業本部 関西ソリューション部 部長)
CSV(Computer Service Validation)
鴻池 明 (フィラーシステムズ株式会社代表取締役)
16:25-16:30 クロージング
梅谷 晃宏 (アマゾン データサービス ジャパン株式会社 セキュリティ アシュアランス本部 本部長 日本・アジア太平洋地域担当)RR