Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Security Strategy by the Cloud in AWS / AWS におけるセキュリティ対策の考え方

2,930 views

Published on

This deck was presented in session 1 "Security Strategy by The Cloud in AWS" of AWS Security Seminar held on July 21, 2016.

2016/7/21「AWS で実現するセキュリティ対策」セミナー
セッション1「AWS におけるセキュリティ対策の考え方」の資料です。
https://aws.amazon.com/jp/about-aws/events/2016/security-20160721/

Published in: Internet
  • Login to see the comments

Security Strategy by the Cloud in AWS / AWS におけるセキュリティ対策の考え方

  1. 1. アマゾンウェブサービス株式会社 セキュリティソリューションアーキテクト 桐山 隼人 Amazon Web Services におけるセキュリティ対策の考え方
  2. 2. クラウドにおけるセキュリティの考え方 最適なセキュリティの獲得 AWSが提供するクラウドセキュリティ セッションの内容
  3. 3. クラウドにおけるセキュリティの考え方 最適なセキュリティの獲得 AWSが提供するクラウドセキュリティ ここからの内容
  4. 4. AWS Summit Tokyo 2016 100+ セッション 50+ ゲストスピーカー 13,000+ 名の来場者
  5. 5. 変化に積極的になる 自分たちのビジネス市場を破壊しなければ、 必ず他社があなたのビジネス市場を破壊してしまう Eric Tucker, IT Chief Technology Officer, GE Global Research
  6. 6. 『クラウドを前提』とした設計・物事の 考え方がされるようになって来ています いわゆる『ニューノーマル』な考え方です この考え方が加速されて来ています 長崎 忠雄, アマゾン ウェブ サービス ジャパン社長
  7. 7. 「所有」から「利用」へ 電力 計算力 自家発電装置 電力会社から購入 オンプレミスサーバー クラウドサービスプロバイダから購入
  8. 8. ITキャパシティ(オンプレミスの場合) 急成長やM&A 予測できないピーク キャパシティ不足:機会損失 余剰キャパシティ余剰キャパシティ
  9. 9. 急成長やM&A 予測できないピーク IT余剰と不足からの解放 ITキャパシティ(クラウドの場合) IT余剰からの解放 サイジングからの解放
  10. 10. クラウドの価値 改善 Improvement より早く、簡単に、安くできる 革新 Innovation 今までできなかったことができる
  11. 11. クラウドの価値 改善 Improvement より早く、簡単に、安くできる 革新 Innovation 今までできなかったことができる 破壊 Disruption 良しとされてきた価値を無にする 「ノーマル」から「ニューノーマル」へ
  12. 12. 今行っているセキュリティ 対策は有効なのか? どこまでセキュリティへ 投資したら良いのか? セキュリティの「ノーマル」な悩み コスト最適なのか?
  13. 13. セキュリティROIは求められるのか? Return Investment セキュリティ対策 により防げた損失 純粋な セキュリティ投資
  14. 14. 損失額が想定できない 本スライドは投影のみ Return
  15. 15. セキュリティはビジネスを支える ファブリック(基本の骨組み)であり、 ITという生地の中に必然的に 織り込まれている存在 Mark McLaughlin President & CEO, Palo Alto Networks セキュリティ投資だけ取り出せないInvestment
  16. 16. セキュリティの考え方の 「ニューノーマル」とは?
  17. 17. 適応型セキュリティ システムの要塞化・隔離 攻撃の抑制 問題の阻止 問題の検出 リスクの検証と 優先付け 問題の抑制調査/フォレンジック 設計/モデル変更 回復・修復 定常状態の把握 攻撃の予測 事前のリスク分析 継続的 監視と分析 Gartner’s Adaptive Security Architecture 予測 防御 検知対応
  18. 18. クラウドが適応型セキュリティを加速 改善 Improvement セキュリティビッグデータ、 分析インテリジェンスが簡単に手に入る 革新 Innovation 全ての社内リソースが可視化される 破壊 Disruption セキュリティにゴールが無くなった 予測 防御 検知 対応 継続的監視と分析
  19. 19. 「ROI」から「変化適応」へ 「ノーマル」 「ニューノーマル」 考え方 投資対効果(ROI)を追求 変化への適応を追求 イメージ 0 1 2 3 4 変化するセキュリティリスク 最適なセキュリティレベル
  20. 20. クラウドにおけるセキュリティの考え方 • 適応型セキュリティという「ニューノーマル」 最適なセキュリティの獲得 AWSが提供するクラウドセキュリティ ここまでのまとめ
  21. 21. クラウドにおけるセキュリティの考え方 • 適応型セキュリティという「ニューノーマル」 最適なセキュリティの獲得 AWSが提供するクラウドセキュリティ ここからの内容
  22. 22. セキュリティリスクから考える セキュリティレベルに 応じて、選択すべき セキュリティ管理策が 推奨される NIST SP800-53 連邦政府情報システムにおける推奨セキュリティ管理策 セキュリティリスク の把握と実現する セキュリティレベルを 踏まえた目標と計画 経済産業省サイバーセキュリティ経営ガイドライン http://www.meti.go.jp/press/2015/12/20151228002/20151228002-2.pdf http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf
  23. 23. セキュリティリスクの方程式 脅威 脆弱性 情報資産 Threats Vulnerabilities Assets 標的型攻撃 マルウェア サイバー攻撃 セキュリティホール 設定ミス 心理的要素 機密情報 個人情報 知的財産
  24. 24. リスクは常に変化する 脅威 脆弱性 情報資産 Threats Vulnerabilities Assets 企業ニュース 社会イベント 風評 資産投資 組織拡大・変更 人材獲得・配置 ビジネス成長 業態拡大・変更 アセット拡充
  25. 25. セキュリティレベルを適応させる 変化するセキュリティリスク 最適なセキュリティレベル
  26. 26. 変化適応度に応じたセキュリティの種類分け 固定的な セキュリティ 企業毎の 構成・設定による セキュリティ 利用者毎・ 状況毎の セキュリティ 施設 サーバー ネットワーク 暗号化 脆弱性管理 ファイヤウォール ユーザー認証 セキュリティ診断 インシデント・レスポンス 変化適応度 高 中 低 種類 具体例 設備 ストレージ ハイパーバイザー ログ管理 アンチマルウェア IPS/IDS アクセス制御 セキュリティ監査 フォレンジック
  27. 27. 電力 需要 0 6 12 18 24(時) 原子力発電 火力発電 (揚水式) 水力発電 出典:「原子力・エネルギー」図面集2015 1-2-11の図を説明のために改変 [参考] 需要の変化に対応した電力の組み合わせ
  28. 28. 力 要 0 6 12 18 24(時) 原子力発電 火力発電 (揚水式) 水力発電 出典:「原子力・エネルギー」図面集2015 1-2-11の図を説明のために改変 [参考] 変化適応とコスト最適なベストミックス 変化適応度 高 中 低 コスト 高 中 低
  29. 29. セキュリティ・ベストミックスセキュリティレベル 固定的なセキュリティ 変化適応度 高 中 低 コスト 高 中 低 企業毎の構成・設定によるセキュリティ 利用者毎・状況毎のセキュリティ
  30. 30. クラウドにおけるセキュリティの考え方 • 適応型セキュリティという「ニューノーマル」 最適なセキュリティの獲得 • 変化適応度に基づくセキュリティ・ベストミックス AWSが提供するクラウドセキュリティ ここまでのまとめ
  31. 31. クラウドにおけるセキュリティの考え方 • 適応型セキュリティという「ニューノーマル」 最適なセキュリティの獲得 • 変化適応度に基づくセキュリティ・ベストミックス AWSが提供するクラウドセキュリティ ここからの内容
  32. 32. AWS責任共有モデル 固定的な セキュリティ 企業毎の 構成・設定による セキュリティ 利用者毎・ 状況毎の セキュリティ AWSがクラウド自体の セキュリティを統制 お客様がクラウドにおける 顧客情報資産の セキュリティを統制
  33. 33. AWS責任共有モデル AWSがクラウド自体の セキュリティを統制 お客様がクラウドにおける 顧客情報資産の セキュリティを統制 企業毎の 構成・設定による セキュリティ 利用者毎・ 状況毎の セキュリティ 固定的な セキュリティ
  34. 34. リージョン US-WEST (N. California) EU-WEST (Ireland) ASIA PAC (Tokyo) ASIA PAC (Singapore) US-WEST (Oregon) SOUTH AMERICA (Sao Paulo) US-EAST (Virginia) GOV CLOUD ASIA PAC (Sydney) シンガポール シドニー 東京 アイルランド サンパウロ 北カリフォルニア オレゴン バージニア Gov Cloud フランクフルト EU-CENTRAL (Frankfurt) 北京 Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。 詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください ASIA PAC (Seoul) ソウル Beijing AWS グローバルインフラストラクチャー
  35. 35. アベイラビリティゾーン アベイラビリティ・ゾーンによる可用性 US-WEST (N. California) EU-WEST (Ireland) ASIA PAC (Tokyo) ASIA PAC (Singapore) US-WEST (Oregon) SOUTH AMERICA (Sao Paulo) US-EAST (Virginia) GOV CLOUD ASIA PAC (Sydney) EU-CENTRAL (Frankfurt) Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。 詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください ASIA PAC (Seoul) Beijing
  36. 36. データセンターレベルの障害対策 EU (Ireland) Availability Zone A Availability Zone C Availability Zone B Asia Pacific (Tokyo) Availability Zone A Availability Zone B US West (Oregon) Availability Zone A Availability Zone B US West(Northern California) Availability Zone A Availability Zone B Asia Pacific (Singapore) Availability Zone A Availability Zone B Asia Pacific (Sidney) Availability Zone A Availability Zone B South America (Sao Paulo) Availability Zone A Availability Zone B US East (Northern Virginia) Availability Zone D Availability Zone C Availability Zone B Availability Zone A EU (Frankfurt) Availability Zone A Availability Zone B Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。詳細は http://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください Availability Zone B Asia Pacific (Seoul) Availability Zone A Availability Zone B Beijing Availability Zone A Availability Zone B US Gov Cloud Availability Zone A Availability Zone B 複数DC設置におけるAWSのポリシー • 物理的に離れたデータセンター群 • 洪水を考慮 • 地盤が安定している場所 • 無停止電源(UPS)、バックアップ電源、異なる電源供給元 • 冗長化されたTier-1ネットワーク
  37. 37. • 場所の秘匿性 • 監視カメラや侵入検知システム 24時間常駐の専門の保安要員による 物理アクセスの厳密なコントロール • 2要素認証を2回以上で管理者がアクセス • 全てのアクセスは記録され、監査対象となる データセンターの物理セキュリティ AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  38. 38. • Distributed Denial of Service (DDoS)対策 • 中間者攻撃対策、IPなりすまし対策 • パケットの盗聴対策 – プロミスキャスモードは不許可 – ハイパーバイザ―レベルで防御 • 許可されていないポートスキャニング対策 – AWSサービス利用規約違反に該当 – 検出され、停止され、ブロックされる ネットワークセキュリティ AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  39. 39. • ハイパーバイザー(ホストOS) – 承認を受けたAWS管理者の拠点ホストからの個別のログイン – 多要素認証の利用 – 全てのアクセスをロギングし監査 – 作業完了後システムへの特権とアクセス権の削除 • ゲストOS(EC2インスタンス) – お客様による完全なコントロール – 顧客が生成したキーペアを使用 論理的なセキュリティ AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  40. 40. • 従業員の雇用 • 適用法令が認める範囲での犯罪歴の確認 • アクセス権を付与前に機密保持契約書に署名 • 利用規定、Amazon業務行動倫理規定への同意 従業員・アカウントの管理 • アカウント管理 • 最小権限の適用。最小権限を越えるアクセスには適切な認証。 • 少なくとも四半期ごとのアカウントの確認 • 90日間アクティビティがないアカウントの自動的無効化 • 人事システムから削除されると、アクセス権も自動的に削除 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  41. 41. • データの所有権と管理権はお客様に。 • データとサーバーを配置する物理的なリージョンはお客様が指定。 • 法令や規制当局による命令を遵守するために必要な場合を除き、お 客様のコンテンツをリージョンから移動または開示することはない。 • そうすることが禁止されている場合、または違法行為の存在を明確 に示すものがある場合を除き、お客様のコンテンツの開示に先立っ てお客様に通知。 • AWSのほぼすべてのサービスについて、お客様が独自の暗号化メカ ニズムを使用することが可能 データセキュリティ AWS データプライバシーのよくある質問 http://aws.amazon.com/jp/compliance/data-privacy-faq/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  42. 42. ストレージの廃棄プロセス • 顧客データが権限のない人々に 流出しないようにするストレー ジ廃棄プロセスを保持 • DoD 5220.22-M (国立産業セキュリティプログラム作業マニュアル) • NIST 800-88 (メディア衛生のための ガイドライン) AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  43. 43. AWSは主要な規制/標準/ベストプラクティスに準拠 AWSコンプライアンス http://aws.amazon.com/jp/compliance/
  44. 44. クラウドにおけるセキュリティの考え方 • 適応型セキュリティという「ニューノーマル」 最適なセキュリティの獲得 • 変化適応度に基づくセキュリティ・ベストミックス AWSが提供するクラウドセキュリティ • 高レベル・低コストの固定的なセキュリティ ここまでのまとめ
  45. 45. クラウドにおけるセキュリティの考え方 • 適応型セキュリティという「ニューノーマル」 最適なセキュリティの獲得 • 変化適応度に基づくセキュリティ・ベストミックス AWSが提供するクラウドセキュリティ • 高レベル・低コストの固定的なセキュリティ セッションのまとめ
  46. 46. この後のセッション 固定的な セキュリティ 企業毎の 構成・設定による セキュリティ 利用者毎・ 状況毎の セキュリティ セッション1 AWSにおけるセキュリティ対策の考え方 桐山隼人 セッション2 AWS における グローバルでの セキュリティ ケーススタディ Hart Rossman, Eugene Yu セッション3 AWS のサービスを 利用したセキュリティ 対策の実装について 高田 智己

×