Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

JAWS-UG 初心者支部_20151127

2,119 views

Published on

安心してください、やってますよ。〜○○○も認めるセキュリティへの取り組み〜

Published in: Technology

JAWS-UG 初心者支部_20151127

  1. 1. 安心してください、やってますよ。 〜○○○も認めるセキュリティへの取り組み〜 株式会社D2C ドコモ事業本部 技術開発部 金澤幸治 2015年11月27日(金)
  2. 2. 2 D2C?
  3. 3. 3 株式会社D2C × ・デジタルマーケティング事業 ・ドコモ事業 ・海外事業
  4. 4. 4 誰?
  5. 5. 5 自己紹介 名前 : 金澤 幸治(かなざわ こうじ) 所属 : 株式会社D2C ドコモ事業本部 技術開発部 仕事 :広告配信システムの開発・運用を担当している部署のマネージャー      (10月まで、全社の情報セキュリティ・システム監査もみてました)       PMP(米国PMI)、認定スクラムマスター、認定スクラムプロダクトオーナー 好きなAWSのサービス:Amazon Machine Learning 趣味:読書、ダイエット   個人情報:恐妻家           kozykana   ⇒この10年で10キロの増減を4,5回繰り返す・・・  ⇒ でも、自分の奥さんを「鬼嫁」と言われると怒る
  6. 6. 6 今日のお話し ①はじめに ②AWS導入までの話 ③セキュリティに対する取り組み ④おまけ&まとめ
  7. 7. 7 ①はじめに
  8. 8. 8 ①はじめに いきなりですが
  9. 9. 9 ①はじめに 親会社の言うことは、絶対〜!!(笑)
  10. 10. 10 ①はじめに ○T○ド○モ
  11. 11. 11 ①はじめに D2Cのシステムは ド○モの基準に準拠しています
  12. 12. 12 ①はじめに 高品質!品質  ⇒ SLA  ⇒ 納期  ⇒ セキュリティ ⇒ 通信会社と同等のセキュリティ!! 落としちゃダメ! 厳守!
  13. 13. 13 ①はじめに 要求が高い。。。
  14. 14. 14 ①はじめに やっている方は面倒くさいが、 なかなか出来ない経験を得られる。 大変だ
  15. 15. 15 ②AWS導入までの話
  16. 16. 16 ②AWS導入までの話 ちょっと、懐かしい話をします。
  17. 17. 17 ②AWS導入までの話 あれは今からまだ7〜8年以上前・・・・・・
  18. 18. 18 ②AWS導入までの話 「オンプレ」や「クラウド」 なんて言葉もない時代
  19. 19. 19 ②AWS導入までの話 携帯電話と言えば、 まだ「ガラケー」
  20. 20. 20 ②AWS導入までの話 余談:フューチャーフォン     フィーチャーフォン
  21. 21. 21 ②AWS導入までの話 インターネット ケータイインターネット ≒
  22. 22. 22 ②AWS導入までの話 キャリア網 通信キャリア キャリアGateWay 携帯端末 コンテンツ 提供企業 専用 ネットワーク インターネット
  23. 23. 23 ②AWS導入までの話 ・通信はキャリア網で安全 ・JavaScriptは使えない ・トラフィックも予測可能(かつ少ない)
  24. 24. 24 ②AWS導入までの話 かなり古いOS/ ミドルウェアを使っていても ⇒なんとかなんじゃね?
  25. 25. 25 ②AWS導入までの話 不自由だけど安全
  26. 26. 26 ②AWS導入までの話 そんな時代でした
  27. 27. 27 ②AWS導入までの話 時は流れ・・・・・・
  28. 28. 28 ②AWS導入までの話 携帯電話と言えば「スマホ」
  29. 29. 29 ②AWS導入までの話 ・通信はインターネット回線 ・PCと同じScriptが使えてしまう ・トラフィックが予測不可能
  30. 30. 30 ②AWS導入までの話 自由だけどセキュリティに注意を 払わなければならない
  31. 31. 31 ②AWS導入までの話 クラウドの登場!
  32. 32. 32 ②AWS導入までの話 でも、
  33. 33. 33 ②AWS導入までの話 クラウドサービスなんてもってのほか 親会社も同じ方針
  34. 34. 34 ②AWS導入までの話 「情報資産はデータセンターに格納した サーバ上で管理しなければならない。」
  35. 35. 35 ②AWS導入までの話 クラウドって、大丈夫なの?
  36. 36. 36 ②AWS導入までの話 なんか、クラウドは使ってはいけない 「暗黙の了解」縛り
  37. 37. 37 ②AWS導入までの話 ・「パトリオット法」問題 ・性能が良くない ・セキュリティに問題がある なんて都市伝説を 自分に都合のいいように解釈して 自分を慰めてました。。。
  38. 38. 38 ②AWS導入までの話 転機は、忘れもしない2013年
  39. 39. 39 ②AWS導入までの話 2013 re:Invent
  40. 40. 40 ②AWS導入までの話
  41. 41. 41 ②AWS導入までの話 使えるなら
  42. 42. 42 ②AWS導入までの話 まずは使ってみる
  43. 43. 43 ②AWS導入までの話 最初は遠隔地バックアップ のリプレイスで利用
  44. 44. 44 ②AWS導入までの話 AWS cloud corporate data center virtual private cloud
  45. 45. 45 ②AWS導入までの話 これで大きな効果を得る (コスト30分の1に減)
  46. 46. 46 ②AWS導入までの話 AWS導入の際に背中を押してくれたポイント ・第3者認証を数多く取得している/  FBIも使っている ・導入事例が豊富 ・セキュリティ要件を満たせる
  47. 47. 47 ②AWS導入までの話
  48. 48. 48 ②AWS導入までの話 自社で賄おうとしても無理!!
  49. 49. 49 ②AWS導入までの話 AWS導入の際に背中を押してくれたポイント ・第3者認証を数多く取得している/  FBIも使っている ・導入事例が豊富 ・セキュリティ要件を満たせる ・親会社(ド○モ)が使っている
  50. 50. 50 2015年10月にリリースした 広告配信システムでAWSを全面採用! ②AWS導入までの話
  51. 51. 51 ③セキュリティに対する取り組み
  52. 52. 52 ③セキュリティに対する取り組み サービスリリース前は セキュリティチェック必須
  53. 53. 53 ③セキュリティに対する取り組み チェック項目は、250以上!
  54. 54. 54 ③セキュリティに対する取り組み 一例を ・権限管理、アカウント管理、PC管理ポリシー 【クラウド利用の際は】 ・第3者認証を取得していること ・撤退時の条件が確認できているのか? ・(クラウドサービスは)安全な場所のデータセンター を使っているのか?
  55. 55. 55 ③セキュリティに対する取り組み チェックリスト以外にも、 ネットワーク&アプリケーションの 脆弱性診断試験
  56. 56. 56 ③セキュリティに対する取り組み 脆弱性診断試験時はAWSに伝えてください
  57. 57. 57 プライバシーマークとISMS(ISO27001)も 取得しているので、 それらに準拠した独自のガイドライン ③セキュリティに対する取り組み
  58. 58. 58 ③セキュリティに対する取り組み ・アクセス制御ルール ・ログの保存期間 ・業務委託先のチェック ・情報資産管理と漏洩時のリスク をチェック
  59. 59. 59 ③セキュリティに対する取り組み 目的はなんだっけ?
  60. 60. 60 ③セキュリティに対する取り組み AWSにおけるセキュリティの取り組み
  61. 61. 61 「AWS」「セキュリティ」 といえば、共有責任モデル ③セキュリティに対する取り組み
  62. 62. 62 ・仮想インフラ ・ネットワークインフラ ・物理インフラ ・物理セキュリティ ・ファシリティ ・アカウント管理 ・セキュリティグループ ・アプリケーション ・ネットワーク設定 ・OS 共有責任モデル ユーザー AWS ③セキュリティに対する取り組み
  63. 63. 63 ③セキュリティに対する取り組み OS以上は自分たちで守る
  64. 64. 64 ③セキュリティに対する取り組み ・AWSのアカウント管理を行う機能 ・必要なユーザーに必要な権限を与え、 必要なアクセスのみを許可できる ・権限の設定は適切か、見直しがなされているのか? 定期的な確認が必要 ・ルートアカウントと呼ばれるAWSアカウントではなく、 IAMを利用 IAM(Identity and Access Management)
  65. 65. 65 ③セキュリティに対する取り組み ・AWSのAPIコールのログを管理することが出来る ・どのアカウントがいつ何を行ったかが、記録可能  ⇒問題発生時の原因追跡、再発予防につなげる ・IAMやS3バケットのポリシーを利用して  ログファイルのアクセス制御も可能 ・ログは半永続的に保存 Cloudtrail
  66. 66. 66 ③セキュリティに対する取り組み VPC(Virtual Private Cloud)/DirectConnect ・グローバルIPを持たずインターネットと通信をしない  セキュアな環境を作ることが可能 ・専用線(Direct Connect)接続を利用することで、  既存の物理的なデータセンターと同等の  セキュリティ環境を整えることが可能 ・使ってみるとセキュリティよりも、回線速度が◎
  67. 67. 67 ③セキュリティに対する取り組み セキュリティグループ  ・仮想ファイアーウォール   ⇒不要なPortやアクセスを閉じる MFA(Multi-Factor Authentication)  ・多要素認証 暗号化  ・通信、データ その他
  68. 68. 68 ③セキュリティに対する取り組み セキュリティは運用も大事
  69. 69. 69 ③セキュリティに対する取り組み ・緊急の脆弱性対応 ・年次の点検 も実施
  70. 70. 70 ③セキュリティに対する取り組み 「完全に防ぐ」という観点も必要だが、 「被害を最小限にする」観点も必要
  71. 71. 71 おまけ
  72. 72. 72 おまけ re:Inventに行けなかった人間が、re:Inventで 発表されたセキュリティ関連サービスを試してみた件 少し
  73. 73. 73 ④おまけ re:Invent2015セキュリティ関連 1.AWS WAF
  74. 74. 74 ④おまけ re:Invent2015セキュリティ関連 ・WAFとは?  ⇒Web Application Firewallの略、    Webアプリケーションへの攻撃を防ぐための機能 ・CloudFrontと連動 ・XSS/SQLインジェクション対策、特定UserAgent・  IPアドレスからの攻撃を防御 ・あくまでWAFこれだけでは不十分 mobile client CloudFront Web App Firewall EC2
  75. 75. 75 2.Amazon Inspector ④おまけ re:Invent2015セキュリティ関連
  76. 76. 76 ④おまけ re:Invent2015セキュリティ関連 ・Amazon Inspectorとは  ⇒自動セキュリティ診断サービス ・一般的な脆弱性、OSやアプリケーションにおける  ベストプラクティスも用意 ・Agentのインストール必要 ・脆弱診断試験時のAWSへの事前連絡必要なし ・要望:AWSによるレポート
  77. 77. 77 3.AWS Config Rules ④おまけ re:Invent2015セキュリティ関連
  78. 78. 78 ④おまけ re:Invent2015セキュリティ関連 ・AWS Config Rulesとは  ⇒AWS configの拡張機能、今までのAWSリソース   設定値の記録・確認だけではなく、   ルールに基づく検査が可能に ・監査、コンプライアンスルールに則った運用が可能に ・AWSで決められたマネージドルールの他にLambdaを  使ったカスタムルールも設定可能 ・設定ミスも防げる(IAMにも対応予定)
  79. 79. 79 ④おまけ re:Invent2015セキュリティ関連 色々なサービスが出てくるので、 どれが自分たちに合うのか検証・検討が必要
  80. 80. 80 ④おまけ re:Invent2015セキュリティ関連 セキュリティ対策は重要だが、 それ自体が売上に直結するわけではない
  81. 81. 81 ④おまけ re:Invent2015セキュリティ関連 でも
  82. 82. 82 ④おまけ re:Invent2015セキュリティ関連 やっぱ、re:Invent行きたかったな〜
  83. 83. 83 まとめ
  84. 84. 84 ④まとめ ・AWS導入の際に一番の後ろ盾は「○○○も使っている」 ・AWS上で適切な対策をすれば○○○向けの  セキュリティ要件も満たすことができる ・セキュリティ対策は、  目的を持って、やりっ放しにしない、どこまでやるか見極める ・re:Invent2015でリリースされた、セキュリティ関連サービスは  WAF、Inspector、Config Rules ・来年こそはre:Invent行きた〜い!
  85. 85. 85 ありがとうございました!

×