AWS Solution Day 2016 セキュリティ &コンプライアンス 金融機関のグローバルな規制対応情報 MAS TRM/FISCガイドライン 2016年8月31日 トレンドマイクロ株式会社 事業戦略推進部 今泉 智 セッションの内容 ◆トレンドマイクロ • • • 弊社の取り組みについて シンガポール現地の動向について シンガポールのガイドラインとセキュリティ対策について トレンドマイクロのグローバル体制 ■ 本社:日本 ■TrendLabs(トレンドラボ) リージョナルトレンドラボ: フィリピン(本部)、米国、日本、台湾、ドイツ、 アイルランド、中国、フランス、英国、ブラジル、 シンガポール ■ 開発拠点: 日本、米国、カナダ、ドイツ、アイルランド、フランス、 英国、台湾、中国、インド、オーストラリア、ブラジル ■ 海外子会社: 米国、カナダ、アイルランド、フランス、 ドイツ、イタリア、英国、スイス、 オーストラリア、中国、中国(香港)、インド、韓国、 マレーシア、シンガポール、台湾、タイ、 ブラジル、メキシコ、パナマ、オランダ、コロンビア □ 海外主要エリア: ニュージーランド、ベルギー、デンマーク、 UAE(ドバイ)、ノルウェー、ポーランド、スペイン、 スウェーデン、トルコ、ロシア、インドネシア、 ベトナム、フィリピン、エジプト、サウジアラビア、 南アフリカ、フィンランド 3 Copyright © 2016 Trend Micro Incorporated. All rights reserved. シンガポール現地にて ■クラウドセキュリティイベントへの日系金融機関様のご登壇(2016年8月24日開催) シンガポール現地では、 ・MAS Sandbox(ある程度セキュアな環境下での新技術の検証) http://www.mas.gov.sg/News-and-Publications/Media-Releases/2016/MAS-Proposes-a-Regulatory-Sandbox-for-FinTech-Experiments.aspx ・現地大手金融機関様のAWS利用公表 https://www.dbs.com/newsroom/DBS_to_leverage_Amazon_Web_Services_Cloud など、クラウドのトピックが非常に盛り上がっている状況。 ※MAS : Monetary Authority of Singapore 日系金融機関様によるFinTechの講演 4 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 金融規制・ガイドライン動向 • ガイドライン等の整備は概ね同時期 • シンガポールではITAPなど国をまたがった 先進技術研究の取り組みも進みつつある 2015~ 2013 ・日本 FISC 安対基準8版追補 ・シンガポール ※弊社調査 MAS Notice644 5 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 2014 ・日本 ・日本 金融庁指針改定 FISC 有識者会議報告書 (クラウド、サイ バー) ・シンガポール MAS Technology Risk Management (TRM) Guideline改訂 FISC安対基準8版追補改訂 FISC有識者会議報告書(外部委託) ・シンガポール Outsourcing Guideline改訂 ABS Cloud-Computing Implementation Guideリリース 作成したホワイトペーパーについて MAS TRMガイドライン対応AWS利用セキュリティリファレンス by NRI Secure, NRI, Trend Micro 【MAS TRM ガイドラインでのAWS 利用における責任分界】 「クラウド事業者の対応状況」ならびに「SI 事業者・利用者で必要な対応要否」からMAS TRM ガイドラインのAWS 利用における責任分界を整理 「共有(Shared)」:SI 事業者・利用者およびAWS の両方で対応をすべき項目 「利用者固有(Customer Specific)」:オンプレ同様に利用者にて対応が必要な項目 ◆ダウンロードURL NRIセキュアテクノロジーズ http://www.nri-secure.co.jp/service/consulting/guideline/aws/ トレンドマイクロ http://www.trendmicro.co.jp/jp/business/solutions/finance/mastrm/index.htm ABS クラウドガイドライン Association of Banks in Singaporeが2016年8月2日にリリース サイバーセキュリティの項目でクラウドについてガイドラインをリリース • • ■ABSガイドライン内のKey Control項目の抜粋 ・Encryption(暗号化) ・Change Management and Privileged User Access Management (変更および特権アクセス管理) ・User Access Management and Segregation(アクセス管理と職務分掌) ・Security Events Monitoring and Incident Management (セキュリティイベントモニタリングとインシデント管理) ・Penetration Testing & Vulnerability Management (ペネトレーションテストと脆弱性管理) FISCおよびTRMGでも同様のコントロールについて記載 ※弊社調査 ※ABS Cloud Computing Implementation Guide1.1 https://abs.org.sg/docs/library/abs-cloud-computing-implementation-guide.pdf 7 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 責任共有モデルとセキュリティ対策 攻撃例とユーザーの責任範囲 ■サイバー攻撃に対する当局等の考え方 MAS:侵入を前提とした対策とレジリエンスが必要 ABS:サイバー攻撃の兆候を把握 金融庁:侵入を前提とする対策 ※弊社調査 8 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 防御だけでなく検知対策を強化 ・不正侵入、改ざんの検知 ・大量の認証試行の検知 など MAS TRMガイドラインへの対応例 ■MAS TRM Guidelines Compliance Solution http://apac.trendmicro.com/cloud-content/apac/pdfs/business/white-papers/wp_trend-micro-mas-trm-guidelinecompliance-solutions-server_security_2013july.pdf 例)7章 ITSMの章 各種システムのモニタリングについて記載 PCI-DSSやISO27001のControlともマッピング 9 Copyright © 2016 Trend Micro Incorporated. All rights reserved. Hybrid環境化のサイバーセキュリティ対策例 AWS オートスケールなどクラウドの特性を生 かした構成を実現可能 仮想化、クラウド環境保護製品 Internet Deep Security(DS) オンプレ環境A Direct Connect オンプレ環境B DDI 正規通信に紛れたサイバー攻撃の兆 候を検知するサイバー対策製品 内部の脅威を検知/可視化 Deep Discovery Inspector(DDI) DDI 社内ネットワーク 10 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 内部の感染PC サイバー攻撃のプロセス例とDSの適用 初期潜入 事前準備 ポートスキャン サーバ制御 脆弱性の悪用 情報探索 バックドア設置 環境確認 WebShell等 任意のコマンド実行 脆弱性の探索等 リモート侵入 ツール等による無差別の攻撃 DBへのログオン パッチ適用 ウイルス対策 予防 IPS 入口 内部 対策 出口 対策 11 IDS Deep Securityの適用箇所 情報集約 DB情報の取得 情報送出・改ざん DB情報の漏えい DB情報の改ざん DB パスワード強化 DB情報の暗号化 IPSによる遮断 IDSによる検知 変更監視 発見 コマンド実行 検知 SQL 意図しない SQL文の検知 DBへの 大量認証試行検知 予防 発見 Copyright © 2016 Trend Micro Incorporated. All rights reserved. WRSによる危険 WRS サイトとの通信遮断 許可された 通信以外の検知 AWS環境の利点をより生かすために ■クイックスタートの活用 ・AWS PCI-DSS • トレンドマイクロの対応状況 Deep Securityクイックスタート(日本語サイト) https://aws.amazon.com/jp/quickstart/ AWS Enterprise Accelerator:NIST High Impact Controls http://aws.trendmicro.com/new-quick-start-standardizedarchitecture-nist-high-impact-controls-aws/ AWSの3 lines defenseの構成に、Third Partyソリューションを 組み合わせることにより、Global規制への対応も可能 12 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
© Copyright 2024 Paperzz