★☆★JNSAメールマガジン 第173号 2019.10.18 ☆★☆
こんにちは
JNSAメールマガジン 第173号 をお届けします。
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンはアマゾン ウェブ サービス ジャパン株式会社の松本照吾氏にご寄稿いただきました。
AWSとクラウドセキュリティ
アマゾン ウェブ サービス ジャパン株式会社
セキュリティアシュアランス本部 本部長 松本照吾
re:Inforce-AWSのセキュリティイベントと”Builder"-
2019年7月、アメリカのボストンでAmazon Web Services(AWS)のはじめてのセキュリティオンリーイベントであるre:Inforceが開催されました。このイベントは、”Builderのためのイベント”として、AWSのセキュリティをともに学ぶイベントとして位置づけられました。
なお、”Builder”という言葉に馴染みのない方も多いかと思います。
従来であればエンジニア、ユーザー部門であったり、開発、運用といった形で組織のITにかかわる役割を区分していました。一方で、クラウドが浸透する中では、従来のユーザー部門がクラウドの価値を理解し、自分たちのアイデアをより早く、容易にサービスとして実現(Build)していくという動きが多くみられます。その中では十分なセキュリティの知識や経験が不足している、またクラウドを活かした設計の知識が不足しているためにセキュリティ面からみてリスクの高いサービスやクラウドセキュリティの価値を十分に活かすことができないサービスがつくられてしまうケースもありました。
こうしたことから、また、セキュリティは決して”エンジニア”だけのものではなくすべてのサービスに係る関係者がとりくむべきものであることも踏まえ、”Builder”に対してセキュリティのメッセージを発信した機会となりました。
クラウドならではセキュリティの実践と課題
AWSをはじめとしたクラウドがセキュリティを含むITの開発・運用にもたらした恩恵は様々あります。
そのうちの一つは、サーバレスと呼ばれるイベント単位でプログラムコードを実行できるサービスを使うことによるインフラ管理からの解放と発見的な統制の実現がより容易になったことが挙げられます。
例えば、ログを取得して、その中から危険な兆候を発見した時にアラートを発報する、さらには対抗策を自動的に発動する設計とすることは、容易かつ低コストで実現できるようになりました。ただし、自動化を実現するためには、運用に対する深い理解が必要ですし、また、誤検知などを見越したクラウドネイティブな設計を実現する必要もあります。
”Well-Architected”にみるAWSのセキュリティ
AWSでは、セキュリティ、運用やコスト管理などの五本の柱を中心にして、クラウド活用上のベストプラクティスを”Well-Architected"フレームワークという形でまとめています。
本フレームワーク全体をつらぬく考え方は”原則中心”という考え方で、各フレームワークは抽象度の高い”質問”(各柱ごとに10問程度)で構成されています。
例えばセキュリティの柱では”インシデントにどのように備えていますか””データをどのように分類していますか”といった12の質問で構成されています。従来、セキュリティ実装をチェックすることを考えた場合、場合によっては数百問の細かい質問をチェックシートで評価していくケース(”コントロール中心”のアプローチ)が一般的であると思いますので、そういったものを期待されて本フレームワークを参照すると、少し面くらってしまうかもしれません。
しかし、新しい技術を取り入れ、実践していく中では、その目的に即した説明責任がともないます。また、技術の変化がはげしい分野においては、大量の管理策をならべたとしても、対策の形骸化や陳腐化が頻発し、チェックシートの評価項目が新しいセキュリティ技術や設計の採用を妨げることにもつながります。
こうした中で”Builder”が適切な説明責任を果たしていくことができるよう、イベントやセミナーなどを通じて、お客様やパートナー様が成長する機会が必要であると考えられます。
”責任共有”がセキュリティにもたらすもの
AWSでは、お客様(パートナー様)とAWSが責任を分担する”責任共有モデル”によって、実現すべきセキュリティを具現化する考え方に立っています。
これは単に責任範囲を”分ける”ことを意味しているわけではありません。
例えば、インフラの管理(可用性管理やOSへのアップデート適用)等をAWSに任せ、組織のセキュリティリソースを重要なデータへのアクセスコントロールや発見的な統制の組み込みなど、より重要かつ高度なセキュリティ管理に集中させることが出来れば、お客様はより高いレベルのセキュリティを実装できます。
インフラ管理に対する説明責任を”自分たちのもの”として重きを置きたいのであれば、比較的オンプレミスに近い形での設計および運用を実現することもできます。お客様が”選択”できること、また、それを助けるための様々な手段(教育機会、フレームワークや実際のお客様の事例など)を継続的に提供することは、お客さまが自立したセキュリティをAWS上に設計・運用するための大切な要素になると考えます。
#連載リレーコラム、ここまで
<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジン173号の感想をお寄せください。
http://bit.do/fcYRu
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★「CTF for GIRLS」12月7日開催の参加登録を開始しました!
https://www.seccon.jp/2019/ctf4girls_1/4girlsctf2019.html
「SECCON Beginners 2019 福岡」も受付中です。
https://www.seccon.jp/2019/seccon_beginners/fukuoka.html
「オンライン予選」今週末開催!詳細・登録方法はこちらをご覧下さい!
https://www.seccon.jp/2019/seccon2019/seccon_ctf_2019_quals.html
★JTAGでは、報告書「キャリアパスグランドデザインの考察_ver1.0」を公開しました。
↓ISEPA成果物のご紹介をご覧下さい。
https://www.jnsa.org/isepa/outputs/
★事業コンプライアンス部会で策定した「サイバーセキュリティ業務における倫理行動宣言」に賛同いただいた企業を公開しております。
https://www.jnsa.org/cybersecurity_ethics/
【事務局からのお知らせ】
★「JNSA全国横断セキュリティセミナー2019」参加受付中です。
CISSPポイント、ITC実践力ポイント付与対象セミナーとなります。
[札幌会場]
日程:2019年10月23日(水)13時30分-17時00分
会場:かでる2.7 710会議室(札幌市中央区北2条西7丁目)
[沖縄会場]
日程:2019年11月7日(木)13時30分-17時00分
会場:沖縄産業支援センター 大ホール(那覇市字小禄1831番地1)
お申込みはこちら↓
http://www.jnsa.org/seminar/2019/cross2019/
★JNSAは、(ISC)2やSANSの代理店として、会員企業の方へトレーニングの割引販売を行っております。
受講の際にはぜひ事務局までご連絡下さい。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
↓ 以下、 JNSA会員企業からのご案内です
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
==============================
【無料セミナー】 10/21新宿 開催
DX時代のIoTセキュリティ最新トレンド エッジからクラウドまで
==============================
本セミナーでは 従来の情報セキュリティ対策を踏まえ、
IoTを利用する上で想定すべき脅威とその対策を俯瞰し、
具体的な解決策を6社からご紹介します。
・アマゾン ウェブ サービス ジャパン株式会社
・株式会社ユビキタスAIコーポレーション
・ルネサス エレクトロニクス株式会社
・STマイクロエレクトロニクス株式会社
・IARシステムズ株式会社 ・トレノケート株式会社
▼無料セミナーの詳細・お申し込みはこちらから▼
https://globalknowledge.smktg.jp/public/seminar/view/384
トレノケート株式会社
============================================================
NISC,JPCERT/CC,豪華講師陣とともに考える「DX時代のセキュリティ」
【Canon Security Days / ESET Security Days 2019 開催】
セキュリティの最前線を走り続ける豪華講師陣をお迎えし、
産官学それぞれの視点から「デジタルトランスフォーメーション
(DX)時代に必須となるセキュリティ対策」を講演やパネル
ディスカッションを実施いたします。
オンラインセミナーでは、サイバー攻撃対策、働き方改革や
クラウド利用でのセキュリティなど当社セキュリティ技術者や
セキュリティパートナーにより具体的な対策事例をお伝えします。
▼セミナーのお申し込みはこちら▼
https://cweb.canon.jp/it-sec/lp/csdesd2019/?JNSA1017
[キヤノンマーケティングジャパン株式会社]
============================================================
━━━━━━━━━━━━━━━━━━━━━……‥‥・・●▲■
IT/OT システムのサイバーリスクにどう向き合うか?
〜サプライチェーンのセキュリティリスクと
サイバーセキュリティ保険の活用に向けて〜
https://www.gsx.co.jp/seminar/seminar_19110815.html
●▲■・‥‥……━━━━━━━━━━━━━━━━━━━━━━
ITのみならずOT(オペレーションテクノロジー)のサイバーリスク
が増大する中で、攻撃された企業は単なる被害者でなく、社会的責
任が問われる時代となってきました。本セミナーでは、ITとOT環境
に跨るセキュリティの解決策と、企業がサプライチェーンを考慮し
サイバーリスクに対応するための、現実的な手段について解説しま
す。
・‥‥…━━━━━━━━━━━━━━━━━━━━━━…‥‥・
是非お気軽にご参加のほど、どうぞよろしくお願いいたします。
グローバルセキュリティエキスパート株式会社
============================================================
==============================
NTTデータ先端技術株式会社は、国内初、
「EclecticIQ Platform」を活用した「TIP導入支援サービス」
の提供を開始しました。
==============================
脅威インテリジェンスプラットフォーム(TIP)製品を活用し、
サイバー脅威情報の効率的な収集・効果的な活用を実現。
今後「EclecticIQ Platform」の販売、「TIP導入支援サービス」の
提供により、お客さまの事業継続をより一層強力に支援します。
▼EclecticIQ Platform紹介Webページはこちら▼
http://www.intellilink.co.jp/security/products/solution/eclecticiq.html
[NTTデータ先端技術株式会社]
============================================================
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【名古屋】CTIセキュリティセミナー2019
―内部犯行から組織の重要情報を守るには―
2019年11月8日(金)14:00〜17:00(開場 13:30)
株式会社中電シーティーアイ
愛知県名古屋市東区東桜1-3-10 東桜第一ビル5階
参加費:無料(定員:先着90名様)
▼詳細/お申し込みはこちらからお願いします。
https://info.it-builder.jp/app/CTISS/welcome2019
━講演内容━━━━━━━━━━━━━━━━━━━━━━━━━
・「従業員を内部不正から遠ざけるために」 小屋 晋吾 氏
・「内部犯行やサイバー攻撃から
企業の秘密情報を守るための初手」 佐藤 将史 氏
・「内部犯行を検出するためのログ活用」 永野 憲次郎
============================================================
インシデント対応(IR)支援&デジタルフォレンジック調査サービス
[(株)神戸デジタル・ラボ セキュリティ事業部]
不正アクセス、ウェブサイトの改ざん、情報漏えい、ウィルス感染、
セキュリティの被害にあった時の緊急対応・調査サービスです。
セキュリティ事故に対して強力にサポートします。
【よくご依頼があるケース】
社内セキュリティ事故の対応支援、WEBサイト改ざん調査、
ランサムウェア対応、個人情報漏えいの調査
【サービス利用の流れ】
ヒアリング:ヒアリングによって方針および必要な支援を決定
支援・調査作業:IR支援は、状況の把握、被害の封込、根絶を
支援。フォレンジックは、侵害対象の証跡を保全・解析を実施
報告会:IR支援の作業報告、フォレンジック調査結果を報告
【連絡先】https://www.proactivedefense.jp/dfir-team/
【緊急時】Tell: 078-335-5695 (平日10:00-18:00)
============================================================
【DevSecOpsセミナー】
高速開発とセキュリティ両立を実現するには?〜DevSecOpsを
強力に推進するContrast Security、デモを交えてご紹介〜
https://www.ubsecure.jp/seminar/topics-2019/t-20191007
・開催日時:10月30日(水)、11月21日(木)、12月10日(火)
15時〜17時
・開催場所:株式会社ユービーセキュア
東京都港区芝5-29-14 田町日工ビル4階
(JR田町駅徒歩5分、都営三田線・三田駅徒歩5分)
・お申込みはこちらから
https://www.ubsecure.jp/seminar/topics-2019/t-20191007
株式会社ユービーセキュア
============================================================
*************************************
JNSAメールマガジン 第173号
発信日:2019年10月18日
発 行:JNSA事務局 
*************************************
