ヤマムギ

growing hard days.

*

「Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯」リモート開催に参加しました

   


Youtube Liveでリモート開催の「Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯」に参加しました。

以下は私が思ったことをメモしています。
登壇者さんの意図ではありませんことをご承知おきください。

AWSのPCI DSSへの取り組みと押さえておきたい耳寄り情報

アマゾン ウェブ サービス ジャパン 中島さん

Responsibility SummaryのPDFにはSpreadsheetが埋め込まれているとのこと。

なるほど。
Artifactでダウンロードしてみます。

添付ファイルにはなさそうだけど、Readerが違うのかな。
また調べよう。

AWS Security Hubは、PCI DSS v3.2.1に準拠している。
有効にして検出結果ナビゲーションに従うことで、必要な統制が整う。

Amazon MacieではPAN情報(クレジットカード番号)も識別される。
2020年5月にMacieは拡張されて、今までのバージョンはMacie Clasiccになった。

責任共有モデルに基づいての審査範囲の大幅な削減、つまり、ハードウェアなどAWSが管理運用する範囲は自分たちで運用しない(できない)ということ。

対象サービスは、コンプライアンスプログラムによる AWS 対象範囲内のサービスの PCI タブにあることも紹介されていました。

AWS での PCI DSS コンプライアンスの標準化アーキテクチャというクイックスタートも紹介されていました。

AWSでのPCI DSS準拠決定版!PCI DSS Ready Cloud AWSモデルのご紹介

株式会社リンクの滝村さん

PCI DSS Ready Cloudというサービスを提供されているリンクさん。
2020年5月にサーバーワークスさんと協業発表されて話題になっておられましたね。

Ready CloudはPCI DSS準拠を促進することが目的。
VPC提供型と、コンポーネント提供型(お客様のVPC利用)があるとのこと
VPCごと提供するかどうかの違いで、8割はコンポーネント提供型。

AWS + Ready Cloudで6割ぐらいはPCI DSS準拠に対応されている。

AWS上でのPCI DSS運用でラクをする

株式会社アイレットの廣山さん

PCI DSSは毎年の審査があるので、セキュリティ運用の維持につながる。
そして、いかに楽をするか(効率性を上げるか)。

スコープの話はみなさん話されていました。
何を守るべきで、そのためにどこどこをモニタリングするべきか。
何をメトリクスとして扱うのか、そして誰がそのデータを扱うのか。
いきつくところは最小権限の原則ですね。

ログ管理にはsumologicを使われている。
sumologicにはPCI DSSテンプレートがある。
ダッシュボードではPCI DSS準拠のためのログが見やすい。

アーキテクチャの遷移、進化の話は考え方としてすごく参考になりました。
管理するためのシステムでもできたから終わりじゃないんですよね。

そして、PCI DSSはカード情報だけではなく、セキュリティを考える上で役に立つ指標と仰ってたのも印象的でした。
「迷わず使えよ、使えば分かるさ」なセッションでした。

AWS環境でCAFIS接続を行いイシュアシステムを実現した事例

株式会社ディーエスエスの田中さん

CAFISとは、キャッシュレス決済総合プラットフォームサービス。
AWSからCAFISへの接続事例で公開事例がない状況で、構築された。

CAFISのレンタルルーターをAWS DirectConnectに接続することが課題。
なぜなら、CAFISレンタルルーターはBGP非対応。
APNパートナーさんのBGP対応ルーターにCAFISレンタルルーターを接続。

決済システムのDBとサイト用のDBを分離したが、データ連携があることによりサイト側もスコープから外すことができなかったそう。
審査員によっては外すことができたかもしれないらしい。

S3 Object Lock(要件10.5.2)はやっぱり、PCI DSSのような審査要件で活躍できるのですね。
Responsibility Summaryでユーザー責任範囲を確認して、WAF(要件6.6)、Inspector(要件2.2)、MarketPlaceなども活用された。
鍵の管理はユーザーの責任範囲なので、KMSを選択するのが最適化と考えられる。
なるほどお。


最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

 - study

ad

ad

  関連記事

Alexa Day2018で「Alexa連携デバイスクラウドを構成するAWS ソリューション」を聞きました

以下は、思ったことや気になったことをメモしていますので、必ずしも登壇者の発表内容 …

「JAWS-UG 四国クラウドお遍路」からの特急南風にて変わり続けなければならないなあと思った

「JAWS-UG 四国クラウドお遍路」というAWSのユーザーグループJAWS-U …

Alexaで作る受付システム(Alexa Day 2019でのブログ)

ランチタイムセッション3本目はウフルさん。 たくさんのLEDをコントロールされて …

「JAWS-UG大阪 第18回勉強会 サーバーレス」の運営をしました

JAWS-UG大阪 第18回勉強会 サーバーレスを開催、運営しました〜。 事の発 …

ヤマムギ vol.6(勉強会) 「LINEとAWS(Lambda,Step Functions,API Gateway)とTwilioとkintoneでBOTを作ってみるハンズオン」を開催しました

2017/8/18に ヤマムギ vol.6 「LINEとAWS(Lambda,S …

「JP_Stripes Tokyo Vol.7 Stripe at Doorkeeper and MakeLeaps」で受付をしました

全編英語でJP_Stripes(Stripeの勉強会)の開催がありまして、受付を …

JAWS DAYS 2018で初めてのランチタイムセッションをやってみました

日本のAWSユーザーグループはJAWS-UGと言います。 JAWS-UGでは年に …

Alexa Day 2018で「How do we connect VUI to the real services using serverless」を聞きました

photo by Atsushi Ando Serverless for VUI …

AlexaのSmart HomeをAWSで作る方法(Alexa Day 2019でのブログ)

以下は、気になったことのメモとか感想を書いています。 登壇者、発表者、主催企業な …

Developers Summit 2018 「NRIの働き方改革 – 開発スタイルから文化まで変えた軌跡 -」を聞きました

以下は、思ったことや気になったことをメモしていますので、必ずしも登壇者の発表内容 …