2023年度 第2回定例研究会

<AWSカンファレンスに見る新しいセキュリティ監査の動向>

2023年09月04日開催

講演概要

本年6月13日~14日に開催された国際的なイベントであるAWS re:Inforceにて取り上げられた、クラウドセキュリティの最新動向とAWSが注力しているポイントについて、
当協会クラウドセキュリティ推進協議会 技術WGのメンバであり、現地でも講演された松本 照吾氏に解説いただきます。
また当カンファレンスに参加した同技術WGのメンバである長崎県立大学大学院の林本氏から、カンファレンスで報告されたVRを活用した新たな監査の取組など、新たなクラウドセキュリティの潮流について紹介していただきます。

講師


アマゾン ウェブ サービス ジャパン合同会社
セキュリティアシュアランス本部 本部長

松本 照吾 氏


長崎県立大学 大学院

林本 圭太郎 氏

セミナーレポート

本年6月13日~14日に開催された国際的なイベントであるAWS re:Inforceにて取り上げられた、クラウドセキュリティの最新動向とAWSが注力しているポイントについて、当協会クラウドセキュリティ推進協議会技術WGのメンバであり、現地でも講演された松本照吾氏に解説いただきました。
また当カンファレンスに参加した同技術WGのメンバである長崎県立大学大学院の林本氏から、カンファレンスで報告されたVRを活用した新たな監査の取組など、新たなクラウドセキュリティの潮流について紹介していただきました。

まず、松本氏より、ブルーベリーマフィンを例にとって、理想的なセキュリティの形とは何かについての考察がありました。ブルーベリーマフィンは、ブルーベリーとマフィンが交わって美味しくなっているように、セキュリティは後付けで中身がない状態ではなく、文化・組織にセキュリティが浸透している状態があるべきセキュリティの姿であるとの考え方です。同様に、監査も後付けではなく組織に根付いた形で取り組むことが大切であるとのご指摘をいただきました。
AWS re:Inforceは、AWSが主催するAWS セキュリティとコンプライアンスのグローバルカンファレンスであり、ラーニングカンファレンスとして、基調講演やリーダーシップセッション、120 を超えるセッションやハンズオン、パートナー様展示ブースからなるSecurity Learning Hub 等から構成され、また、参加者同士のネットワーキングイベントも企画されています。2023 年は、米国カリフォルニア州アナハイムにおいて、最新情報の共有、クラウドセキュリティ、コンプライアンスについて学ぶ場を提供するとともに、コミュニティの更なる拡大を図ることを目的として開催され、5、000人以上が参加しました。
AWS re:Inforceでは、Security is our top priorityつまりセキュリティは最優先事項であるとの重要なメッセージを発出しました。その中で、内部不正はビジネスを揺るがすリスクであるとの認識から、AWSは2017年にNITRO System(ナイトロシステム)として、AWSの人やサービスが許可なく顧客データにアクセスできない、つまり、明示的に顧客がアクセス許可をしないとアクセスできない仕組みを作りました。
また、セキュリティ担当はより戦略的な仕事や価値を提供する位置にいる、つまり、セキュリティをやっているものがビジネスの価値を理解して業務を行っているのであれば、セキュリティの導入を早期に開始しビジネスの発展の仕組みを考えるようになることで、これからのビジネス成長には欠かせないというお話をいただきました。セキュリティは文化であり、セキュリティ担当者の役割は単にシステムのセキュリティを守るということだけではなく、ビジネス全体をみながらセキュリティを考えていく立場にありより戦略的な仕事に位置づけられています。さらに、監査人においてもビジネスの価値をわかって、ITが価値貢献できるための橋渡し人材として戦略的な仕事を行っていくことが必要であるとのご指摘をいただきました。
文化・組織にセキュリティを組み込んで行くことが必要との考え方から、AWSでは、セキュリティチームはサービスチームとは別に組織されていますが、サービス構築後にセキュリティチームが評価をするのではなく、サービスチームにセキュリティの自覚を持ってセキュリティを組み込んでいくために、セキュリティチームとサービスチームの橋渡し人材をおいてセキュリティ文化を醸成していく仕組みを作っているとのことでした。
最後にクラウドの責任共有モデルとは契約上でクラウド側と顧客の責任を明確にするということですが、本来は、顧客が自分達で設計・構築を行い自分の責任を達成できるようにクラウド側が手助けを行う、つまり、色んなサービスを上手く組み合わせて構築ができるように支援することであるとのお話をいただきました。

 次に林本氏から、AWS re:Inforce 2023ジャパンツアーに参加され、学ばれたことについてお話をいただきました。
 特に印象的であったブースとして、普段は見ることができないAWSのデータセンターをVRにより見学することができるAWS Audit Accelerationや、SSO(シングルサインオン)等を使って複数の環境にログインする際に、過剰な権限や設定不備を検知し通知するツールをあげておられます。
 また、参加されたセッションでは、企業のマネジメント層として安全なCloud Journeyを実現するための投資と意思決定のアプローチをゲーム形式で学ばれました。セッションに参加されて良かった点として、それぞれの視点から様々な意見を出して、適切な選択肢について議論ができたこと、情報セキュリティが様々な要素から成り立っていることを理解できた点であるとのことでした。
 ジャパンツアーの特別講演では、「セキュリティを当たり前に」というテーマで、アプリケーションでもクラウドでもセキュリティはライフサイクルの中に組み込まれていなければならないことを学ばれました。
 
当日の参加人数は208名です。
Web会議形式ならではのチャットによる質疑応答が講演後も活発に行われ、講師方々よりすべての質問について丁寧にフォローいただきました。質疑応答の様子からも本テーマに関する受講者の皆様の関心の高さがうかがえるセミナーとなりました。

講演資料

講演資料は下記からダウンロードできます。(JASA会員/CAIS・QISEIA資格者のみ。ログインが必要です)

ダウンロードページへ