背景
よくある ECS 構成で API Gateway → ALB, ALB → Backend とか BFF → Backend 間が HTTP になってる問題。結論としては内部通信であっても暗号化が必要なんだけどその論拠ってどこからきてるのっていう話。
FSA GL / FISC の該当箇所
FSA GL 2.3.4.4-基-3: 暗号技術によるNWセキュリティ
- 分類: 基本的な対応事項 (= 必須)
- 対応する FISC 基準: 実4 項1, 2, 5
- 出典: 金融庁「金融分野におけるサイバーセキュリティに関するガイドライン」(2024年10月公表) 176項目中 #116
「基本的な対応事項」はどうも FSA GL における必須レベルの要求っぽい。「対応が望ましい事項」とは明確に区別されてる。
FISC 実4: 伝送データ暗号化の階層別対策
- 改訂版: FISC 安全対策基準 第13版 (2025年3月公表)
- 改訂理由: FSA GL (サイバーガイドライン) の安全対策取込みに伴う改訂
問題は「階層別」の文言が追加されたことらしい。従来は外部通信 (インターネット境界) の暗号化が主な対象だったが、第13版では通信レイヤーごとの暗号化対策を求めている。つまり境界防御型からゼロトラスト的な各レイヤーでの暗号化へ要求水準が引き上げられた。
ゼロトラスト前提でやってねという当たり前の話ではあるが、end-to-end以外もやるとなると Private CA を建てるなど意外とコストがかかる。
FSA GL 2.3.4.4-望-c: マイクロセグメンテーション
- 分類: 対応が望ましい事項 (= 推奨)
- 対応する FISC 基準: 実14 項8 (第13版で新設)
- 出典: FSA GL 176項目中 #121
現時点では「望ましい」レベルだが、FISC 第13版で項8として新設されており、今後「基本」へ昇格する可能性がある。いずれにしても先手を打っておくほうがいいやつ。
VPCを細かく分けたり private subnet ちゃんとつかったり。特に VPC は最近 Lattice とかあるので分けることが前提になりつつある。
ECS 構成へのインパクト
対策
- ALB に
:443リスナーを追加し、API GW → ALB 間を TLS 化 - Service Connect にて TLS を有効化
- ギャップ分析に内部通信暗号化の項目を明示的に追加
ALB のリスナー追加と Service Connect の TLS 有効化は比較的軽い作業なので、早めにやっておくほうがいい。
ECS Service Connect は Private CA 対応してて mTLS を導入しやすいので経路確保手段として優秀。
参考
おわり
AWS前提の話になってしまいましたが。 別にむずくはないけど、地味に気を使うやつだった。
関連記事:
- FISC安全対策基準 第13版の全体像 – 第13版全体の改訂内容(6テーマ・130件)を整理
- FISC 4編 324項目の構造と読み方 – 基礎/付加基準の区分、語尾による必須/任意の見分け方