AWS Black Belt Online Seminar「金融機関向けAWSセキュリティ・FISC安全対策基準への対応」の資料およびQA公開
こんにちは、ソリューションアーキテクトの舟崎です。
2016/8/31に開催いたしましたAWS Black Belt Online Seminar「金融機関向けAWSセキュリティ・FISC安全対策基準への対応」の資料およびQAを公開いたしました。
頂いたご質問および回答は以下となります。回答可能なものに限り掲載させて頂いております。予めご了承ください。
Q1:データセンターの実地調査は出来ないということでしょうか?
AWS のデータセンターは複数のお客様をホストしており、幅広いお客様が第三者による物理的なアクセスの対象となるため、お客様によるデータセンター訪問は許可していません。このようなお客様のニーズを満たすために、SOC 1 Type II レポート(SSAE 16)の一環として、独立し、資格を持つ監査人が統制の有無と運用を検証しています。この広く受け入れられているサードパーティによる検証によって、お客様は実行されている統制の効果について独立した観点を得ることができます。AWS と機密保持契約を結んでいる AWS のお客様は、SOC 1 Type II レポートのコピーを要求できます。データセンターの物理的なセキュリティの個別の確認も、ISO 27001 監査、PCI 評価、ITAR 監査、FedRAMPsm テストプログラムの一部となっています。
Q2:監査レポートの提出は何を締結すれば提出して頂けるのでしょうか?
NDAの締結が必要になります。SOC1またはSOC2等の監査レポートを要求するには、AWSの担当者にお問い合わせください。担当者がいない場合は、ここからご請求いただけます。
https://aws.amazon.com/jp/compliance/contact/
Q3:AWSのマネージドサービスの論理領域(Amazon RDSやAmazon RedshiftのAdminユーザなど)へはAWS側はアクセス可能でしょうか?
Amazon RDS や Amazon Redshift といった AWS マネージドサービスには特定のタスクの実行に必要なすべてのリソースが含まれており、それらに伴う設定作業も必要ありません。マネージドサービスでは、インスタンスの起動や管理、ゲスト OS やデータベースのパッチ適用、データベースのレプリケートなどに頭を悩ませる必要はありません。お客様に代わって AWS がこれらを行います。ただし、ユーザーに個々の認証情報を付与して役割分担を行えるように、Amazon Identity and Access Management(IAM)による AWS アカウント認証情報の保護と個々のユーザーアカウントの設定は、他のサービス同様お客様自身で行う必要があります。また、AWS では各アカウントに多要素認証(MFA)を使用し、AWS リソースへのアクセスに SSL/TLS の使用を義務付け、AWS CloudTrail で API/ユーザーアクティビティのログを記録するように設定することを推奨しています。
Q4:Amazon S3 のようにリージョンをまたがってデータがコピーされるサービスの場合、日本以外のリージョンにコピーされたデータはどの国の法律が適用されますか?
AWS のお客様は、適用可能な法律および規制に準拠する範囲で AWS を使用する責任を有しています。また、AWS のお客様は、お客様のデータの統制と所有権を保持します。個別のご質問については、お問い合わせください。
Q5:紹介頂いた事例は比較的ノンコアIT事例や中間領域が多い印象でしたが、コアIT領域でのAWS利用事例はありますか?
コアIT領域か、ノンコアIT領域化においては、各金融機関様が判断を行うことが前提となっています。
たとえば、ジャパンネット銀行様においては、社員の方が使うActive DirectoryやExchange ServerやファイルサーバがAWS上に構築されており、可用性ならびに、データの機密性は高くなっています。また、各種証券会社でのAWS活用事例においても、証券市場が開いている9:00-15:00の間においては、特に重要なシステムとして位置づけられています。
海外においては、Capital One様がより広い範囲で銀行システムをAWS上に構築しているなど、開示している事例があります。
https://aws.amazon.com/solutions/case-studies/capital-one/
Q6:ハードウェアの廃棄のところで、掌の上に砂の様なものが映っていましたが。あそこまで、ハードウェアを粉々にして、廃棄しているのですか?
AWS の処理手順には、ストレージデバイスが製品寿命に達した場合に、顧客データが権限のない人々に流出しないようにする廃棄プロセスが含まれています。AWS は DoD5220.22-M(国家産業セキュリティプログラム運営マニュアル)または NIST 800-88(媒体のサニタイズに関するガイドライン)に詳述された技術を用い、廃棄プロセスの一環としてデータ破壊を行います。
なお、NIST 800-88の文書の中では、光ディスクよを表面積5mmの小片に分解するといった記述もありますが、資料中の図に関してはAWS内で破壊されたデータの写真ではなく、あくまでイメージです。
Q7:データ消去についての説明がありましたが、これは記憶装置の廃棄時の対応と理解しました。利用者が利用を停止時には、どのような措置が取られるのでしょうか?
データの所有権と統制権は、お客様にありますので、利用停止前に、お客様が消去をすることが可能です。なお、Amazon EBS ボリュームは、ワイプ処理を行った後、未フォーマットのローブロックデバイスとしてお客様に提供されますので、他のお客様にデータが漏えいすることはありません。
Q8:Amazon Inspectorとはどのようなサービスですか?
Amazon Inspector は、AWS にデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるための、自動化されたセキュリティ評価サービスです。Amazon Inspector は、自動的にアプリケーションを評価し、脆弱性やベストプラクティスからの逸脱がないかどうかを確認します。評価が実行された後、重大性の順に結果を表示した詳細なリストが Amazon Inspector によって作成されます。
https://aws.amazon.com/jp/inspector/
Q9:SOC2についてはサービス単位で認証・認証外が分かれていると思いますが、SOC2として認証されていないサービスはどのように考えればよいでしょうか?
お客さまにて代替コントロールが有効かを評価いただきたいと思います。また、PCIDSSの監査レポートで対象となっていないかを確認し、PCIDSSのコントロールでお客様が要求している統制の確認ができるかを評価する方法もあると思います。個別のご要求については、別途、ご相談ください。
今後のAWS Black Belt Online Seminarのスケジュールに関しましては、こちら をご覧ください。
多くの方のご参加をお待ちしております。
コメント