Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由

10,569 views

Published on

  • Be the first to comment

15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由

  1. 1. 15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由 2013年10月11日 アマゾン データ サービス ジャパン 株式会社 テクニカルエバンジェリスト 堀内康弘 (@horiuchi)
  2. 2. CIAの技術主任が「クラウドは既存のアプローチよりもセキュアであ る」と発⾔言
  3. 3. AWSを導⼊入された企業様のご意⾒見見 コスト⾯面のメリットも⼤大きいが、 リリースまでのスピードや柔軟性 に、よりメリットを感じる AWSは ⾃自社のセキュリティ要件 を最も満たしている
  4. 4. AWSのセキュリティに対する考え⽅方
  5. 5. セキュリティに関して考慮しなければならないことは多い Customer ファシリティ OS 物理理セキュリティ アプリケーション コンピュートインフラ セキュリティグループ ストレージインフラ ファイアーウォール ネットワークインフラ ネットワーク設定 仮想化レイヤー アカウント管理理
  6. 6. AWSはインフラ部分のセキュリティに責任を持つ Customer OS ファシリティ 物理理セキュリティ コンピュートインフラ + アプリケーション セキュリティグループ ストレージインフラ ファイアーウォール ネットワークインフラ ネットワーク設定 仮想化レイヤー アカウント管理理 共有責任モデル
  7. 7. AWS責任部分への取り組み Customer OS ファシリティ 物理理セキュリティ コンピュートインフラ + アプリケーション セキュリティグループ ストレージインフラ ファイアーウォール ネットワークインフラ ネットワーク設定 仮想化レイヤー アカウント管理理
  8. 8. クラウドのセキュリティ クラウドのセキュリティのアドバンテージ • セキュリティへの⼤大規模な投資 • セキュリティへの継続的な投資 • セキュリティ専⾨門部隊の設置 • 24時間/365⽇日の対応 クラウドならではのセキュリティ • 物理理的な持ち出しが不不可能 情報漏漏洩の8割を占める内部犯⾏行行においても、データセンターの場所を隠匿匿した クラウドでは不不可
  9. 9. AWSのセキュリティ⽅方針 セキュリティはAWSにおける最優先事項 セキュリティに対する継続的な投資 -‐‑‒  セキュリティ専⾨門部隊の設置 複数の第三者認証を取得 セキュリティ関連ホワイトペーパーの公開 • http://aws.amazon.com/jp/security/ AWSの利利⽤用でセキュリティレベルが 向上したと⾼高評価
  10. 10. 徹底したAWSの物理理セキュリティ管理理 各DCは物理理的に隔離離、洪⽔水⾯面を考慮。地盤が安定している場所の選定 無停⽌止電源(UPS)、バックアップ電源、異異なる電源供給元の確保 冗⻑⾧長化されたTier-‐‑‒1ネットワークの接続 厳格に管理理された物理理的なアクセス • 多要素認証 • 必要に応じて定められたアクセス  を都度度付与 全てのアクセスはログされる
  11. 11. AWSは多くの第三者認証を取得・維持 SSAE  16/ISAE  3402 • 外部委託作業における内部統制の監査を効率率率化する規定 • 体制、従業員ライフサイクル、物理理/論論理理セキュリティ、データ保存/可⽤用性、変更更管理理、インシデント発⽣生 時対応などの項⽬目についての認証 ISO27001 • 組織のISMS(情報セキュリティマネジメントシステム)の認証 PCI  DSS  Level1  Service  Provider • Payment  Card  Industry  Data  Security  Standard • カード業界のグローバルセキュリティ基準 • VISA,MC,Amex,JCB等が策定   FISMA  Moderate   • Federal  Information  Security  Management  Moderate • 連邦情報セキュリティマネジメント法 • 情報システムのセキュリティ強化、安全な運⽤用
  12. 12. FedRAMP  -‐‑‒  ⽶米国政府のお墨付き The  Federal  Risk  and  Authorization  Management  Program クラウド製品やサービスに対するセキュリティー評価、認証、そして継続的なモニタリ ングを⾏行行う標準化されたアプローチを提供する政府全体のプログラム 「クラウドファースト」政策を実現するため、コンプライアンスを改善、最適化 • 三つの重要省省庁の協同プロジェクト • 連邦政府調達局 • 国⼟土安全保障省省 • 国防総省省 • NISTのクラウドの定義とSP  800-‐‑‒53に基づき、100%クラウドに焦点 • 認証者を認証するモデル • 第三者監査機関:3PAO ⼆二種類の重要なトラック • JAB  P-‐‑‒ATOs • • The  Joint  Advisory  Boardの共同認証 Agency  ATOs • Agencyの認証 AWSは認証を取得した最初のメジャーなサービス提供者 • 保健福祉省省とのAgency  ATO • 名⽬目上は⽶米国リージョンにしか適⽤用されませんが、全世界のリージョンを同じ基準で運⽤用 管理理しています
  13. 13. 専⾨門部隊によるネットワークセキュリティ対策 エンドユーザに代わってインフラ部分での対策を実施 分散サービス妨害(DDoS)攻撃:   • ⻑⾧長年年の経験によるDDos緩和技術 介⼊入者(MITM)攻撃: • • SSLで保護されたエンドポイント EC2のホストキーは起動時に⽣生成 IP  スプーフィング: • ホストOSレベルで遮断 ポートスキャニング: • • • AWS使⽤用ポリシー違反 許可のないスキャニングは検出、停⽌止、ブロック ⼊入⼒力力ポートはデフォルトで全て閉じられている 第三者によるパケットスニフィング: • • 無差別モードでの「傍受」は不不可能 ハイパーバイザーレベルで保護
  14. 14. 重要なポイント 堅牢牢な物理理ファシリティの構築・運⽤用 多くの第三者認証の取得費⽤用・維持 セキュリティに関する情報の収集作業 インフラ部分の脆弱性や脅威に対する対応 インシデント発⽣生時の対応体制の構築 すべて費⽤用に含まれています
  15. 15. AWS責任部分への取り組み Customer OS ファシリティ 物理理セキュリティ コンピュートインフラ + アプリケーション セキュリティグループ ストレージインフラ ファイアーウォール ネットワークインフラ ネットワーク設定 仮想化レイヤー アカウント管理理
  16. 16. AWS利利⽤用者のセキュリティ対策 Customer OS ファシリティ 物理理セキュリティ コンピュートインフラ + アプリケーション セキュリティグループ ストレージインフラ ファイアーウォール ネットワークインフラ ネットワーク設定 仮想化レイヤー アカウント管理理
  17. 17. AWSはセキュリティを容易易に⾼高められる機能を提供 セキュリティグループ  =  ファイアーウォール Amazon  VPC  =  プライベートクラウド AWS  IAM  =  AWSリソースへのアクセス権限の管理理
  18. 18. セキュリティーグループ  =  ファイアーウォール インターネットからのトラフィック(Inbound)をブロックするだけでなく、EC2 からのトラフィック(Outbound)を制限する事も可能 Port 80 (HTTP) EC2 Instance Security Group Port 22 (SSH)
  19. 19. Amazon  VPC  =  プライベートクラウド AWS上にプライベートネットワーク空間を構築 オンプレミスとのハイブリッドが簡単に実現 • 社内からVPN接続して閉域網でAWS利利⽤用   • AWSが社内インフラの⼀一部に⾒見見える § 社内システム、ソフトウェアの移⾏行行がより容易易に § 例例:業務システム、バッチ処理理、ファイルサーバ
  20. 20. AWS上にプライベートのアドレス空間を作成し、お客様のインフラを AWS上に延⻑⾧長する VPN接続 専⽤用線 リージョン EC2 VPC内に分離離した サブネットを⾃自由 に作成 Internet イントラ VPC プライベート   サブネット VPN DX ゲートウェイ パブリック   サブネット
  21. 21. バッチの度度に原価情報をAWSにコピーし、原価計算を実⾏行行 • • お客様専⽤用の閉域網 全国500店近い直営/FC店舗、10⼯工場を中⼼心と したホールセール事業を展開. 原価計算システムの再構築に際し、処理理時間の短縮の ためHadoopの利利⽤用を検討   • ビッグデータ処理理に必要な時間だけEC2を起動 (1時間以内に終了了) C “Amazon  VPCは、今回のお客様の基幹システムのクラウド上での開発・利利⽤用開始を安全かつスピー ディーに⾏行行う事に⼤大きく貢献しています。” e as ud St ノーチラステクノロジーズ(アンデルセン様SI)  副社⻑⾧長  神林林⾶飛志  様 y
  22. 22. AWS  Identity  and  Access  Management =  AWSリソースへのアクセス権限の管理理 AWS操作をよりセキュアに⾏行行うための認証・認可の仕組み AWS利利⽤用者の認証と、アクセスポリシーを管理理 § AWS操作のためのグループ・ユーザーの作成が可能 § グループ、ユーザーごとに、実⾏行行出来る操作を規定できる § ユーザーごとに認証情報の設定が可能 開発チーム 運用チーム
  23. 23. IAMでどのリソースを誰が操作可能か細かく設定可能 全操作可能 S3はすべて 操作可能 S3参照だけ APIやマネジメントコンソールからの アクセスに対して、権限をチェック
  24. 24. NASAも認める⾼高いセキュリティ http://www.atmarkit.co.jp/ait/articles/1301/24/news087.html
  25. 25. 共有責任モデルでセキュリティは本当に⾼高くなる?
  26. 26. 共有責任モデルで今まで難しかったことが可能に スマートフォン決済サービスを提供するス タートアップ  Coiney様 インフラにAWSを採⽤用することで、リソー スの少ないスタートアップ企業が短期間で 業界標準の⾼高いセキュリティ環境を実現 責任分担することで、PCI  DSSに完全準拠した環境を実現 C e as “PCI  DSSへの準拠をはじめ、導⼊入や運⽤用のコスト⾯面及びサービスの スケーラビリティも考慮すると、AWSを使わない⼿手はありません。” ud St コイニ―株式会社  代表取締役  佐俣奈奈緒⼦子様 y
  27. 27. 業務システムをクラウドで稼動 本部基幹システム SAP・業務システム SAP  BusinessSuite  本番環境 AWS上に全⾯面移⾏行行 ・売上・売掛⾦金金管理理 ・仕⼊入・買掛管理理 ・テナント管理理 ・管理理会計 従来のコストで2倍の 性能向上を実現 SAPのAWS移⾏行行を⽪皮 切切りに、様々な業務 システムの移⾏行行を実 施 2020年年まで保守期限があ るERP6.0に対してインフ ラリプレースは今回限りに したいためAWSを選択   導⼊入決定から6ヶ⽉月で稼 動。5年年で60%以上のコス ト削減を実現
  28. 28. WebもBIも業務システムもクラウドで WEBサーバ Web・BI・BPM BIサーバ TV放映後のアクセス集中をAWS で回避 ウィングアークのDr.Sum AWS上にDr.Sumを展開 わずか2⽇日で15億件のDWHの検 証環境を構築 業務システム AWSクラウド テイクアウトの受注システム/ 商品DB/新商品開発の BPM(AWS上で構築中)
  29. 29. ECサイトもPOSもクラウドで ECサイト ⼈人 事 会 計 ・・・ パッケージ 業 務 A P OS ECサイト・POS E Cサ ・・・ イト POS クラウド 業務システム ファイルサーバ、会計システ ム、給与・⼈人事システム、基幹 システムも順次移設 聖域を設けず全部やるとい う⽅方針で業務上重要なECサ イト・POSをAWSに移設
  30. 30. 業務パッケージソフトもクラウドで実⾏行行 SFA:  ソフトブレーン『eセールスマネージャー』 ⼈人事:  ワークスアプリケーションズ『COMPANY』 会計:  NTTデータ  Biz∫『Biz∫会計』 Workflow:NTTデータイントラマート 『intra-‐‑‒mart  ワークフロー』 DWH:  SAP  『Sybase  IQ』 BI:  DTS  『データスタジオ』 ⽂文書管理理  :富⼠士ゼロックスの⽂文書管理理ソフト AWSクラウド SFA・⼈人事・会計・Workflow・ DWH・BI・ ⽂文書管理理など 既存のパッケージソフトを AWS上で動かすことでス ピードとコスト削減を実現
  31. 31. 共有責任モデルで⾦金金融機関の厳しい基準を満たせる ⾦金金融機関向け『Amazon  Web  Services』対応セキュリティリファレンス FISC安全対策基準(第8版)へのAWSの準拠状況を調査した資料料を⼀一般公開 SCSK、NRI(野村総合研究所)、ISID(電通国際情報サービス)3社が共同で調査。AWSも調査に協⼒力力 AWSと利利⽤用者で責任分担することで、FISC安対基準を満たせるとの⾒見見解
  32. 32. 東京海上⽇日動様 • クラウドは次世代ITの基盤インフラストラクチャ 東京海上グループとして、そのビジネスメリットを⾒見見過ごせない。 – – グループ内での、AWSを基盤とするSaaS活⽤用要望の⾼高まり。 – • ビジネススピード、コスト構造、変化への対応⼒力力への期待。 適材適所の利利⽤用によるリスク分散 保険会社として⼤大切切なお客様のデータをお預かりしている以上、 クラウドを、⾮非常に厳密に調査・確認する必要がある。 – セキュリティに加え“信頼できる環境”が⼤大切切。 • – コンプライアンス、ガバナンス、リスクマネジメント、冗⻑⾧長性、⼀一貫性、プライバシーなど多⾯面的に評価 従来の社内基準を再評価し、「何を達成するべきか」を再定義
  33. 33. 東京海上⽇日動様 • • 検証の結果、AWSは⾦金金融でも利利⽤用できると確信 今後は、TMNFグループ全体のCertifiedベンダーとしてAWSを活 ⽤用予定。 • 複数のプロジェクトでAWSの採⽤用を決定 • 新規システム、システム移⾏行行など、活⽤用範囲を順次拡⼤大予定 • SaaS  on  AWSの積極的活⽤用を検討 • AWS認定エンジニアの教育・強化を図る
  34. 34. まとめ
  35. 35. セキュリティ  &  コンプライアンスにおける共有責任モデル Customer OS ファシリティ 物理理セキュリティ コンピュートインフラ ストレージインフラ + アプリケーション セキュリティグループ ファイアーウォール ネットワークインフラ ネットワーク設定 仮想化レイヤー = アカウント管理理 責任範囲のセキュリティレベルをそれぞれが高めることで オンプレミス以上のセキュリティを実現する事が可能
  36. 36. ご質問のある⽅方はブース裏裏のラウンジにお越しください。

×