AWS セキュリティとコンプライアンス

83,864 views

Published on

2016/6/7 資料を更新しました。

Published in: Technology
  • Be the first to comment

AWS セキュリティとコンプライアンス

  1. 1. 2016 / 03 / 15 アマゾン ウェブ サービス ジャパン 株式会社 プロフェッショナルサービス本部 高田 智己 【 AWS 初心者向け Webinar 】 AWSにおけるセキュリティとコンプライアンス
  2. 2. ご質問を受け付け致します! 質問を投げることができます! • Adobe Connect のチャット機能を使って、質問を書き込んで ください。(書き込んだ質問は、主催者にしか見えません) • 最後の Q&A の時間で可能な限り回答させていただきます。 ①画面右下のチャッ トボックスに質問を 書き込んでください ②吹き出しマークで 送信してください
  3. 3. AWS 初心者向け Webinar のご紹介 • AWS についてこれから学ぶ方むけの ソリューションカットの Webinar です • 過去の Webinar 資料 – AWS クラウドサービス活用資料集ページにて公開 http://aws.amazon.com/jp/aws-jp-introduction/ • イベントの告知 – 国内のイベント・セミナースケジュールページにて告知 http://aws.amazon.com/jp/about-aws/events/ (オンラインセミナー枠)
  4. 4. アジェンダ • イントロダクション • AWSのセキュリティと責任共有モデル • Security OF the Cloud • Security IN the Cloud • AWSセキュリティとAPN • 最新のトレンド・まとめ
  5. 5. アジェンダ • イントロダクション • AWSのセキュリティと責任共有モデル • Security OF the Cloud • Security IN the Cloud • AWSセキュリティとAPN • 最新のトレンド・まとめ
  6. 6. イントロダクション • 今回のAWS初心者向けWebinarでは、AWSのセキュリ ティとコンプライアンスについて、責任共有モデルの考 えに基づき、最新の情報を交えながらご紹介します。 • この分野においてAWSが提供する情報源や使い方もご 紹介しますので参考にして頂ければと思います。
  7. 7. アジェンダ • イントロダクション • AWSのセキュリティと責任共有モデル • Security OF the Cloud • Security IN the Cloud • AWSセキュリティとAPN • 最新のトレンド・まとめ
  8. 8. Amazon Web Services (AWS) アマゾンの 3 つのビジネス 一般消費者様 向けサービス セラー様向け サービス 企業様向け サービス Eコマース (Amazon.co.jp) マーケットプレイス 物流サービス提供 (Amazon Services) クラウド コンピューティング (Amazon Web Services) イノベーションのペース 24 48 61 82 159 280 516 722 2008 2009 2010 2011 2012 2013 2014 2015  新規サービスのリリース  施設の拡充  お客様からのフィードバックを 基にした改善 世界に広がる AWS のインフラ カリフォルニア ダブリン シンガポール 東京 オレゴン バージニア サンパウロ リージョン エッジローケーション GovCloud シドニー フランクフルト 過去9年間で51回の値下げ (2016年3月現在) 規模の拡大と イノベーション ソウル 北京
  9. 9. AWSのセキュリティ方針 • セキュリティはAWSにおいて最優先されるべき事項 • セキュリティへの大規模な投資 • セキュリティに対する継続的な投資 • セキュリティ専門部隊の設置
  10. 10. AWS 基本サービス コンピュート ストレージ データベース ネットワーク AWS グローバル インフラストラクチャ リージョン アベイラビリティ ゾーン エッジ ロケーション ネットワーク サーバー セキュリティ インベントリ ・構成管理 お客様のアプリケーション・コンテンツ お客様自身で クラウドを コントロール可能 AWSが クラウドの セキュリティを 担当 データ セキュリティ アクセス コントロール AWS 責任共有モデル
  11. 11. AWS 基本サービス コンピュート ストレージ データベース ネットワーク AWS グローバル インフラストラクチャ リージョン アベイラビリティ ゾーン エッジ ロケーション ネットワーク サーバー セキュリティ インベントリ ・構成管理 お客様のアプリケーション・コンテンツ お客様自身で クラウドを コントロール可能 お客様はこの部分の 統制に関してAWS にオフロードするこ とが可能。 データ セキュリティ アクセス コントロール AWS 責任共有モデル
  12. 12. AWS 責任共有モデル AWS責任共有モデル https://aws.amazon.com/jp/compliance/shared-responsibility-model/ AWSセキュリティベストプラクティス https://d0.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf AWSの責任共有モデルについては、AWSコンプライアンスのWebサイトや「AWS セキュリティベストプラクティス」ホワイトペーパーでも解説しています。
  13. 13. アジェンダ • イントロダクション • AWSのセキュリティと責任共有モデル • Security OF the Cloud • Security IN the Cloud • AWSセキュリティとAPN • 最新のトレンド・まとめ
  14. 14. AWS 基本サービス コンピュート ストレージ データベース ネットワーク AWS グローバル インフラストラクチャ リージョン アベイラビリティ ゾーン エッジ ロケーション ネットワーク セキュリティ サーバー (OS) セキュリティ お客様のアプリケーション・コンテンツ お客様自身で クラウドを コントロール可能 お客様 データ セキュリティ アクセス コントロール AWS 責任共有モデル Security “OF” the Cloud
  15. 15. Security “OF” the Cloud Security “OF” the Cloud
  16. 16. Security “OF” the Cloud Security “OF” the Cloud 業界における認定と独立したサードパーティによる証明を取 得します AWS のセキュリティと統制に関する情報をホワイトペーパー およびウェブサイトコンテンツで公表します NDA に従いAWS のお客様に証明書、レポートなどの文書を 直接提供します AWSは、お客様が使用するAWS サービスに関連した 統制、 およびそれらの統制がどのように検証されて いるかをお客様にご理解頂くことを支援致します。
  17. 17. リージョン US-WEST (N. California) EU-WEST (Ireland) ASIA PAC (Tokyo) ASIA PAC (Singapore) US-WEST (Oregon) SOUTH AMERICA (Sao Paulo) US-EAST (Virginia) GOV CLOUD ASIA PAC (Sydney) シンガポール シドニー 東京 アイルランド サンパウロ 北カリフォルニア オレゴン バージニア Gov Cloud フランクフルト EU-CENTRAL (Frankfurt) 北京 Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。 詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください ASIA PAC (Seoul) ソウル Beijing AWS グローバルインフラストラクチャー
  18. 18. アベイラビリティゾーン アベイラビリティ・ゾーンによる可用性 US-WEST (N. California) EU-WEST (Ireland) ASIA PAC (Tokyo) ASIA PAC (Singapore) US-WEST (Oregon) SOUTH AMERICA (Sao Paulo) US-EAST (Virginia) GOV CLOUD ASIA PAC (Sydney) EU-CENTRAL (Frankfurt) Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。 詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください ASIA PAC (Seoul) Beijing
  19. 19. DCレベルの障害対策 EU (Ireland) Availability Zone A Availability Zone C Availability Zone B Asia Pacific (Tokyo) Availability Zone A Availability Zone B US West (Oregon) Availability Zone A Availability Zone B US West(Northern California) Availability Zone A Availability Zone B Asia Pacific (Singapore) Availability Zone A Availability Zone B Asia Pacific (Sidney) Availability Zone A Availability Zone B South America (Sao Paulo) Availability Zone A Availability Zone B US East (Northern Virginia) Availability Zone D Availability Zone C Availability Zone B Availability Zone A EU (Frankfurt) Availability Zone A Availability Zone B Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。詳細は http://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください Availability Zone B Asia Pacific (Seoul) Availability Zone A Availability Zone B Beijing Availability Zone A Availability Zone B US Gov Cloud Availability Zone A Availability Zone B 複数DC設置におけるAWSのポリシー • 物理的に離れたデータセンター群 • 洪水を考慮 • 地盤が安定している場所 • 無停止電源(UPS)、バックアップ電源、異なる電源供給元 • 冗長化されたTier-1ネットワーク
  20. 20. • 場所の秘匿性 • 周囲の厳重なセキュリティ • 監視カメラや侵入検知システム、24時間常駐の専門の保安要員によ る物理アクセスの厳密なコントロール • 完全管理された、必要性に基づくアクセス • 2要素認証を2回以上で管理者がアクセス • 全てのアクセスは記録され、監査対象となる データセンターの物理セキュリティ AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  21. 21. • Distributed Denial of Service (DDoS)対策 • 中間者攻撃対策 • IPなりすまし対策 • 許可されていないポートスキャニング対策 – AWSサービス利用規約違反に該当 – 検出され、停止され、ブロックされる • パケットの盗聴対策 – プロミスキャスモードは不許可 – ハイパーバイザ―レベルで防御 ネットワークセキュリティ AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  22. 22. • ハイパーバイザー(ホストOS) – 承認を受けたAWS管理者の拠点ホストからの個別のログイン – 特別に設計、構築、設定された管理ホスト – 多要素認証の利用 – 全てのアクセスをロギングし監査 – 作業完了後システムへの特権とアクセス権の削除 • ゲストOS(EC2インスタンス) – お客様による完全なコントロール – 顧客が生成したキーペアを使用 論理的なセキュリティ AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  23. 23. • 従業員の雇用 – 雇用前審査の一環として適用法令が認める範囲での犯罪歴の確認 – Amazonリーガルによる機密保持契約書の管理 – 従業員はアクセス権を付与される前に機密保持契約書に署名 – 入社時研修の一環として利用規定及びAmazon業務行動倫理規定 への同意 従業員・アカウントの管理 • アカウント管理 • 人事管理システムのプロセスの一環として、一意のユーザー IDを作成 • 最小権限の適用。最小権限を越えるアクセスには適切な認証。 • 少なくとも四半期ごとのアカウントの確認 • 90日間アクティビティがないアカウントの自動的無効化 • 従業員の記録が人事システムから削除されると、アクセス権も自動的に削除 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  24. 24. • データの所有権と管理権はお客様に。 • データとサーバーを配置する物理的なリージョンはお客様が指定。 • AWS は、法令遵守または政府機関の要請によりやむをえない場合を除き、お客様のコンテンツ を指定されたリージョンから移動しない。 • 法令、または政府機関もしくは規制当局による有効かつ拘束力のある命令を遵守するために必要 な場合を除き、お客様のコンテンツを開示することはない。 • そうすることが禁止されている場合または Amazon の製品もしくはサービスの利用に関連した 違法行為の存在を明確に示すものがある場合を除き、お客様が開示からの保護を求められるよう カスタマーコンテンツの開示に先立ってお客様に通知。 • AWSでは、S3、EBS、EC2 など、ほぼすべてのサービスについて、お客様が独自の暗号化メカ ニズムを使用することを許可。(サーバーサイド暗号化、クライアントサイド暗号化、鍵の保 管・管理方法等) データセキュリティ AWS データプライバシーのよくある質問 http://aws.amazon.com/jp/compliance/data-privacy-faq/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  25. 25. • 上記の手順を用い ハードウェアデバイスが廃 棄できない場合、 デバイスは業界標準の慣行 に従って、消磁するか、物理的に破壊する ストレージの廃棄プロセス • 顧客データが 権限のない人々に流出しないようにするストレージ廃棄プロセスを保持 • DoD 5220.22-M(「National Industrial Security Program Operating Manual(国立産業セキュリティプログラム作業マニュアル)」) • NIST 800-88(「Guidelines for Media Sanitization(メディア衛生のための ガイドライン)」) AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  26. 26. AWSは主要な規制/標準/ベストプラクティスに準拠 AWSコンプライアンス http://aws.amazon.com/jp/compliance/
  27. 27. 金融機関向け『Amazon Web Services』対応 セキュリティリファレンス • 2013年10月、FISC安全対策基準(第8追補版)へのAWSの準拠状況を調査した資料をSI/ISV 8社(現在は9社)が共同で調査して一般公開 • AWSと利用者で責任分担することで、FISC安対基準を満たせるとの見解を一般公開 http://aws.amazon.com/jp/aws-jp-fisclist/ サマリー 版 詳細版 Amazon Web Services対応 セキュリティリファレンス FISC 安全対策基準 設備:138項目 運用:115項目 技術: 53項目 各基準に 対応 Amazon Web Services システム構築・運用 調査・対応案検討 各金融事業者のセキュリティ指針・監査指針 クラウドを活用したシステム 安心・安全かつ、機動性の高い金融サービスの実現 金融事業者(銀行、証券、保険等) セキュリティ対応 調査協力 作成/ 更新 支援 SCSK ISID NRI MKI TrendMicro TIS CAC
  28. 28. AWSセキュリティセンターとAWSコンプライアンス aws.amazon.com/jp/security aws.amazon.com/jp/compliance • セキュリティやコンプライアンスに関する多くの質問に対する回答 • セキュリティWhitepaper • リスクとコンプライアンス Whitepaper • セキュリティプロセス概要 Whitepaper • “Security at Scale” whitepaper シリーズ • Security bulletins • 侵入テスト申請フォーム • Securityベストプラクティス • 詳しい情報のお問い合わせ先
  29. 29. コンプライアンス情報の使いどころ 29 • AWS利用者のセキュリティ評価、チェックシートの回答等に利用 • AWSの内部に関する統制状況は基本的にホワイトペーパーや、SOC1/2・PCI等のNDA ベースで提供している情報から評価 • 公開されている情報で直接的に確認項目に回答されていないものも、提供されている情 報によりリスクを評価いただくことで問題がないかどうか検討 • または、多層的なコントロールを考えることでその確認項目に関するリスクを許容でき るものにできるか検討 • それでも許容できないリスクが残る場合はAWSにご相談を
  30. 30. リスクとコンプライアンス ホワイトペーパー • AWS のお客様が IT 環境をサポートする既存の統制フレームワークに AWS を統合する際 に役立つ情報を提供 • AWS の統制の評価に関する基本的なアプローチについて説明し、統制環境の統合の際に 役立つ情報 • 内容 • リスクとコンプライアンスの概要 • AWS統制の評価と統合 • AWSリスク及びコンプライアンスプログラム • AWS の報告、認定、およびサードパーティによる証明 • コンプライアンスに関するよくある質問と AWS • AWS へのお問い合わせ • 付録 A: CSA Consensus Assessments Initiative Questionnaire v1.1 • 付録 B: 米国映画協会(MPAA)コンテンツセキュリティモデルに対する AWS の準拠状況 • 付録 C: オーストラリア信号局 (ASD) のクラウドコンピューティングに関するセキュリティ上の考慮事項への AWS の準拠 • 付録 C: 用語集 これらの章に書かれている内容が AWSでどのような統制があるか、 どのような運用をしているかの主要 な情報源になります。
  31. 31. AWS Compliance詳細情報 • 英語のサイトの情報もご確認ください。 http://aws.amazon.com/compliance/?nc2=h_ls • 各種保証プログラムや重要項目に関するFAQ、公開資料 • PCI DSS • ISO27001/27017/27018/9001 • CSA • Data Privacy/EU Data Protection • SOC • FedRAMP • HIPAA • GxP • DoD • Compliance Latest News • ダウンロード可能な認証 • AWS ISM Letter of Compliance • AWS ISO 27001/27017/27018/9001 Certification • Multi-Tier Cloud Security Standard Level-3 (CSP) Certification • AWS SOC 3 Report 31
  32. 32. AWS Compliance 最新情報 • Consideration for Using AWS Products in GxP Systemsの発行 • GxPシステムにおいてAWS製品を使用するための包括的なアプローチについてのホワイトペーパー • AWS製品の基本的な技術内容とGxPに係る内容 • AWSをコマーシャルクラウド製品として使用する場合に、品質システムに関しての考慮事項 • AWS製品をコンポーネントとしてGxPシステムを開発、運用、検証を行う際のシステム開発のライフサイク ルに関しての考慮事項 • 規制当局に対してシステム関連の情報を提出する可能性のあるお客様に関する規制関連業務に関しての考慮 事項 • クラウド内のGxPアプリケーション https://aws.amazon.com/jp/health/life-sciences/gxp/ • GXP FDA Part 11 EU Annex 11 https://aws.amazon.com/jp/compliance/gxp-part-11-annex-11/
  33. 33. AWS Compliance 最新情報 • ISO27017 • ISO 認定エージェントである EY CertifyPointによるプライベート認証 • クラウドサービスに関係する情報セキュリティコントロールについての実装ガイダンス • 世界的に認められたベストプラクティスに対するAWSの継続的なコミットメントを示し、AWS においてクラウド サービス特有の非常に精密なコントロールが運用されていることを実証 • 対象サービスなど詳細はFAQのページを参照 https://aws.amazon.com/jp/compliance/iso-27017-faqs/ • ISO27018 • ISO 認定エージェントである EY CertifyPointによるプライベート認証 • すべてのリージョン、エッジロケーションが対象 • クラウド内の個人データ保護に焦点を合わせた最初の世界的な実務規範 • この規格に適合することで、特にコンテンツのプライバシー保護を目的とした統制システムが AWS により運用さ れていることをお客様に実証 • 対象サービスなど詳細はFAQのページを参照 https://aws.amazon.com/jp/compliance/iso-27018-faqs/
  34. 34. アジェンダ • イントロダクション • AWSのセキュリティと責任共有モデル • Security OF the Cloud • Security IN the Cloud • AWSセキュリティとAPN • 最新のトレンド・まとめ
  35. 35. AWS 基本サービス コンピュート ストレージ データベース ネットワーク AWS グローバル インフラストラクチャ リージョン アベイラビリティ ゾーン エッジ ロケーション お客様のアプリケーション・コンテンツ AWSが クラウドの セキュリティを 担当 AWS 責任共有モデル Security “IN” the Cloud ネットワーク サーバー セキュリティ インベントリ ・構成管理 データ セキュリティ アクセス コントロール
  36. 36. Security “IN” the Cloud Security “IN” the Cloud
  37. 37. Security “IN” the Cloud AWS account owner (master) Network managem ent Security managem ent Server managem ent Storage managem ent AWS IAM AWS CloudTrail EncryptionAmazon EC2 Security Group Security “IN” the Cloud Operational Check List Auditing Security Check List AWS Security Best Practice Security At Scale Governance In AWS • ネットワーク管理 • 論理アクセスコントロール • ログ管理 • データ保護 • 脆弱性対策 AWSはお客様固有の要件に適合するソ リューションの選択を可能にする柔軟性と お客様による統制が可能な環境を提供いた します • 変更管理 • リソース監視 • ビジネス継続性 ETC
  38. 38. お客様のアプリケーション・コンテンツ AWSのセキュリティツール・機能 Security “IN” the Cloud AWSとAWSのパートナーは、700以上のセキュリティサービスや、ツール、機能を提供。 既存の環境で実施していたことと同等、もしくはそれ以上のコントロールを実現可能です。 ネットワーク サーバー セキュリティ インベントリ ・構成管理 データ セキュリティ アクセス コントロール 監視・監督
  39. 39. サーバー(OS)・セキュリティ インスタンス の開始 EC2 AMIカタログ インスタンスの起動 お客様の独自インスタンス ハードニングと構成 監査とログ取得 脆弱性管理 マルウェア、IDS, IPS Whitelisting and integrity ユーザー管理 OS インスタンス 構成 OSの選択とハードニング • インスタンスサイズ、OSの選択もお客様が柔軟に構成可能 • 標準的なOSのハードニングガイドとテクニックを活用 • 最新のセキュリティパッチの適用 ホストベースの防御策の適用を考慮 • ホストベースの防御製品をプリインストール • 管理ソフトやSEIM等との接続設定の組み込み 管理者権限やユーザー管理 • 必要最小限のアクセス • パスワードや認証の管理
  40. 40. Amazon Inspector • 自動化されたホストのセキュリティ診断サービス • 診断対象のインスタンスにエージェントをインストールした後にInspectorを起 動して利用する • APIで制御できるので、開発プロセスの中に組み込むことで均質なセキュリティ 診断を自動的に実行できる • 内容についてはルールセットにより制御が可能(PCI DSSにも対応)
  41. 41. ネットワークセキュリティ Private Subnet 172.16.0.0/24 Public Subnet 172.16.1.0/24 CIDR : 172.16.0.0/16 CIDR : 10.0.0.0/8 Subnet 10.0.0.0/24 NACL NACL SG SG 社内システム IPSec VPN or 専用線 インターネット CGWVGW VPC Peering • お客様専用の仮想ネットワークを構築可能 • サブネットとルーティングによるセグメンテーション • 組み込まれたFirewall機能の利用。商用製品の利用も可能 • オンプレ環境とのVPN・専用線接続 • 他VPCとPeering接続機能
  42. 42. 論理的アクセスコントロール AWS Identity and Access Management (IAM) AWSサービスとリソースへの厳格なアクセス・コントロールが可能 • アカウントごとのユーザとグループの作成 • AWSマネージメントコンソールのユーザログオンサポート • セキュリティクレデンシャル – アクセスキー – ログイン/パスワード – 多要素認証デバイス(オプション) • AWS APIを使ったアクセスコントロールポリシー • API コールは以下のサインどちらかが必須: – X.509 certificate – シークレットキー • 幾つかのサービスではより厳格なインテグレーション – S3: オブジェクト及びバケット毎のポリシー設定 AWS account owner (master) Network management Security management Server management Storage management 豊富な多要素認証デバイス
  43. 43. • ポリシー作成を支援する機能も充実 • 事前定義されAWSが管理してくれるAWS管理ポリシー • IAMポリシーの作成ツール • IAMポリシーのシミュレーションツール • IAMポリシーの文法チェック 利用者へのIAM権限付与の例 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:RebootInstances" ], "Condition": { "StringEquals": { "ec2:ResourceTag/SystemName": “system-name" } }, "Resource": ["*"] }, { "Effect": "Allow", "Action": ["ec2:Describe*"], "Resource": ["*"] } ] } 特定のタグがついたEC2の停止/削除権限 API単位でのコントロール
  44. 44. 構成変更管理・インベントリ AWSサービスのリソースに関する情報は管理コンソール上に集約され確認が可能。資産情報 を分類するためのタグ情報も付与可能。そうした情報をAPIにより取得することもできま す。
  45. 45. 構成変更管理・インベントリ • お互いに密接な関係にあるリソース – インスタンスやサーバーに適用されたパーミッション – Amazon EC2インスタンスにアタッチされたAmazon EBSボリューム – Amazon EC2インスタンスに構成されたネットワーク インターフェース – VPCやそのサブネットに配置されたインスタンス AWS Configにより、AWSサービスのリソースに関係する変更を時系列で表示し、加え られた変更の追跡と把握を行うことが可能
  46. 46. データセキュリティ AWSサービス 機能 SSE SSE with KMS SSE with CloudHSM CSE EBS 仮想Disk 〇 〇 N/A 〇 S3 オブジェクトストレージ 〇 〇 N/A 〇 Glacier アーカイビング 〇 N/A N/A 〇 RDS RDBMS 〇 〇 Oracle 〇 Redshift DWH 〇 〇 〇 〇 ElastiCache インメモリキャッシュ N/A N/A N/A 〇 DynamoDB NoSQL DB N/A N/A N/A 〇 AWSではAWSのサービス側で暗号化を行うServer Side Encryption(SSE)や、クライアント側で行う Client Side Encryption(CSE)の他に、暗号鍵の保管の仕方等、要件に応じた様々な方法を選択するこ とが可能 RDS 上記の表内のAWSサービスは一例です
  47. 47. AWS Key Management Service AWSでは暗号鍵を管理する鍵管理環境を提供 • 暗号鍵の作成、管理、運用サービス – 暗号鍵の可用性、機密性を確保 – 暗号鍵の有効化・無効化、ローテーションをサポート – S3, EBS, Redshift等のAWSサービスにおけるデータを暗号化 – SDKとの連携でお客様の独自アプリケーションデータを暗号化 – 低コストで使用可能 • サポートしているサービス(2016/3現在) Customer Master Key(s) Data Key 1 Amazon S3 Object Amazon EBS Volume Amazon Redshift Cluster Data Key 2 Data Key 3 Data Key 4 Custom Application AWS KMS Category Supported Services Database Redshift , RDS Storage and Content Delivery S3 , EBS , Import/Export , Snowball Application Services Elastic Transcoder , SES Enterprise Applications WorkMail , WorkSpaces Management Tools CloudTrail
  48. 48. AWS CloudHSM • 特徴 – AWSクラウド内のお客様専用ハードウェアセキュリティモジュール(HSM)アプライアンス (SafeNet LunaSA7000) – 暗号化キーやHSMによって実行される暗号化操作を管理 – 情報セキュリティ国際評価基準(Common Criteria EAL4+)および米国政府規制基準(NIST FIPS 140-2)に準拠 – CloudTrailやsyslogの使用によるコンプライアンス監査 AWS サービスおよびリソースへのアクセスを安全にコントロール AWS Virtual Private Cloud CloudHSM VPC インスタンス SSL App HSM Client 【サポートされているリージョン】 ・米国東部(バージニア北部) ・米国西部(オレゴン) ・米国Govクラウド ・欧州(アイルランド) ・欧州(フランクフルト) ・アジアパシフィック(シドニー) ・アジアパシフィック(東京) ・アジアパシフィック(シンガポール)
  49. 49. CloudTrailでAWSのサービスに対する各種APIログを取得可能 http://aws.amazon.com/jp/cloudtrail/ 監視・監督 • APIを呼び出した身元(Who) • APIを呼び出した時間(When) • API呼び出し元のSource IP(Where) • 呼び出されたAPI(What) • APIの対象となるAWSリソース(What) • 管理コンソールへのログインの成功・失敗
  50. 50. CloudWatch Metrics Amazon Linux Ubuntu Windows Red Hat Linux CloudWatch Logs CloudWatch Alarm SNS Log Agent Log Agent Log Agent Log Agent VPC Flow Log Kinesis 監視・監督 OSにはLog Agentの導入が 必要です CloudWatch Logsにログを ためます フィルター などを使い ログの監視 閾値を超えた 場合はAlarm をあげます CloudWatch LogsでOS上の各種ログやVPC Flow LogsといったAWSのログも収集・監視 https://aws.amazon.com/jp/cloudwatch/
  51. 51. 監視・監督 2013年よりサービス開始 コスト最適化、セキュリティ、可用性、 パフォーマンスの4つのカテゴリから AWSの利用状態を評価 170万のベストプラクティス 3億ドルを超えるコスト削減を通知 2014/7/31より、47のチェック項目中、 4項目をすべてのユーザに開放 利用者のAWS環境をAWSのベストプラクティスを元に評価するTrusted Advisorを用いて、原因が把握 されていない未達のチェック項目がないか確認をしてください。Notificationの設定も行うことができま す。 https://aws.amazon.com/jp/premiumsupport/trustedadvisor/
  52. 52. アジェンダ • イントロダクション • AWSのセキュリティと責任共有モデル • Security OF the Cloud • Security IN the Cloud • AWSセキュリティとAPN • 最新のトレンド・まとめ
  53. 53. Security “IN” the Cloud Security “OF” the Cloud http://aws.amazon.com/jp/compliance/ セキュリティ・コンプライアンス = 共有責任 ・お客様、業界固有の要件を柔軟に達成可能 ・データやインスタンスに対する統制権はお客様が保持 ・世界中のリージョンにおいて、共通の統制を維持可能 ・世界中のリージョンにおいて、共通の統制 ・お客様のコンプライアンス・スコープの範囲を軽減 ・セキュリティ・コンプライアンス関連サービスの提供 AWSの責任共有モデル
  54. 54. Security “IN” the Cloud AWSの責任共有モデルとAPN Security “OF” the Cloud http://aws.amazon.com/jp/compliance/ セキュリティ・コンプライアンス = 共有責任 ・世界中のリージョンにおいて、共通の統制目標を管理 ・お客様のコンプライアンス・スコープの範囲を軽減 ・セキュリティ・コンプライアンス関連サービスの提供 ・お客様、業界固有の要件を柔軟に達成可能 ・データやインスタンスに対する統制権はお客様が保持 ・世界中のリージョンにおいて、共通の統制を維持可能 ・多種多様なAPNパートナーソリューションを選択可能 * APN = Amazon Web Services Partner Network
  55. 55. https://aws.amazon.com/marketplace お客様がEC2の上で動作する必要なソフトウェアやサービスを見つけ出し て購入し、素早く使用開始するためのオンラインストアです。 お客様は、すぐにデモを体験可能な、設定済みの アプリケーションを含むプ ライベートサンドボックス環境を短時間でデプロイできます。 エンタープライズソリューションスタックを使用できるよう、約半日分の AWS 使用料を無料にて、お客様にご提供します。 https://aws.amazon.com/jp/testdrive/ APNパートナーソリューション
  56. 56. AWS Marketplace https://aws.amazon.com/marketplace
  57. 57. http://aws.typepad.com/aws_partner_sa/2015/06/how_to_use_esp-catalog2015.html AWSパートナーとのエコシステム ビジネスアプリケーション アナリティクス セキュリティ データ連携 ネットワーク/ストレージ 開発/運用 “AWS ESPカタログ”で検索
  58. 58. アジェンダ • イントロダクション • AWSのセキュリティと責任共有モデル • Security OF the Cloud • Security IN the Cloud • AWSセキュリティとAPN • 最新のトレンド・まとめ
  59. 59. Security by Design (SbD) • AWS アカウントの設計の規格化、セキュ リティ制御の自動化、および監査の合理化 のためのセキュリティ保証アプローチ • セキュリティを遡及的に監査するのではな く、AWSのIT管理プロセス全体にセキュ リティ制御を組み込む Identity & Access Management CloudTrail CloudWatch Config Rules Trusted Advisor Cloud HSMKey Management Service Directory Service https://aws.amazon.com/jp/compliance/security-by-design/
  60. 60. SbDのアプローチ 1.2 AWSに移すワークロードの識別 2.1 セキュリティ要件の整理 2.2 データ保護と統制の定義 2.3 セキュリティアーキテ クチャーの文書化 3.1 セキュリティアーキテ クチャーの構築 1. 要件を把握する 2. セキュリティ要 件の分析と文書化 1.1 ステークホルダーの確認 3. 環境構築と自 動化、監視 3.2 運用の自動化 4. 検証と監査 3.3 継続的な監視 4.1 監査と認証 3.4 テスト
  61. 61. セキュリティ関連の運用自動化 • CloudFormationを用いてセキュリティ要件を満たす設計をテンプレート化 • 必要となるセキュリティの設定や、利用インスタンス、リソースをパッケージ化 • Service Catalogを利用した環境の展開 CloudFormation Service CatalogStack Template インスタンス Appsリソース Stack Stack 設計 パッケージ化 Products Portfolios 展開制限 Identity & Access Management パーミッション
  62. 62. 継続的な監視 AWS Security and Compliance Security OF the Cloud Security IN the Cloud のためのサービス群 Service Type Use cases APIログの取得 AWS環境の操作に関するログの取得 リソース・ログ監視 AWSサービスのリソース監視と各種 ログの収集・モニタリング 変更管理 AWSサービスの変更記録とトラッキ ング オンデマンドの評価 EC2インスタンス内の導入される OS・アプリケーションのセキュリ ティ分析 継続的な評価 変更による誤設定検知、ベストプラ クティスの維持、脆弱性の検知 定期的な評価 コスト、パフォーマンス、信頼性、 セキュリティの観点からの広範な調 査 Inspector Config Rules Trusted Advisor AWS Config Cloud Trail Cloud Watch
  63. 63. SbDの狙い • 権限のないユーザーの変更を防止する強制的な機能を作成する。 • 制御を確実に実行できるようにする。 • 継続的でリアルタイムな監査を実現する。 • お客様のガバナンスポリシーを技術的にスクリプト化する。 • 結果としてセキュリティ要件を満たす環境の構築を自動化し維持する。 Automate Governance Automate Deployments Automate Security Operations Continuous Compliance & Audit Reporting
  64. 64. まとめ  責任共有モデルに基づき、基盤のセキュリティ・統制はAWSが責任を持って実施  AWS上に構築するシステムの構成・設定に関するセキュリティ・統制はお客様の 責任により実施  AWSはお客様を助ける様々なセキュリティ関連機能を提供  更に固有のセキュリティ要件がある場合はAPNパートナーの製品の利用も検討  自動化やAPIによる制御といったAWSの特性をセキュリティやコンプライアンス にも活かすことで効果的な統制環境を構築
  65. 65. Security for the Cloud Security “IN” the Cloud Security “OF” the Cloud
  66. 66. • AWS URL – AWS Securityページ • http://aws.amazon.com/jp/security – AWS Complianceページ • http://aws.amazon.com/jp/compliance セキュリティ・コンプライアンス情報
  67. 67. Q&A
  68. 68. 詳しくは、http://aws.amazon.com/training をご覧ください メリット • AWS について実習や実践練習を通じ て学習できる • AWS を熟知したエキスパートから直 接 AWS の機能について学び、疑問の 答えを得られる • 自信をもって IT ソリューションに関 する決定を下せるようになる 提供方法 e ラーニングや動画 セルフペースラボ クラスルーム トレーニング AWSトレーニングでは様々な学習方法をご提供しています
  69. 69. 公式Twitter/Facebook AWSの最新情報をお届けします @awscloud_jp 検索 最新技術情報、イベント情報、お役立ち情報、お得なキャンペーン情報などを 日々更新しています! もしくは http://on.fb.me/1vR8yWm
  70. 70. AWSの導入、お問い合わせのご相談 • AWSクラウド導入に関するご質問、お見積り、資料請 求をご希望のお客様は、以下のリンクよりお気軽にご相 談ください https://aws.amazon.com/jp/contact-us/aws-sales/ ※「AWS 問い合わせ」で検索してください
  71. 71. ご清聴ありがとうございました!

×