Innovation and Startups Today

© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Fintech Experience sharing in Japan
- Compliance as code on AWS-
Akihiro Tsukada, Startup Solutions Architect | 2018.10.23

Who am I ?
Akihiro Tsukada 塚田朗弘 - Acky
• Startup Solutions Architect
for 3 years in Japan
• #startup #fintech #fintechsecurity
#blockchain #serverless #mobile
#software_development #mohawk

Today's topics
• Trends and regulations relating to
financial systems in Japan
• Issues for FinTech startups
• AWS FinTech Reference Architecture - Japan Edition -
• Compliance as Code - Sample solutions
• Case studies

AWS Users in The World

[Keynote] MUFG Bank. Ltd.
We have been already running production
workloads of 5 systems on AWS. Over 100
systems will be migrated on our plan

Trends and regulations relating to
financial systems in Japan

Legacy thinking - On-prem Driven
CompareBased on
Traditional
Security
Requirements
Implementation
@On-prem
Implementation
@Cloud
"How to make cloud closer to on-prem?"
^ Legacy !

Legacy thinking - On-prem Driven
CompareBased on
Traditional
Security
Requirements
Implementation
@On-prem
Implementation
@Cloud

Modern thinking - Utilizing Cloud
Traditional
Security
Requirements
Implementation
@On-prem
Implementation
@Cloud
Cloud Native
Security Features
More Effective,
Efficient Way
New Areas Enabled by
Cloud Technology

Modern thinking - Utilizing Cloud
Cloud Native
Security Features
More Effective,
Efficient Way
New Areas Enabled by
Cloud Technology
What new things we can do on the cloud?
^ Modern!

Cloud Native Compliance : Example
<Tag>
Login
Success
Login
Success
Login
Failed
Change
Permission
Logging,
Configuration
Management
Server-1
Created
Network-1
Created
For Server-1
Tag Created
For Server-1 Server-2
Created
Login
Success
Time Series Logging - Cloud Objects and User Activities

Infrastructure as Code
AWS
CloudFormation
Terraform
Source code System
Architecture
- Descript infurastructure
- Avoid miss operation
- Automate everything

Compliance as Code
Source code Security and
Compliance
AWS
CloudFormation
Terraform
- Descript security requirements
- Avoid miss operation
- Automate everything

Japan Banking Act Amendment @ 2018.04
• "Financial companies and banks have to prepare to
open their API for FinTech workloads"
• Business opportunity for FinTech startups, but......

Issues for FinTech Startups

What Issues Are There?
• Hard to implement complecated requirements
• Few experienced fintech engineers in the labor
market
• No experiences around compliance / IT governance

AWS FinTech Reference Architecture

AWS FinTech Reference Architecture (beta)
FISC, FISC API
PCI DSS
ISO 27001 ...
The Most Used
Security & Compliance
Regulations/Guidelines
2018.01 Launched

AWS FinTech Reference Architecture - Japan Edition
FinTech Reference Architecture
FinTech Reference Guide FinTech Reference Template
The table mapping
requirements and solutions
Architecture
diagram
AWS CloudFormation
templates

The Contents of FinTech Reference Guide
大項目中項目小項目 AWSの該当事項お客様の実施事項推奨される追加の対応事項
AWS アーキテクチャ
ダイアグラムの該当箇所
AWS CloudFormation
テンプレートにおける実装の概
AWS リソースタイプ
AWS CloudFormation
テンプレート名テンプレート名（スタック）
補足説明
外部サービス利用時の検討
クラウドサービスを利用する場合
、該当システムに係るガイドライ
ンや自社のポリシー、適用される
法令への準拠性やリスクを適切に
判断する。
クラウドサービス事業者における
セキュリティやコンプライアンス
の実施事項、提供される契約書、
サービス内容、サポート内容を確
認する。
AWSは、ホワイトペーパー、レポート、認
定、その他サードパーティーによる証明を
通じて、通じて、AWSのIT統制環境に関する幅広い
情報をお客様に提供しています。情報をお客様に提供しています。
これらの文書は、お客様が使用するこれらの文書は、お客様が使用するAWSサ
ービスに関連した統制、およびそれらの統
制がどのように検証されているかをお客様
に理解いただくために用意されています。
また、この情報はお客様の（また、この情報はお客様の（AWS環境上に
）拡張された）拡張されたIT環境も含んだ統制が適切に
機能しているかどうかを明らかにし、検証
するのにも有効です。するのにも有効です。
AWSから提供可能な第三者認証や監査レポ
ートに関しては下記のサイトをご参照くだ
さい。さい。
https://aws.amazon.com/jp/compliance
お客様はお客様はAWSの統制とコンプライアンスの
文書を使用し、必要に応じて統制の評価と
検証の手順を実行可能です。検証の手順を実行可能です。AWSの統制と
コンプライアンスの文書の詳細については
、「、「AWSリスクとコンプライアンスの概要
」の関連文書「」の関連文書「AWSの認定とサードパーテ
ィーによる証明」を参照してください。
必要なユーザには作業用の必要なユーザには作業用のAWS IAM
Userを作成することができます。IAM
Userには、許可・禁止する操作、パスワー
ドポリシー、ドポリシー、MFA、署名証明書などを設定
することができます。することができます。あるいはIAM
Userでなく、IDフェデレーションを設定す
ることで、外部プロバイダの認証ポリシー
を利用することも可能です。を利用することも可能です。http://docs.aw
s.amazon.com/IAM/latest/UserGuide/id_roles
_providers.html
ダイアグラム図ダイアグラム図 No.＊＊
AWS IAM
Profileによって、各種データお
よびデータ保管場所へのアクセ
ス権限は必要最小限のインスタ
ンスに絞って与えられます。ンスに絞って与えられます。
また、必要に応じて追加でまた、必要に応じて追加でIAM
Userを作成し、権限や認証方式
を管理することができます。
AWS::IAM::Role
AWS::IAM::InstanceProfile
AWS::IAM::Policy AWS::IAM::Role
AWS::IAM::ManagedPolicy
AWS::EC2::SecurityGroup
AWS::EC2::NetworkAcl
AWS::EC2::NetworkAclEntry
AWS::EC2::VPC
main application config-rules iam
vpc-management vpc-production
logging
N/A
利用目的、利用形態、適用するシ
ステムの範囲、適用される法令等
を確認する手段を設け、自社のセ
キュリティポリシーやコンプライ
アンス上の要件、に合致したシス
テムが構築可能であることを確認
する。
するのにも有効です。するのにも有効です。AWSから提供可能な
第三者認証や監査レポートに関しては下記
のサイトをご参照ください。
N/A ダイアグラム図ダイアグラム図 No.＊＊
AWS IAM
AWS::IAM::Role
AWS::EC2::VPC
logging
N/A
内部統制の対策
システム、及びデータにアクセス
する係る担当者のセキュリティポ
リシーへの準拠性を確保、確認す
る手段を講じ、情報漏洩やシステ
ムの不正使用等をはじめとしたセ
キュリティインシデントにつなが
るリスク軽減策を講じる。
関連する担当者の利用するシステ
ム端末やデータ媒体に関連したリ
スクを特定し、リスクの軽減につ
ながる適切な管理策を講じる
AWSでは、お客様のシステムおよびデータ
の機密性、完全性、および可用性を保護す
るために設計された、公式の情報セキュリ
ティプログラムを実装しています。ティプログラムを実装しています。
特権のあるユーザーアクセス制御は、特権のあるユーザーアクセス制御は、AWS
SOC、ISO 27001、PCI、ITAR、および
FedRAMPの監査中に独立監査人によって確
認されます。認されます。AWSは、内部者による不適切
なアクセスの脅威に対処するための統制を
実施しています。実施しています。AWSが取得している認証
とサードパーティーによる証明で、論理ア
クセスの予防統制と発見的統制が評価され
ています。さらに、定期的なリスク評価時
に、内部者によるアクセスの統制および監
視方法を評価しています。視方法を評価しています。AWS SOC
レポートには、レポートには、 AWS
が実行している具体的な統制活動に関する
詳細情報が記載されています。詳細情報が記載されています。また、AWS
は、は、Payment Card Industry (PCI)
データセキュリティ基準データセキュリティ基準(Data Security
Standard/DSS)のレベル1に準拠しています
。詳細については、。詳細については、AWS Artifact
（（https://console.aws.amazon.com/artifact）
を使用して、を使用して、PCI DSS Attestation of
Compliance (AOC) と Responsibility Summary
AWSのお客様は、お客様のデータの統制と
所有権を保持するため、データの適切な管
理はお客様の責任となります。また、理はお客様の責任となります。また、AWS
環境に含まれない、お客様のご利用環境に含まれない、お客様のご利用PCやそ
の他の端末、データ媒体に関しての管理は
お客様の責任となります。
Amazon
WorkSpaces上で必要最小限の作業者にWor
kSpaceを払い出すことで、セキュアな作業
環境を構築することができます。
ダイアグラム図ダイアグラム図 No.＊＊ N/A N/A N/A N/A

The Contents of FinTech Reference Guide
大項目中項目小項目 AWSの該当事項お客様の実施事項推奨される追加の対応事項
AWS アーキテクチャ
ダイアグラムの該当箇所
AWS CloudFormation
テンプレートにおける実装の概
AWS リソースタイプ
AWS CloudFormation
テンプレート名テンプレート名（スタック）
補足説明
外部サービス利用時の検討
クラウドサービスを利用する場合
、該当システムに係るガイドライ
ンや自社のポリシー、適用される
法令への準拠性やリスクを適切に
判断する。
クラウドサービス事業者における
セキュリティやコンプライアンス
の実施事項、提供される契約書、
サービス内容、サポート内容を確
認する。
するのにも有効です。するのにも有効です。
AWSから提供可能な第三者認証や監査レポ
ートに関しては下記のサイトをご参照くだ
さい。さい。
https://aws.amazon.com/jp/compliance
必要なユーザには作業用の必要なユーザには作業用のAWS IAM
Userを作成することができます。IAM
Userには、許可・禁止する操作、パスワー
ドポリシー、ドポリシー、MFA、署名証明書などを設定
することができます。することができます。あるいはIAM
Userでなく、IDフェデレーションを設定す
ることで、外部プロバイダの認証ポリシー
を利用することも可能です。を利用することも可能です。http://docs.aw
s.amazon.com/IAM/latest/UserGuide/id_roles
_providers.html
ダイアグラム図ダイアグラム図 No.＊＊
AWS IAM
AWS::IAM::Role
AWS::EC2::VPC
logging
N/A
利用目的、利用形態、適用するシ
ステムの範囲、適用される法令等
を確認する手段を設け、自社のセ
キュリティポリシーやコンプライ
アンス上の要件、に合致したシス
テムが構築可能であることを確認
する。
するのにも有効です。するのにも有効です。AWSから提供可能な
第三者認証や監査レポートに関しては下記
のサイトをご参照ください。
N/A ダイアグラム図ダイアグラム図 No.＊＊
AWS IAM
AWS::IAM::Role
AWS::EC2::VPC
logging
N/A
内部統制の対策
システム、及びデータにアクセス
する係る担当者のセキュリティポ
リシーへの準拠性を確保、確認す
る手段を講じ、情報漏洩やシステ
ムの不正使用等をはじめとしたセ
キュリティインシデントにつなが
るリスク軽減策を講じる。
関連する担当者の利用するシステ
ム端末やデータ媒体に関連したリ
スクを特定し、リスクの軽減につ
ながる適切な管理策を講じる
AWSでは、お客様のシステムおよびデータ
の機密性、完全性、および可用性を保護す
るために設計された、公式の情報セキュリ
ティプログラムを実装しています。ティプログラムを実装しています。
特権のあるユーザーアクセス制御は、特権のあるユーザーアクセス制御は、AWS
SOC、ISO 27001、PCI、ITAR、および
FedRAMPの監査中に独立監査人によって確
認されます。認されます。AWSは、内部者による不適切
なアクセスの脅威に対処するための統制を
実施しています。実施しています。AWSが取得している認証
とサードパーティーによる証明で、論理ア
クセスの予防統制と発見的統制が評価され
ています。さらに、定期的なリスク評価時
に、内部者によるアクセスの統制および監
視方法を評価しています。視方法を評価しています。AWS SOC
レポートには、レポートには、 AWS
が実行している具体的な統制活動に関する
詳細情報が記載されています。詳細情報が記載されています。また、AWS
は、は、Payment Card Industry (PCI)
データセキュリティ基準データセキュリティ基準(Data Security
Standard/DSS)のレベル1に準拠しています
。詳細については、。詳細については、AWS Artifact
（（https://console.aws.amazon.com/artifact）
を使用して、を使用して、PCI DSS Attestation of
Compliance (AOC) と Responsibility Summary
AWSのお客様は、お客様のデータの統制と
所有権を保持するため、データの適切な管
理はお客様の責任となります。また、理はお客様の責任となります。また、AWS
環境に含まれない、お客様のご利用環境に含まれない、お客様のご利用PCやそ
の他の端末、データ媒体に関しての管理は
お客様の責任となります。
Amazon
WorkSpaces上で必要最小限の作業者にWor
kSpaceを払い出すことで、セキュアな作業
環境を構築することができます。
ダイアグラム図ダイアグラム図 No.＊＊ N/A N/A N/A N/A
• Requirements
• Category
• Sub-Category
• Items to be implemented
• Tasks
• For AWS
• For customers
• Aditional
Recommendation
• Sample Implementation in
FinTech Reference Template
• Where in the diagram
• Implementation
summary in the
templates
• AWS resource types
• CloudFormation
template file names

AWS Shared Responsibility ModelAWS
Computing
Storage
Database
Networking
Edge Location
Region
Availability Zones
AWS Global
Infrastructure
Security "of"
the cloud
Customer
Security "in"
the cloud
Customer's data
Platform, Application, IAM
OS, Network, Firewall Configuration
Client-side
Encryption,
Data Integrity
Server-side Encryption
(Filesystem or data, or
both)
Network Traffic
Protection
(Encryption / Integrity /
Identity)

"Tasks" is based on the Shared Responsibility Model
• Tasks for customers
• What things customers must do?
• What kind of solutions are there?
• Additional recommendation
• More advanced solutions using the latest services
• Not must, but should
• Tasks for AWS
• Information about how AWS clears the requirement
• Pointer for whitepapers etc

FinTech Reference Template - Architecture Diagram
(Each component is numbered to be pointed from The Reference Guide)

• A provisioning service allows you to model all resources on AWS
- EC2, S3 etc - using template written in JSON or YAML
• Automate building and updating environments
• No additional charge
https://aws.amazon.com/cloudformation/

FinTech Reference Template - AWS CloudFormation
1. main.yaml
2. vpc-management.yaml
3. vpc-production.yaml
4. application.yaml
5. iam.yaml
6. config-rules.yaml
7. logging.yaml
8. guardduty.yaml
Template files
implemented on
Well-Architected way
Customers can ...
• use as it is
• customise them
to apply each situation

application.yaml
The definition
of ELB
rELBApp:
Type: AWS::ElasticLoadBalancing::LoadBalancer
DependsOn:
- rS3ELBAccessLogs
- rSecurityGroupApp
- rS3AccessLogsPolicy
Properties:
Subnets:
- !Ref pAppPrivateSubnetA
- !Ref pAppPrivateSubnetB
HealthCheck:
HealthyThreshold: 2
Interval: 15
Target: TCP:443
Timeout: 5
UnhealthyThreshold: 3
AccessLoggingPolicy:
S3BucketName: !Ref rS3ELBAccessLogs
S3BucketPrefix: Logs
Enabled: true
EmitInterval: 60

The definition of
input parameters
AWSTemplateFormatVersion: 2010-09-09
Metadata:
AWS::CloudFormation::Interface:
ParameterGroups:
- Label:
default: Region Config
Parameters:
- pRegionAZ1Name
- pRegionAZ2Name
- Label:
default: Network
Parameters:
- pProductionCIDR
- pProductionVPC
- pDMZSubnetA
- pDMZSubnetB
- pAppPrivateSubnetA
- pAppPrivateSubnetB
- pDBPrivateSubnetA
- pDBPrivateSubnetB

Loading template via
AWS Management Console
Input actual values for parameters
defined in templates

AWS FinTech ReferenceArchitecture
As A Communication Helper

Between Compliance Officer and Engineers
Impedance Mismatch

Compliance To Engineering
The table mapping
Architecture
diagram
AWS CloudFormation
templates

Enginnering To Compliance
The table mapping
Architecture
diagram
AWS CloudFormation
templates

Compliance as Code
- Sample solutions from the
Reference Guide

Topics in FinTech Reference Guide
• Access control to systems
• Backup management
• Data protection in transition
• Data protection at rest
• System Monitoring and Auditing
• User auth and protection
• System clock synchronization
• Incident response
• Cyber attacks protection
• API authentication
• Device management
• Customer protection using contact
center
etc..

Today's Sample Cases
• Access Control to Systems
1. User and permission management using AWS IAM
2. EC2 Instance Profile
3. AWS Systems Manager（SSM）to manage parameters and run
commands
• Incident response
4. Threats detection and notification using Amazon GuardDuty
5. Other related services

Sample 1 - Internal Control : Authentication
Infrastructure
Access Control
To Systems
Design a access control policy to manage
systems and implement proper strong
access authentication according to
importance and risks.
Infrastructure
Access Control
To Systems
Permissions to access to each resources
should be "deny" by default according to
the least privileges principle.
Infrastructure
Access Control
To Systems
Take measures to prevent fraudulent use
of credentials for system management.
Requirements
Category Sub Category Items

Sample 1 - Internal Control : Authentication
AWS provides specific SOC 1 controls to address
the threat of inappropriate insider access, and the
public certification and compliance initiatives
covered in this document address insider access.
All certifications and third-party attestations
evaluate logical access preventative and
detective controls. In addition, periodic risk
assessments focus on how insider access is
controlled and monitored.
Controls in place limit access to systems and data
and provide that access to systems or data is
restricted and monitored. In addition, customer
data is and server instances are logically isolated
from other customers by default. Privileged user
access control is reviewed by an independent
auditor during the AWS SOC 1, ISO 27001, PCI,
ITAR, andFedRAMPsm audits.
To help customers better understand what
controls we have in place and how effectively they
are operating, we publish a SOC 1 Type II report
with controls defined around EC2, S3 and VPC,
as well as detailed physical security and
environmental controls. These controls are
defined at a high level of specificity that should
meet most customer needs. AWS customers that
AWS Identity and Access
Management (IAM) can be used to
manage user IDs, manage user
groups, assign credentials and
manage permissions. "Credentials"
include passwords, encryption keys,
digital signatures and certificates.
Customer also has option to enable
Multi-factor Auth(MFA) on AWS
account or IAM users.
IAM also allows ID federation when
customer uses any other ID provider.
Details about IAM are described at
our documents:
https://aws.amazon.com/iam/
IAM Best Practices are here:
https://docs.aws.amazon.com/IAM/la
Don't share IAM user between multiple operators. You should create
IAM user for each operator, or use external IdP (like Active Directory).
When you use IAM to manage users, you can configure security
requirements such as password or MFA conditions. Other important
best practices:
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-
practices.html
When you use credentials such as ID and password in your programs,
you can consider to use AWS Systems Manager Parameter Store to
manage them securely and avoid them from source codes and
configuration files.
https://aws.amazon.com/jp/ec2/systems-manager/parameter-store/
Also, the credentials to access AWS resources (Access Key, Secret
Access Key) can be avoid by using temporary credentials provided by
EC2 Instance Profile feature, AWS STS and Amazon Cognito.
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_
temp.htm
You should be careful to avoid to commit these credentials into version
control tools such as Git. AWS provides the tool "git-secrets" to prevent
Tasks For
AWS Customer Additional and Recommended

Innovation and Startups Today

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Innovation and Startups Today

Similar a Innovation and Startups Today (20)

Más de Amazon Web Services

Más de Amazon Web Services (20)

Innovation and Startups Today