3月10日の「JAWS DAYS 2018」に先立つ2月23日に開催されたSecurity JAWS 第8回勉強会では、Amazon Web Services(AWS)の桐山隼人氏が一足早く「AWSセキュリティエンジニアコミュニティ」の発足をアナウンスした。「一人で勉強するのは大変だけれど、皆でやればより効率的」(桐山氏)というわけで、専門家を招いてのラウンジや勉強会の他、AWSのCTFコンテンツ作成などを予定しているという。まずプレメンバーを募集し、3月10日に満を持して正式に発足となる予定だ。
金融業界水準のベストプラクティスを実践し、セキュリティのオートメーションを
この日行なわれた他のセッションの模様もレポートしよう。「AWS FinTech リファレンス・アーキテクチャーで大手金融機関ばりのセキュリティを実現しよう(仮)」では、2017年12月7日に発表された「AWS Fintechリファレンス・アーキテクチャー日本版」の狙いと使いどころを、AWSの塚田朗弘氏が紹介した。
金融業界では近年、フィンテック企業の勃興やAPI公開など、新しい金融サービス実現に向けた動きが活発化している。だがその動きの中で、利用者が被害を被るようなことがあってはならない。そこで金融庁やFISC(金融情報システムセンター)では、さまざまなセキュリティ基準や体制・プロセス整備を求めている。
AWS FinTech リファレンス・アーキテクチャーはこうした動きを背景に、FISCやPCI DSS、ISO27001といったセキュリティ関連基準の要求事項を網羅的に考慮し、AWSがまとめたセキュリティ要求事項群だ。FISCの要求に対応するためのチェックリストといった短絡的なものではなく、広く金融業界に求められるセキュリティ要求事項を満たした安全な環境作りに有効な「ベストプラクティス」であり、金融機関以外のさまざまな企業でも活用可能な内容になっている。
ポイントは、当たり前といえば当たり前だが、クラウドという基盤を前提に考えられていることだ。これまで金融機関も多くの企業も、オンプレミスの環境でさまざまなセキュリティ基準への準拠を図ってきた。「それをそのままクラウドで実現するにはどうしたらいいか、というのではなく、クラウド上の方が先進的でセキュアなことが実現できることを認めた上で、新しいあり方を考えようというコンセプトに基づくものだ」と塚田氏は説明した。
AWS FinTech リファレンス・アーキテクチャーは、大きく「何をやらなければならないか」「どう実現するか」といった事柄を大・中・小の項目でまとめた「リファレンス・ガイド」と、それら要求事項を実装するためのCloudFormationのテンプレートや構成図をセットにした「リファレンス・テンプレート」の2つで構成されている。これまでのAWSのセキュリティ同様、責任共有モデルを前提にしており、「まずはダウンロードしてみてほしい」と塚田氏は述べた。
続けて塚田氏は、いくつかのサンプルシーンを挙げて、AWS FinTech リファレンス・アーキテクチャーに沿ったセキュリティ実装のメリットを紹介した。システムモニタリングや管理者アカウント(AWSの場合は「IAMアカウント」に該当する)、クレデンシャルの管理などさまざまな活用シーンが考えられるが、もっとも大きな特徴は、セキュリティのオートメーションが実現できることだろう。
その好例が、不正アクセスやDDoS攻撃といった事態が起きたときのインシデントレスポンス体制の整備だ。Amazon GuardDutyとAWS Step Function、AWS Lambdaを組み合わせてワークフローを定義しておけば、「例えばEC2インスタンスにブルートフォースアタックがあったことをGuardDutyが検知すると、CloudWatch Eventsを発火させ、メール通知やフォレンジックに備えた切り離しといった対応を自動化できる」(塚田氏)。検知から対応まで、一連の処理を自動化することで、より効率的かつ安全なインシデントレスポンスが可能になる。
同様に、CloudTrailを組み合わせてIAMユーザーの挙動をモニタリングし、特定の操作があれば「何時何分に、どのユーザーが、どのAPIを叩いたか」という監査証跡の取得を自動化することもできる。リファレンス・アーキテクチャーではそのための手順が紹介されている。
もう一つ興味深いのは、「ソフトウェア品質の担保という、これまであまりフォーカスしてこなかった部分にも踏み込んでいること。『品質を担保すること』という抽象的な表現にとどまるのではなく、コード開発時のパイプラインやCI/CDパイプラインの中で、プリリクエストからビルドまでの処理から属人性を排除できる」と塚田氏は説明した。
なおFISCでは、安全対策基準の第9版に向けた改訂作業を進めているが、AWSでは、FinTech有識者検討会などの場を通じて積極的に情報交換や意見提出を行なっており、AWS FinTech リファレンス・アーキテクチャーはそうした成果を反映した内容になっているという。また、ユーザーからのフィードバックも受けながら積極的に実装を追加していく方針で、まずはダウンロードしてぜひ意見を出してほしいと呼び掛けた。