構築中。

名古屋のITインフラお守り係です。ITイベントへの参加記録などを残していきます。

AWS Solution Days 2017 ~セキュリティ&コンプライアンス~(8/9・その3)

イベント・勉強会

その2の続きです。

AWS Solution Days 2017 ~セキュリティ&コンプライアンス~ (2017 年 8 月 9 日開催) | AWS

午後の後半3つのセッションについての感想などです。

 

AWS コンプライアンスの先進性(Henrik Johanssonさん)

コンプライアンスには証跡収集が大事、特にイノベーションによって変化が加速した現在では、コンプライアンスのスコープもどんどん変わっていくので、証跡の取得を自動化して、さらに是正の自動化も行っていくことが大事(コンプライアンスの自動化)、というようなお話でした。

前のセッションでのリファレンスアーキテクチャの1つ目の例と似ていますが、CloudWatchのイベントをLambdaを通してDynamoDBに集めるとともに、それがセキュリティ違反・コンプライアンス違反の行為によるイベントであり、複数回繰り返されたものであれば、当該ユーザーの権限を自動的にはく奪する、というソリューションが例示されました。

そのほかにも、Step Functionsを組み合わせてLambda単体よりも複雑なことをさせたり、Machine Learningを組み合わせて判定したり、などなど。

もちろん、CloudTrailやConfig (Rules)への言及もありました。

 

その他、AWS内部でのベータテスト中のサービスとして、「Tiros」「Zelkova」という名前が出てきました。

Tirosは、AWSネットワークの到達性の確認を、PING等のパケットを飛ばすことなく確認するもので、現在はCLIのみのサポートだそうです。

ここで話題に上がっています。

What are your current unmet AWS security needs : aws

AZ、EC2等のインスタンス、Internet Gateway、ELBなどの要素が対象で、タグを判別してルールを適用(例:特定のタグを付けずにインスタンスを起動したままにしておくと、1時間で強制停止)する、といったことができるようです。

つまり、構築時のチェックだけでなく、運用中に加えられる変更について、コンプライアンスが守られているかについてのチェックにも使える(というかこちらが主目的)、という機能です。

IAMについても、同様にポリシーがどう働くか確認できる機能が開発されている、という話でしたが(同時通訳の方が単語を読み間違えた模様なのと検索しても情報を見つけられなかったので)Zelkovaのことを指しているのかどうかは不明です。

※Zelkova、正確に言うとZelkova serraは「ケヤキ」ですが、「serrata」が「errata」にかかっているのか、AWSの中の人に欅坂46のファンがいるのか、そもそも「Zelkova」なんていうサービスはない(私がスクリーンを見間違えた)のか、真相は不明です。

個人的には、このあたりの開発中の機能についての説明が、今回の一番の収穫でした。

 

また、コンプライアンスレポートポータルとして、Artifactが紹介されました。

なお、Artifactはこの後のセッションでも度々言及されていました。

 

医療情報のセキュリティ保護に向けて(上島努さん)

医療機関向けクラウドサービス対応セキュリティリファレンスのAWS対応版についてのお話でした。

Azureについてはすでに公開されていますが(なので日本の医療機関の取り込みはAWSよりAzureが先行しているように見えます)、AWSはアメリカのHIPAAなどには対応しているものの、日本では同じ分野についての対応確認が遅れているので、現在頑張って進めています、ということです。

例えば、国内法に関する要求事項に対応するために、AWSでは

・準拠法を国内法に変更する(今年、AWS Summitか何かで長崎社長がこの点について言及されていました)

・東京リージョンを使用する

というようなことが必要、というようなことが策定中のリファレンス(案)で示されています。

年末を目標に策定中、とのことでした。

 

クラウド利用時のアーカイブデータのセキュリティ(Ken Beerさん)

クラウドでのデータ保護について、静止中(ディスク上)、移動中(ネットワーク上)、利用中(メモリ上)の3つに分類→それぞれに対するアクセスコントロールや保護の設定を行う→モニタリングする→コンプライアンスレポートを出力・確認→最初に戻り、繰り返す、というようなお話でした。

暗号化をアクセスコントロールの一種として考えること、クラウド環境における鍵管理の問題(クラウド管理者側で鍵を悪用できるのでは?)とその解決のために選べるいくつかのレベルのソリューションとしてのKMS(CloudTrailとの連携、KMS assurances)について、第三者認証(SOC 1/2/3、PCI-DSSなど)、フェデレーション、自社Webサービスのアクセスコントロール方法、モニタリング、レポートなどが解説されました。

 

内容は盛りだくさんだったのですが、前のセッションで話されたことや自分自身すでに知っていることが多かったので、細かい内容は省略します。

 

 

普段エンジニア目線でAWSに接している身には、ちょっと難しめのテーマでしたが、強引?に休みを取って参加した甲斐はあったと思います。

 

…その2に書いたとおり、翌日が大変でしたが…(もっと大変なのは多分盆休み明け…)。