JAWS名古屋でお話したCompliance as Codeのお話です。

1. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon Web Services Japan
Security Assurance Content
compliance as code って何？

2. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
松本照吾(Shogo Matsumoto)
アマゾン ウェブ サービス ジャパン 株式会社 セキュリティアシュ
アランス本部 本部長
セキュリティソリューションのプロダクトSEを経て、セキュリティ専業のコンサルティング会社
に転職。情報セキュリティ監査や事業継続計画（BCP）、PCI DSSの審査員（QSA）等を担当。
2015年にセキュリティコンサルタントとしてAWSJに入社、2019年より現職

3. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Your first compliance as code
https://www.slideshare.net/AmazonWebServices/your-first-complianceascode-
grc305r-aws-reinforce-2019

4. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
本日の目的
Compliance as Code is 何？

5. • 私の“はじめの一歩”
• セキュリティマネジメントと監査の世界へ
• クラウドセキュリティの世界へ

6. 質問:
CIA (機密性、完全性、可用性)
セキュリティにとって最も重要なものは?

8. 私のはじめの一歩：
SSOパッケージのシステムエンジニア
プレセールス、開発、お客様サポート（トラブルシュー
ト）、、、とりあえず全部がんばろう

9. 毎日、何をやってたか:
検証環境づくりの毎日
– 時間のかかる設定作業
– ミスによるエラーの多発
– 複雑な構成要素

10. 単一障害点の発見と削減

11. エンジニア時代からの学びと教訓
• セキュリティは“機密性”だけで
はない
• 人のエラーは怖い
• 単一障害点を避けるための設
計と拡張性

12. Agenda:クラウドセキュリティ・コンプライアンス理解のために
• 私の“はじめの一歩”
• セキュリティマネジメントと監査の世界へ
• クラウドセキュリティの世界へ

13. Compliance ≠ Security
リスクや脅威の把握
具体的な管理策の実装
利害関係者
説明責任

14. 伝統的な“監査”やセキュリティの限界
• サンプリング
• 業務をとめない
• 乏しい人的資源

15. 現在の情報セキュリティ監査の課題
• 拡張していくインフラ環境
• 複雑な構成要素
• 頻繁な環境の変更

16. セキュリティマネジメント/監査からの学びと教訓
• 利害関係者とガバナンスに対
する視点
• “限界”との闘い
• コミュニケーションビジネスとし
ての監査人

17. Agenda:クラウドセキュリティ・コンプライアンス理解のために
• 私の“はじめの一歩”
• セキュリティマネジメントと監査の世界へ
• クラウドセキュリティの世界へ

18. AWS infrastructure: 透明性
• サンプリング
• 業務を止めない
• 乏しい人的資源
• 拡張性
• 複雑性
• 頻繁な変更
• プログラマブル（共通のAPI）
• リアルタイムのコンプライアンス評価
• 自動化
• 拡張可能
• 権限の分離
• イベント駆動型
従来のアプローチ AWSがもたらしたもの

19. “数年後にいらなくなる
セキュリティサービス、
それはExcelのシートだ”
Hart Rossman
Director Global Security &
Infrastructure Practice at Amazon
Web Services

20. 実現したいもの

21. 設計によるセキュリティ（Security by design）
• 機能を修正する権限のないユーザー
によって上書きされることを防ぐた
めの強制的機能を作成する。
• 確実な制御の実行。
• 継続的でリアルタイムな監査の実現。
• お客様のガバナンスポリシーを技術
的にスクリプト化する。

22. セキュリティの本来業務に集中させるためのサービス

23. DevOpsにおける四本柱
コラボレーション
アフィニティ(親近感、
一体感)
ツール
スケーリング

24. DevOpsからDevSecOpsへ （ちがうのかな？）
Cloud Security Allianceでは、セキュ
リティ監査を含めたすべての側面での
自動化を踏まえてDevSecOpsを提唱し
ている。
監査の側面におけるコード化とその運
用として“Compliance as Code”って
言葉がつかえる。

25. ここで現実的な課題

26. はたして、“監査”や“コンプライアンス”の人たち
は、“AWS”を触れるのだろうか。。。

27. “We want compliance to be an accelerator.
Not a brake to our journey to the cloud”
Gilles Baillet
Head, Cloud and DevOps Architecture
Standard Chartered Bank

28. 文化をつくるということ
https://www.youtube.com/watch?v=VR_420
9ewIo
• “セキュリティ”がイノベーションを阻害
しないという目的意識
• 一から作らない。CIS
BENCHMARKなどの活用
• ポリシーをテスト可能なケースに翻訳
• アジャイルに要件をインプリーメントし
ていく。
• ポリシーがわかる人、と、コードをかけ
る人の協働を実現する。

29. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Your first compliance as code: こんなことをやってた。
https://www.slideshare.net/AmazonWebServices/your-first-complianceascode-
grc305r-aws-reinforce-2019
Compliance as Codeの価値と意味
ツールの仕組みを理解する。
CLIでConfig rules書いてみる
車輪の再発明を避ける
OSS等の紹介

30. 大事なこと：“クラウド”をさわる、理解する場を
監査やコンプライアンスの人にも。

31. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
もっと詳しく学びたい方へ
AUG. 24 – 25, 2021 | HOUSTON, TX
https://reinforce.awsevents.com/