「Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯」リモート開催に参加しました
Youtube Liveでリモート開催の「Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯」に参加しました。
以下は私が思ったことをメモしています。
登壇者さんの意図ではありませんことをご承知おきください。
目次
AWSのPCI DSSへの取り組みと押さえておきたい耳寄り情報
アマゾン ウェブ サービス ジャパン 中島さん
Responsibility SummaryのPDFにはSpreadsheetが埋め込まれているとのこと。
なるほど。
Artifactでダウンロードしてみます。
添付ファイルにはなさそうだけど、Readerが違うのかな。
また調べよう。
AWS Security Hubは、PCI DSS v3.2.1に準拠している。
有効にして検出結果ナビゲーションに従うことで、必要な統制が整う。
Amazon MacieではPAN情報(クレジットカード番号)も識別される。
2020年5月にMacieは拡張されて、今までのバージョンはMacie Clasiccになった。
責任共有モデルに基づいての審査範囲の大幅な削減、つまり、ハードウェアなどAWSが管理運用する範囲は自分たちで運用しない(できない)ということ。
対象サービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスの PCI タブにあることも紹介されていました。
AWS での PCI DSS コンプライアンスの標準化アーキテクチャというクイックスタートも紹介されていました。
AWSでのPCI DSS準拠決定版!PCI DSS Ready Cloud AWSモデルのご紹介
株式会社リンクの滝村さん
PCI DSS Ready Cloudというサービスを提供されているリンクさん。
2020年5月にサーバーワークスさんと協業発表されて話題になっておられましたね。
Ready CloudはPCI DSS準拠を促進することが目的。
VPC提供型と、コンポーネント提供型(お客様のVPC利用)があるとのこと
VPCごと提供するかどうかの違いで、8割はコンポーネント提供型。
AWS + Ready Cloudで6割ぐらいはPCI DSS準拠に対応されている。
AWS上でのPCI DSS運用でラクをする
株式会社アイレットの廣山さん
PCI DSSは毎年の審査があるので、セキュリティ運用の維持につながる。
そして、いかに楽をするか(効率性を上げるか)。
スコープの話はみなさん話されていました。
何を守るべきで、そのためにどこどこをモニタリングするべきか。
何をメトリクスとして扱うのか、そして誰がそのデータを扱うのか。
いきつくところは最小権限の原則ですね。
ログ管理にはsumologicを使われている。
sumologicにはPCI DSSテンプレートがある。
ダッシュボードではPCI DSS準拠のためのログが見やすい。
Splunk ~ Datadog ~ Sumologic
使い倒しての経緯が見えます#finjaws #jawsug— 山下 (@yamamanx) May 25, 2020
アーキテクチャの遷移、進化の話は考え方としてすごく参考になりました。
管理するためのシステムでもできたから終わりじゃないんですよね。
そして、PCI DSSはカード情報だけではなく、セキュリティを考える上で役に立つ指標と仰ってたのも印象的でした。
「迷わず使えよ、使えば分かるさ」なセッションでした。
AWS環境でCAFIS接続を行いイシュアシステムを実現した事例
株式会社ディーエスエスの田中さん
CAFISとは、キャッシュレス決済総合プラットフォームサービス。
AWSからCAFISへの接続事例で公開事例がない状況で、構築された。
CAFISのレンタルルーターをAWS DirectConnectに接続することが課題。
なぜなら、CAFISレンタルルーターはBGP非対応。
APNパートナーさんのBGP対応ルーターにCAFISレンタルルーターを接続。
決済システムのDBとサイト用のDBを分離したが、データ連携があることによりサイト側もスコープから外すことができなかったそう。
審査員によっては外すことができたかもしれないらしい。
S3 Object Lock(要件10.5.2)はやっぱり、PCI DSSのような審査要件で活躍できるのですね。
Responsibility Summaryでユーザー責任範囲を確認して、WAF(要件6.6)、Inspector(要件2.2)、MarketPlaceなども活用された。
鍵の管理はユーザーの責任範囲なので、KMSを選択するのが最適化と考えられる。
なるほどお。
最後までお読みいただきましてありがとうございました!
「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。


開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
ad
ad
関連記事
-
-
「【Japan AWS Jr. Champions主催】若手応援LT会 in AWS大阪オフィス」に参加しました!
Opening ゆっきぃさんと運営の皆さん。 「JAWS-UGから初登壇は敷居が …
-
-
Alexa Day 2018で「kokexaの話」を聞いてきました
スピーカーはサバワ坂本さん これは、私、山下の勝手な印象とか思い込みですが、坂本 …
-
-
Java SE 7 Gold対策勉強をしながらメモ 2015/9/1
さて、9/26の試験を目指して久しぶりに試験勉強を始めます。 今月は非常に忙しい …
-
-
「Botの王道:配達ピザの注文をさばくBotを2時間で開発するワークショップ@大阪」に参加しました
「Botの王道:配達ピザの注文をさばくBotを2時間で開発するワークショップ@大 …
-
-
「CLS高知2023戻り鰹編」に参加しました
12回目のCLS高知、2023戻り鰹編に参加しました。 高知駅付近から弁天座へ自 …
-
-
Developers Summit 2018 「Kubernetesを用いた最強のマイクロサービス環境をGKEで実現しよう」を聞きました
以下は、思ったことや気になったことをメモしていますので、必ずしも登壇者の発表内容 …
-
-
ひと味違った南国の熱量を感じた高知の午後 ~「コミュニティリーダーズサミット in 高知 2018」に行ってきました~
「コミュニティリーダーズサミット in 高知 2018」という、イカしたイベント …
-
-
「RPA勉強&LT会!RPALT vol1@Innovation Space DEJIMA」でLTしました
「RPA勉強&LT会!RPALT vol1@Innovation Space D …
-
-
JAWS DAYS 2018で初めてのランチタイムセッションをやってみました
日本のAWSユーザーグループはJAWS-UGと言います。 JAWS-UGでは年に …
-
-
「第1回 ぶろぐの勉強会」を開催します!
このブログは2021/3/2開催の「第1回 ぶろぐの勉強会」冒頭挨拶の共有資料代 …