AWS re:Inforce現地参加で体感した金融×クラウドセキュリティの新しい当たり前
三菱UFJフィナンシャル・グループ(MUFG)の戦略子会社であるJapan Digital Design株式会社(以下JDD)でソリューションアーキテクトをしている 木美 (きみ)です。
2023年6月にカリフォルニア州・アナハイムで開催されたAWS re:Inforce 2023 (*1) に現地参加し、後日、国内の振り返りセミナーで登壇もさせていただきました。本記事では、参加・登壇から一息ついたところで改めてre:Inforce 2023で体感した金融×クラウドセキュリティの新しい当たり前をまとめてみました。
(*1)AWS主催のクラウドセキュリティに関するグローバルカンファレンス ( https://reinforce.awsevents.com/ )
【登壇実績のお知らせ】 6/29(木)「AWS re:Inforce 2023 re:Cap Seminar 」にて、弊社 Senior Solution Architect・木美が、Lightning Talk 大会に登壇いたしました。 イベントに現地参加し体感した、クラウドセキュリティの「当たり前」を金融目線でお話しました。 #awsreinforce #JDD
Posted by Japan Digital Design, Inc. on Tuesday, July 4, 2023
金融×クラウドセキュリティの新しい当たり前
re:Inforceに参加して体感したのは、もはや「どうやってクラウドでセキュリティを守るか」だけに留まっているセッションは少ないということです。
「いかにスケーラブルに守るか」「いかに開発者のスピードを速めるか」そのために「いかに開発プロセスの早い段階でセキュリティ対策を組み込むか」に焦点が移っていると感じました。
米国軍人向けの銀行・保険業を営むUSAAのセッション(Establishing a data perimeter on AWS, featuring USAA (IAM301))で語られていた「私たちは "セルフサービス" を理念として強く信じている」という言葉が、金融業界でクラウドを利用している私には強く印象に残りました。
NIST(アメリカ国立標準技術研究所)の「クラウドコンピューティングの定義」においても「セルフサービス」はクラウドの基本的な特徴とされています。クラウドをクラウドとして使うのであれば、統制・セキュリティを理由に、開発者の「セルフサービス」を損うのではなく、統制・セキュリティを開発者の「セルフサービス」に組み込んでいくべきではないかと思いました。
セルフサービスと職務分離
金融業界のような規制業界では「職務分離」として、1人の担当者では全ての操作を完結させられないようにし、ミスや不正を防止することが求められます。「セルフサービス」と「職務分離」は一見すると、両立できないようにも思えます。
しかし、クラウドであれば「セルフサービス」と「職務分離で防止したいこと」は両立できると私は考えます。ポイントは2つです。
コードによりインフラを定義し、ソフトウェアコードの開発手法でインフラを構築・管理すること(Infrastructure as Code(IaC))
インフラコードは自動化されたパイプライン経由でデプロイし、パイプライン内の自動化されたプロセスとしてインフラ構成を検証・承認すること
USAAのセッションでは、エンドポイントポリシーに焦点を当てて解説されていましたが、インフラ全体をこの2つのポイントに従い管理することで「セルフサービス」と「職務分離」は両立できます。
ポイントの1点目、IaC化することで、開発者は「コードを書く」という形でセルフサービスでインフラを構築できます。
また、インフラの構成をコードとしてGitで管理できるようになります。Gitで管理できると次のことが実現されます。
変更差分が機械的に明示される
変更差分を本番環境用のインフラコードに反映する際に適切な承認者によるレビューを強制できる
変更差分やレビュー履歴は自動的に記録される
本番環境の構成をリポジトリ上で一元的に確認できる
これだけでも、1人の担当者によりインフラの構成変更が完結することはありません。これはまさに従来のインフラ構成管理において人力で行われていたことを実現しているばかりか、機械的・自動的に行われることでその完全性をより確実に担保することができます。
ポイントの2点目、Gitで管理・承認されたコードを自動化されたパイプライン経由でデプロイすることで、パイプライン内でコードを検証・承認プロセスを必須化することができます。統制・セキュリティルールを取り込んだ自動スキャンを実行、スキャン結果に応じて適切な承認者がレビュー・承認します。これにより、統制・セキュリティルールに則った構成変更のみが、適切な承認者の承認を経て、本番環境に適用されます。
2つのポイントを実現することで、開発者にとっての「セルフサービス」を諦めないばかりか、従来の人手に依存したプロセスよりも確実な「ミスや不正の防止」を実現できます。
セキュリティのオーナーシップは開発者が持つ
re:Inforceの基調講演で述べられていたAWSにおけるセキュリティの考え方です。
At AWS, our builders have ownership of security of their services.
システムを設計・実装する開発者自身が開発の初期段階からセキュリティ対策を取り込んだ方が、他の誰よりも確実なセキュリティ対策を行えると思います。
それを促進するために、セキュリティチームは、前述のような自動化されたプロセスの整備に注力することが当たり前になってきていると考えられます。
規制業界だからやり方を変えられない…?
基調講演にはデルタ航空が登壇しました。ここでは次のような発言がありました。
私たちの業界は規制や複雑なコントロールに満ちている
では、デルタ航空は規制に満ちているから従来のやり方を変えていないのでしょうか?デルタ航空は規制に満ちているからこそ、ここまでに説明してきた考え方や仕組みを積極的に取り入れているとのことでした。これを聞いて、金融業界でクラウドセキュリティに関わっている私も、常に新しい当たり前を追い求める姿勢を持つことが大切だと改めて感じました。
(おまけ) アナハイム散策
開催地アナハイムで有名なものと言えば、
ディスニーランド 世界1号店
大谷選手の所属しているエンゼルスの本拠地
ですが、残念ながらre:Inforce期間中、大谷選手はアナハイムに居なかったので、ディズニーランドに行ってみました。
ただ、オーバー30の男軍団で$100以上するパーク内に入ってプーさんのハニーハントに乗るのもなぁ…と躊躇していたところ、アナハイムのディズニーランドは無料エリアが充実しているとの情報が…!
「ダウンタウン・ディズニー」という無料エリアには、ディズニーグッズのショップや、ディズニーコラボのスタバ、飲食店等が並んでおり、建物や街並みの雰囲気はディズニーランド同様なので、夢の国気分は味わえました。
ただ、夢の国の魔法をかけられたのか、無料エリアを出るころには、パークの入場料をはるかに上回る$200以上のお土産を持っていました。
最後に
本記事では、私がAWS re:Inforceで体感した金融×クラウドセキュリティの新しい当たり前をまとめてみました。
私たち自身もまだまだチャレンジ段階の部分が多くありますので、みなさまと情報交換をしながら、クラウドセキュリティの新しい当たり前を実現していきたいと思います。
最後までお読みいただき、ありがとうございました!
Japan Digital Design株式会社では、一緒に働いてくださる仲間を募集中です。カジュアル面談も実施しておりますので下記リンク先からお気軽にお問合せください。
この記事に関するお問い合わせはこちら
Japan Digital Design 株式会社
Technology & Development Division
Senior Solution Architect
Yuta Kimi