ちょっと前フリしていましたが、参加してきました。
AWS Solution Days 2017 ~セキュリティ&コンプライアンス~ (2017 年 8 月 9 日開催) | AWS
私にとってはメインは午後でしたが、疲れたので今日のところは午前の基調講演とランチセッションまで感想などを書きます。
クラウドサービスの利用に関するリスク管理のあり方~『金融機関におけるFinTechに関する有識者検討会』における議論より~(小林寿太郎さん)
FISCの安全対策基準(現在、第8版追補改訂)のクラウドサービス対応に関わるお話です。
以下の有識者検討会報告書の要点を掻い摘んで解説したようなセッションでした。
FISC:「金融機関におけるクラウド利用に関する有識者検討会報告書」の掲載についての詳細
FISC:【報道発表】『金融機関における外部委託に関する有識者検討会』報告書の公表および『FinTechをテーマとした有識者検討会』の開催について(7月7日追記あり)の詳細
FISC:【報道発表】「金融機関におけるFinTechに関する有識者検討会」報告書の公表についての詳細
現時点では来年3月の改訂を目指しているとのこと。
なお、クラウド固有の性質として、
・匿名の共同性
・情報処理の広域性
・技術の先進性
があり、これらをふまえたリスク管理策として、
・統制対象クラウド拠点の把握
・監査権等の明記
・監査の実施
など5つの補足が提案されています(詳しくは3つ目の報告書を参照)。
金融関係者でないとなかなか理解が難しそうに思えますが、他業種でも参考になる点はあると思います(保護のやり過ぎはダメですが)。
サイバーセキュリティ研究最前線 2017 - 無差別型攻撃の変遷と次世代の標的型攻撃対策 -(井上大介さん)
以前聞いた話に加えて、STARDUSTと、AWS環境でのNIRVANA改の話がありました。
STARDUSTは、本番環境に似せたリアルな並行環境を用意し、攻撃者を誘引して攻撃者についての情報収集をしやすくするためのツール、ということでした。
そのような環境で攻撃者を誘い込むと、「アルバイト」のごとく、マニュアル対応で9-17時だけ「仕事」をするような「規則正しく健康的」なケースが多い、とのこと。本当に高度な技術を持った攻撃者による攻撃はほんの一握りのようです。
余談ですが、以前の話を聞いた時に「次の製品の命名をどうするか」ということを言われていましたが、どうやら(表面上だけかもしれませんが)ごく普通の名前になったようです。
AWS環境では、ノーマルなNIRVANA改が必要とする(他のツールでも同様ですが)ブロードキャスト/マルチキャストパケットが通りませんので、VPCのフローログを利用する形で対応しているそうです。
午後のセッションでもう少し詳しい解説がありました。
改正個人情報保護法の施行について~パーソナルデータの利活用促進と消費者の信頼性確保に向けて~(小川久仁子さん)
Internet Week 2016で聞いた話のアップデートでした。
前半は匿名加工情報、後半は国際対応について力を入れて説明されていた印象でした。
匿名加工情報については、こちらの資料の43ページ目以降で示されている例を示して説明されていました。
匿名加工情報・非識別加工情報(2つ目の資料、匿名加工情報 「パーソナルデータの利活用促進と消費者の信頼性確保の両立に向けて」)
国際対応については、元々、EUのルールに対応することを改正の1つの大きな目的としていたのに、本当に大丈夫か?と批判を受けていたことを意識してか、盛んに交渉と取り組みの成果を強調されていました。
また、「EUの主張を一方的に受け入れるのではなく、双方向で議論して」というようなことも言われていたのが印象的でした(負けるな日本人!?)。
それから、EUのGDPRのほか、ASEANのCBPRへの取り組みについても強くアピールされていた印象です。
NTTドコモのAWSセキュリティ対策とドコモ・クラウドパッケージ(森谷優貴さん)
ランチセッションで宣伝メインだろう、と思って正直あまり期待していなかったのですが(弁当をもらっておきながら酷い!?)、前半は自社事例の話が中心で、意外?と興味を持って聞くことができました。
NTTドコモぐらいの会社になると、社内手続きが大変そうですね…(手続きを踏まずに勝手なことをすると、それはそれで大変なことになりそうですが)。
その2に続きます。