aws solution day 2016 セキュリティ &コンプライアンス...aws solution day 2016...
TRANSCRIPT
-
AWS Solution Day 2016 セキュリティ&コンプライアンス
金融機関のグローバルな規制対応情報
MAS TRM/FISCガイドライン
2016年8月31日 トレンドマイクロ株式会社 事業戦略推進部 今泉 智
-
◆トレンドマイクロ
• 弊社の取り組みについて
• シンガポール現地の動向について
• シンガポールのガイドラインとセキュリティ対策について
セッションの内容
-
3 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
トレンドマイクロのグローバル体制 ■ 本社:日本
■TrendLabs(トレンドラボ) リージョナルトレンドラボ: フィリピン(本部)、米国、日本、台湾、ドイツ、 アイルランド、中国、フランス、英国、ブラジル、 シンガポール
■ 開発拠点: 日本、米国、カナダ、ドイツ、アイルランド、フランス、英国、台湾、中国、インド、オーストラリア、ブラジル
■ 海外子会社: 米国、カナダ、アイルランド、フランス、 ドイツ、イタリア、英国、スイス、 オーストラリア、中国、中国(香港)、インド、韓国、 マレーシア、シンガポール、台湾、タイ、 ブラジル、メキシコ、パナマ、オランダ、コロンビア
□ 海外主要エリア: ニュージーランド、ベルギー、デンマーク、 UAE(ドバイ)、ノルウェー、ポーランド、スペイン、 スウェーデン、トルコ、ロシア、インドネシア、 ベトナム、フィリピン、エジプト、サウジアラビア、 南アフリカ、フィンランド
-
4 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
シンガポール現地にて ■クラウドセキュリティイベントへの日系金融機関様のご登壇(2016年8月24日開催)
シンガポール現地では、
・MAS Sandbox(ある程度セキュアな環境下での新技術の検証) http://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspx
・現地大手金融機関様のAWS利用公表 https://www.dbs.com/newsroom/DBS_to_leverage_Amazon_Web_Services_Cloud
など、クラウドのトピックが非常に盛り上がっている状況。
※MAS : Monetary Authority of Singapore
日系金融機関様によるFinTechの講演
http://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttp://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspxhttps://www.dbs.com/newsroom/DBS_to_leverage_Amazon_Web_Services_Cloud
-
5 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
金融規制・ガイドライン動向
• ガイドライン等の整備は概ね同時期
• シンガポールではITAPなど国をまたがった先進技術研究の取り組みも進みつつある
2013
・日本
FISC 安対基準8版追補
・シンガポール
MAS Notice644
2014
・日本
FISC 有識者会議報告書
(クラウド、サイ
バー)
・シンガポール
MAS Technology Risk
Management (TRM)
Guideline改訂
2015~
・日本
金融庁指針改定
FISC安対基準8版追補改訂
FISC有識者会議報告書(外部委託)
・シンガポール
Outsourcing Guideline改訂
ABS Cloud-Computing
Implementation Guideリリース ※弊社調査
-
【MAS TRM ガイドラインでのAWS 利用における責任分界】 「クラウド事業者の対応状況」ならびに「SI 事業者・利用者で必要な対応要否」からMAS TRM ガイドラインのAWS 利用における責任分界を整理
「共有(Shared)」:SI 事業者・利用者およびAWS の両方で対応をすべき項目 「利用者固有(Customer Specific)」:オンプレ同様に利用者にて対応が必要な項目
作成したホワイトペーパーについて
◆ダウンロードURL NRIセキュアテクノロジーズ http://www.nri-secure.co.jp/service/consulting/guideline/aws/ トレンドマイクロ http://www.trendmicro.co.jp/jp/business/solutions/finance/mastrm/index.htm
MAS TRMガイドライン対応AWS利用セキュリティリファレンス by NRI Secure, NRI, Trend Micro
http://www.nri-secure.co.jp/service/consulting/guideline/aws/http://www.nri-secure.co.jp/service/consulting/guideline/aws/http://www.nri-secure.co.jp/service/consulting/guideline/aws/http://www.trendmicro.co.jp/jp/business/solutions/finance/mastrm/index.html
-
7 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
ABS クラウドガイドライン
• Association of Banks in Singaporeが2016年8月2日にリリース
• サイバーセキュリティの項目でクラウドについてガイドラインをリリース
※弊社調査
※ABS Cloud Computing Implementation Guide1.1 https://abs.org.sg/docs/library/abs-cloud-computing-implementation-guide.pdf
■ABSガイドライン内のKey Control項目の抜粋 ・Encryption(暗号化) ・Change Management and Privileged User Access Management (変更および特権アクセス管理) ・User Access Management and Segregation(アクセス管理と職務分掌) ・Security Events Monitoring and Incident Management (セキュリティイベントモニタリングとインシデント管理) ・Penetration Testing & Vulnerability Management (ペネトレーションテストと脆弱性管理)
FISCおよびTRMGでも同様のコントロールについて記載
https://abs.org.sg/docs/library/abs-cloud-computing-implementation-guide.pdfhttps://abs.org.sg/docs/library/abs-cloud-computing-implementation-guide.pdfhttps://abs.org.sg/docs/library/abs-cloud-computing-implementation-guide.pdfhttps://abs.org.sg/docs/library/abs-cloud-computing-implementation-guide.pdfhttps://abs.org.sg/docs/library/abs-cloud-computing-implementation-guide.pdfhttps://abs.org.sg/docs/library/abs-cloud-computing-implementation-guide.pdfhttps://abs.org.sg/docs/library/abs-cloud-computing-implementation-guide.pdfhttps://abs.org.sg/docs/library/abs-cloud-computing-implementation-guide.pdfhttps://abs.org.sg/docs/library/abs-cloud-computing-implementation-guide.pdf
-
8 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
責任共有モデルとセキュリティ対策 攻撃例とユーザーの責任範囲
■サイバー攻撃に対する当局等の考え方
MAS:侵入を前提とした対策とレジリエンスが必要 ABS:サイバー攻撃の兆候を把握 金融庁:侵入を前提とする対策 ※弊社調査
・不正侵入、改ざんの検知
・大量の認証試行の検知 など
防御だけでなく検知対策を強化
-
9 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
MAS TRMガイドラインへの対応例 ■MAS TRM Guidelines Compliance Solution
http://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-
compliance-solutions-server_security_2013july.pdf
例)7章 ITSMの章
各種システムのモニタリングについて記載 PCI-DSSやISO27001のControlともマッピング
http://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdfhttp://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guideline-compliance-solutions-server_security_2013july.pdf
-
10 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
Hybrid環境化のサイバーセキュリティ対策例 AWS
Internet
オンプレ環境B
オンプレ環境A
社内ネットワーク
正規通信に紛れたサイバー攻撃の兆候を検知するサイバー対策製品
内部の感染PC
内部の脅威を検知/可視化
Deep Discovery
Inspector(DDI)
DDI
DDI
仮想化、クラウド環境保護製品
Deep Security(DS)
Direct Connect
オートスケールなどクラウドの特性を生かした構成を実現可能
-
11 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
サイバー攻撃のプロセス例とDSの適用
予防
発見
発見
予防
入口
内部
対策
出口
対策
DB
パスワード強化
コマンド実行
検知
ウイルス対策
IDSによる検知 IDS
IPSによる遮断 IPS
DBへの
大量認証試行検知
意図しない
SQL文の検知 SQL
パッチ適用
許可された
通信以外の検知
WRSによる危険
サイトとの通信遮断 WRS
事前準備 初期潜入 サーバ制御 情報探索 情報集約 情報送出・改ざん
バックドア設置 WebShell等
脆弱性の悪用
脆弱性の探索等 ツール等による無差別の攻撃
DB情報の取得 DB情報の漏えい 環境確認 任意のコマンド実行
リモート侵入 DBへのログオン
ポートスキャン
DB情報の改ざん
DB情報の暗号化
変更監視
Deep Securityの適用箇所
-
12 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
AWS環境の利点をより生かすために
■クイックスタートの活用 ・AWS PCI-DSS • トレンドマイクロの対応状況 Deep Securityクイックスタート(日本語サイト) https://aws.amazon.com/jp/quickstart/
AWS Enterprise Accelerator:NIST High Impact Controls http://aws.trendmicro.com/new-quick-start-standardized-
architecture-nist-high-impact-controls-aws/
AWSの3 lines defenseの構成に、Third Partyソリューションを 組み合わせることにより、Global規制への対応も可能
https://aws.amazon.com/jp/quickstart/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/http://aws.trendmicro.com/new-quick-start-standardized-architecture-nist-high-impact-controls-aws/