その1の続きです。
AWS Solution Days 2017 ~セキュリティ&コンプライアンス~ (2017 年 8 月 9 日開催) | AWS
AWSのコンプライアンス・セキュリティの展望(梅谷晃宏さん)
午前の基調講演のまとめと午後のセッションの前フリのような感じでした。
意外(失礼!)とまとまっていて、眠くなってきた時間帯に頭を整理するのに役立ちました(PCのWindows Updateと格闘していて3時間睡眠で東京に来たので…新幹線の車内でもAWSではなくてBluemixの本をずっと読んでて寝てなかった…)。
クラウドとセキュリティの関係が、
・クラウドはセキュリティが心配
↓
・セキュリティが心配だからクラウドを使おう
↓
・セキュリティを高めるためにクラウド化を推進しよう
…というように変化してきたこと。
AWSが、金融・医療薬品・プライバシー・災害対策・公共公益にフォーカスしてきたこと。
Infrastructure as Codeがセキュリティリスクを下げ(自動化によるヒューマンエラー撲滅、自動化NGなことに人的資源を集中可能)、可視化により俯瞰的な視点や、違う立場の人同士(エンジニアとマネージャー、経営者など)が共通視点を持てることで新たなリスクが発見できることなど(→Compliance as Codeに繋がる)が説明されました。
クラウド環境におけるNIRVANA改での可視化と連携(遠峰隆史さん)
午前中の井上さんのセッションでも触れられた、AWS環境でNIRVANA改を使うケースについてのより具体的な説明でした。
通常のOpenGL版はオンプレ環境用ですので、AWS向けにはUnity版を使うそうです。
フローログ(Flow Logs)をLambdaでElastiCache(Redis)に転送してリアルタイム解析したり、WAFのアラートを受け取ったりして可視化を行う、という話でした。
最後、前のセッションで登壇された梅谷さんのリクエストでリアルタイム実演…するはずが、お約束のネットワークトラブルでなかなか始められず…梅谷さんが壇上に上がられて「ロン毛兄弟です」という小ネタを披露して場をつないだりしていましたが(MSの澤さんがいたら「ロン毛3兄弟」になりそう)、なんとかネットワークは繋がり実演できました。
ただ、たまたま「攻撃」が少なったようで、「画面が寂しい」状態に…。
こういうときのために、NICT内部から「自作自演攻撃」ができるといいかもしれません(誤爆注意)。
AWS 環境におけるFinTechセキュリティ(仲宗根友惠さん・塚田朗弘さん)
まだ案の段階で、正式版はComing soon、な話でした。
PCI-DSS 3.2、FISC安全対策基準(第8版追補改訂)、同・API接続チェックリスト(試行版)、ISO/IEC 27001 Annex.A、といった基準に、どのサービスをどのような使い方で対応するのか(セキュリティリファレンス)と、CloudFormationでテンプレート化したリファレンスアーキテクチャについて、現段階のものについて説明されていました(言い回しが難しいので、間違っていたらすみません)。
・稼働中の環境に照らし合わせる
・新規構築する際の参考にする
・現時点で基準未対応部分について検討する
といった使い方が考えられています。
リファレンスアーキテクチャの例として、IAMとCloudTrailを使ったポリシー違反への自動対処(権限はく奪)、CognitoとAPI Gatewayを使ったオープンAPIの構築などが示されました。
今年第4四半期に提供予定だそうです(提供時にセミナー開催を予定。行けるかな?)。
…疲れてきたので、残りはその3で。
個人的には、この次のセッションの内容が一番の収穫でした。
会社を休んで(先日土日の障害対応の振替で)参加したら、思いのほか9/2の一大イベントの準備が進んでいなくて、大変…。