2. I used to work as engineer or
consultant. But I currently work as
security/compliance staff.
前はエンジニアとかコンサルをやってましたが、
いまはどちらかというとコンプライアンスな人やっ
てます。
3. Definition in my session (my opinion)
Builder: we are all builders for making better
services, societies, and the world.
YOU: engineers, architects.
Me : auditors, risk compliance/security staffs
本セッションにおける定義(個人の意見です)
ビルダー:私たちはみんな、よいサービス、社会、世の中をつくる
ビルダー
あなた:エンジニアやアーキテクト
私 :監査やリスクやコンプライアンス関連の人たち
4. What do think about Compliance?
You may hate it.
But, YOU may make it better.
That’s why we should know its trend together.
コンプライアンスってどうよ?
あまり好きじゃないですよね。
でも、もしかしたらあなたがより良くしていけるかもです。
だからこそ、一緒にそのトレンドを理解していきましょう。
5. • Increasing requirements to protect data or
privacy.
• Regulated data moving to the cloud
• Compliance is manual and time-consuming as
traditional manner.
• データやプライバシーに対する要求の高まり
• 管理すべきデータのクラウドへのシフト
• コンプライアンスの適用は伝統的にマニュアル作業で時間が
かかる
6. • “Patchwork kilt”: many but similar requirement
• More efficient way needed
• Gap between latest technology and requirement
• “security” should not be a blocker for
innovation, but need a balance
• Maintain the policy and update
• Policy makers may be also suffering
• “パッチワークキルト“:似たような管理策が様々に要求される
• より効率的な管理を
• 新たな技術と要求事項に存在するギャップ
• セキュリティがイノベーションを阻害してはいけないけど、バランス
は必要
• ポリシーの維持とアップデート
• ポリシーを作る側もそれなりに困っているかもしれない
7. • Many check by spreadsheet
• Interview (we may forget, lie, or have bias)
• Documents might be out of dated
• Sampling: traditional limitation of audit work
No tme, No resource to cover all
• “Excel方眼紙“なチェックシート
• インタビュー(思い込み、思い違い、嘘、があるかも)
• ドキュメントは更新されていないかも
• サンプリング:伝統的な“監査の限界”
現実的に監査ですべてをカバーすることは困難
8. So, how do we create the future of compliance?
さて、どうやってコンプライアンスの未来をつくれるのか?
9. • Rule based approach →principle based approach
• Not maintain all controls
• Focus on principles
• Builders should have accountability and apply
technology based on its use case.
• ルール中心から原則中心のアプローチへ
• すべてのコントロールのメンテナンスをしない
• 原則にフォーカス
• ビルダーがそのユースケースにあわせたテクノロジーの導入に説明責
任を果たす
https://www.ncsc.gov.uk/collection/cloud-security/implementing-the-cloud-security-principles
YOU ALREADY KNOW
11. • But how de we identify
controls to be applied?
• でも、じゃあどうやって組み込むべきセ
キュリティコントロールを組み込むの?
12. • Efficient approach is
• Refer “industry best practice”
• Avoid reinventing the wheel
• Ex. OWASP TOP10, CIS benchmark
• 効果的なやり方
• すでに受け入れられている規範を活用
• 車輪の再発明を避ける
• Ex. OWASP TOP10, CIS benchmark
YOU ALREADY KNOW
13.
14. • why did I say ” YOU may make it better”
• ところで、なんで“あなたがより良くしていけるかもです。”って
いったのでしょう。
15. • In AWS re:Inforce 2021, AWS observes the
demand for “technical auditor” is increasing.
• Auditors should:
• know the benefit of the cloud
• use a code for their work
• should know the better approach
• AWS re:Inforce2021において、AWSでは“技術のわか
る監査人”の需要が高まっていることを説明しました。
• 監査人自体が
• クラウドの価値を理解し
• コードを活用し業務を効率化し
• より良いアプローチをとる、ことが必要なはず