15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由

9,149 views

Published on

0 Comments
31 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
9,149
On SlideShare
0
From Embeds
0
Number of Embeds
230
Actions
Shares
0
Downloads
193
Comments
0
Likes
31
Embeds 0
No embeds

No notes for slide

15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由

  1. 1. 15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由 2013年10月11日 アマゾン データ サービス ジャパン 株式会社 テクニカルエバンジェリスト 堀内康弘 (@horiuchi)
  2. 2. CIAの技術主任が「クラウドは既存のアプローチよりもセキュアであ る」と発⾔言
  3. 3. AWSを導⼊入された企業様のご意⾒見見 コスト⾯面のメリットも⼤大きいが、 リリースまでのスピードや柔軟性 に、よりメリットを感じる AWSは ⾃自社のセキュリティ要件 を最も満たしている
  4. 4. AWSのセキュリティに対する考え⽅方
  5. 5. セキュリティに関して考慮しなければならないことは多い Customer ファシリティ OS 物理理セキュリティ アプリケーション コンピュートインフラ セキュリティグループ ストレージインフラ ファイアーウォール ネットワークインフラ ネットワーク設定 仮想化レイヤー アカウント管理理
  6. 6. AWSはインフラ部分のセキュリティに責任を持つ Customer OS ファシリティ 物理理セキュリティ コンピュートインフラ + アプリケーション セキュリティグループ ストレージインフラ ファイアーウォール ネットワークインフラ ネットワーク設定 仮想化レイヤー アカウント管理理 共有責任モデル
  7. 7. AWS責任部分への取り組み Customer OS ファシリティ 物理理セキュリティ コンピュートインフラ + アプリケーション セキュリティグループ ストレージインフラ ファイアーウォール ネットワークインフラ ネットワーク設定 仮想化レイヤー アカウント管理理
  8. 8. クラウドのセキュリティ クラウドのセキュリティのアドバンテージ • セキュリティへの⼤大規模な投資 • セキュリティへの継続的な投資 • セキュリティ専⾨門部隊の設置 • 24時間/365⽇日の対応 クラウドならではのセキュリティ • 物理理的な持ち出しが不不可能 情報漏漏洩の8割を占める内部犯⾏行行においても、データセンターの場所を隠匿匿した クラウドでは不不可
  9. 9. AWSのセキュリティ⽅方針 セキュリティはAWSにおける最優先事項 セキュリティに対する継続的な投資 -‐‑‒  セキュリティ専⾨門部隊の設置 複数の第三者認証を取得 セキュリティ関連ホワイトペーパーの公開 • http://aws.amazon.com/jp/security/ AWSの利利⽤用でセキュリティレベルが 向上したと⾼高評価
  10. 10. 徹底したAWSの物理理セキュリティ管理理 各DCは物理理的に隔離離、洪⽔水⾯面を考慮。地盤が安定している場所の選定 無停⽌止電源(UPS)、バックアップ電源、異異なる電源供給元の確保 冗⻑⾧長化されたTier-‐‑‒1ネットワークの接続 厳格に管理理された物理理的なアクセス • 多要素認証 • 必要に応じて定められたアクセス  を都度度付与 全てのアクセスはログされる
  11. 11. AWSは多くの第三者認証を取得・維持 SSAE  16/ISAE  3402 • 外部委託作業における内部統制の監査を効率率率化する規定 • 体制、従業員ライフサイクル、物理理/論論理理セキュリティ、データ保存/可⽤用性、変更更管理理、インシデント発⽣生 時対応などの項⽬目についての認証 ISO27001 • 組織のISMS(情報セキュリティマネジメントシステム)の認証 PCI  DSS  Level1  Service  Provider • Payment  Card  Industry  Data  Security  Standard • カード業界のグローバルセキュリティ基準 • VISA,MC,Amex,JCB等が策定   FISMA  Moderate   • Federal  Information  Security  Management  Moderate • 連邦情報セキュリティマネジメント法 • 情報システムのセキュリティ強化、安全な運⽤用
  12. 12. FedRAMP  -‐‑‒  ⽶米国政府のお墨付き The  Federal  Risk  and  Authorization  Management  Program クラウド製品やサービスに対するセキュリティー評価、認証、そして継続的なモニタリ ングを⾏行行う標準化されたアプローチを提供する政府全体のプログラム 「クラウドファースト」政策を実現するため、コンプライアンスを改善、最適化 • 三つの重要省省庁の協同プロジェクト • 連邦政府調達局 • 国⼟土安全保障省省 • 国防総省省 • NISTのクラウドの定義とSP  800-‐‑‒53に基づき、100%クラウドに焦点 • 認証者を認証するモデル • 第三者監査機関:3PAO ⼆二種類の重要なトラック • JAB  P-‐‑‒ATOs • • The  Joint  Advisory  Boardの共同認証 Agency  ATOs • Agencyの認証 AWSは認証を取得した最初のメジャーなサービス提供者 • 保健福祉省省とのAgency  ATO • 名⽬目上は⽶米国リージョンにしか適⽤用されませんが、全世界のリージョンを同じ基準で運⽤用 管理理しています
  13. 13. 専⾨門部隊によるネットワークセキュリティ対策 エンドユーザに代わってインフラ部分での対策を実施 分散サービス妨害(DDoS)攻撃:   • ⻑⾧長年年の経験によるDDos緩和技術 介⼊入者(MITM)攻撃: • • SSLで保護されたエンドポイント EC2のホストキーは起動時に⽣生成 IP  スプーフィング: • ホストOSレベルで遮断 ポートスキャニング: • • • AWS使⽤用ポリシー違反 許可のないスキャニングは検出、停⽌止、ブロック ⼊入⼒力力ポートはデフォルトで全て閉じられている 第三者によるパケットスニフィング: • • 無差別モードでの「傍受」は不不可能 ハイパーバイザーレベルで保護
  14. 14. 重要なポイント 堅牢牢な物理理ファシリティの構築・運⽤用 多くの第三者認証の取得費⽤用・維持 セキュリティに関する情報の収集作業 インフラ部分の脆弱性や脅威に対する対応 インシデント発⽣生時の対応体制の構築 すべて費⽤用に含まれています
  15. 15. AWS責任部分への取り組み Customer OS ファシリティ 物理理セキュリティ コンピュートインフラ + アプリケーション セキュリティグループ ストレージインフラ ファイアーウォール ネットワークインフラ ネットワーク設定 仮想化レイヤー アカウント管理理
  16. 16. AWS利利⽤用者のセキュリティ対策 Customer OS ファシリティ 物理理セキュリティ コンピュートインフラ + アプリケーション セキュリティグループ ストレージインフラ ファイアーウォール ネットワークインフラ ネットワーク設定 仮想化レイヤー アカウント管理理
  17. 17. AWSはセキュリティを容易易に⾼高められる機能を提供 セキュリティグループ  =  ファイアーウォール Amazon  VPC  =  プライベートクラウド AWS  IAM  =  AWSリソースへのアクセス権限の管理理
  18. 18. セキュリティーグループ  =  ファイアーウォール インターネットからのトラフィック(Inbound)をブロックするだけでなく、EC2 からのトラフィック(Outbound)を制限する事も可能 Port 80 (HTTP) EC2 Instance Security Group Port 22 (SSH)
  19. 19. Amazon  VPC  =  プライベートクラウド AWS上にプライベートネットワーク空間を構築 オンプレミスとのハイブリッドが簡単に実現 • 社内からVPN接続して閉域網でAWS利利⽤用   • AWSが社内インフラの⼀一部に⾒見見える § 社内システム、ソフトウェアの移⾏行行がより容易易に § 例例:業務システム、バッチ処理理、ファイルサーバ
  20. 20. AWS上にプライベートのアドレス空間を作成し、お客様のインフラを AWS上に延⻑⾧長する VPN接続 専⽤用線 リージョン EC2 VPC内に分離離した サブネットを⾃自由 に作成 Internet イントラ VPC プライベート   サブネット VPN DX ゲートウェイ パブリック   サブネット
  21. 21. バッチの度度に原価情報をAWSにコピーし、原価計算を実⾏行行 • • お客様専⽤用の閉域網 全国500店近い直営/FC店舗、10⼯工場を中⼼心と したホールセール事業を展開. 原価計算システムの再構築に際し、処理理時間の短縮の ためHadoopの利利⽤用を検討   • ビッグデータ処理理に必要な時間だけEC2を起動 (1時間以内に終了了) C “Amazon  VPCは、今回のお客様の基幹システムのクラウド上での開発・利利⽤用開始を安全かつスピー ディーに⾏行行う事に⼤大きく貢献しています。” e as ud St ノーチラステクノロジーズ(アンデルセン様SI)  副社⻑⾧長  神林林⾶飛志  様 y
  22. 22. AWS  Identity  and  Access  Management =  AWSリソースへのアクセス権限の管理理 AWS操作をよりセキュアに⾏行行うための認証・認可の仕組み AWS利利⽤用者の認証と、アクセスポリシーを管理理 § AWS操作のためのグループ・ユーザーの作成が可能 § グループ、ユーザーごとに、実⾏行行出来る操作を規定できる § ユーザーごとに認証情報の設定が可能 開発チーム 運用チーム
  23. 23. IAMでどのリソースを誰が操作可能か細かく設定可能 全操作可能 S3はすべて 操作可能 S3参照だけ APIやマネジメントコンソールからの アクセスに対して、権限をチェック
  24. 24. NASAも認める⾼高いセキュリティ http://www.atmarkit.co.jp/ait/articles/1301/24/news087.html
  25. 25. 共有責任モデルでセキュリティは本当に⾼高くなる?
  26. 26. 共有責任モデルで今まで難しかったことが可能に スマートフォン決済サービスを提供するス タートアップ  Coiney様 インフラにAWSを採⽤用することで、リソー スの少ないスタートアップ企業が短期間で 業界標準の⾼高いセキュリティ環境を実現 責任分担することで、PCI  DSSに完全準拠した環境を実現 C e as “PCI  DSSへの準拠をはじめ、導⼊入や運⽤用のコスト⾯面及びサービスの スケーラビリティも考慮すると、AWSを使わない⼿手はありません。” ud St コイニ―株式会社  代表取締役  佐俣奈奈緒⼦子様 y
  27. 27. 業務システムをクラウドで稼動 本部基幹システム SAP・業務システム SAP  BusinessSuite  本番環境 AWS上に全⾯面移⾏行行 ・売上・売掛⾦金金管理理 ・仕⼊入・買掛管理理 ・テナント管理理 ・管理理会計 従来のコストで2倍の 性能向上を実現 SAPのAWS移⾏行行を⽪皮 切切りに、様々な業務 システムの移⾏行行を実 施 2020年年まで保守期限があ るERP6.0に対してインフ ラリプレースは今回限りに したいためAWSを選択   導⼊入決定から6ヶ⽉月で稼 動。5年年で60%以上のコス ト削減を実現
  28. 28. WebもBIも業務システムもクラウドで WEBサーバ Web・BI・BPM BIサーバ TV放映後のアクセス集中をAWS で回避 ウィングアークのDr.Sum AWS上にDr.Sumを展開 わずか2⽇日で15億件のDWHの検 証環境を構築 業務システム AWSクラウド テイクアウトの受注システム/ 商品DB/新商品開発の BPM(AWS上で構築中)
  29. 29. ECサイトもPOSもクラウドで ECサイト ⼈人 事 会 計 ・・・ パッケージ 業 務 A P OS ECサイト・POS E Cサ ・・・ イト POS クラウド 業務システム ファイルサーバ、会計システ ム、給与・⼈人事システム、基幹 システムも順次移設 聖域を設けず全部やるとい う⽅方針で業務上重要なECサ イト・POSをAWSに移設
  30. 30. 業務パッケージソフトもクラウドで実⾏行行 SFA:  ソフトブレーン『eセールスマネージャー』 ⼈人事:  ワークスアプリケーションズ『COMPANY』 会計:  NTTデータ  Biz∫『Biz∫会計』 Workflow:NTTデータイントラマート 『intra-‐‑‒mart  ワークフロー』 DWH:  SAP  『Sybase  IQ』 BI:  DTS  『データスタジオ』 ⽂文書管理理  :富⼠士ゼロックスの⽂文書管理理ソフト AWSクラウド SFA・⼈人事・会計・Workflow・ DWH・BI・ ⽂文書管理理など 既存のパッケージソフトを AWS上で動かすことでス ピードとコスト削減を実現
  31. 31. 共有責任モデルで⾦金金融機関の厳しい基準を満たせる ⾦金金融機関向け『Amazon  Web  Services』対応セキュリティリファレンス FISC安全対策基準(第8版)へのAWSの準拠状況を調査した資料料を⼀一般公開 SCSK、NRI(野村総合研究所)、ISID(電通国際情報サービス)3社が共同で調査。AWSも調査に協⼒力力 AWSと利利⽤用者で責任分担することで、FISC安対基準を満たせるとの⾒見見解
  32. 32. 東京海上⽇日動様 • クラウドは次世代ITの基盤インフラストラクチャ 東京海上グループとして、そのビジネスメリットを⾒見見過ごせない。 – – グループ内での、AWSを基盤とするSaaS活⽤用要望の⾼高まり。 – • ビジネススピード、コスト構造、変化への対応⼒力力への期待。 適材適所の利利⽤用によるリスク分散 保険会社として⼤大切切なお客様のデータをお預かりしている以上、 クラウドを、⾮非常に厳密に調査・確認する必要がある。 – セキュリティに加え“信頼できる環境”が⼤大切切。 • – コンプライアンス、ガバナンス、リスクマネジメント、冗⻑⾧長性、⼀一貫性、プライバシーなど多⾯面的に評価 従来の社内基準を再評価し、「何を達成するべきか」を再定義
  33. 33. 東京海上⽇日動様 • • 検証の結果、AWSは⾦金金融でも利利⽤用できると確信 今後は、TMNFグループ全体のCertifiedベンダーとしてAWSを活 ⽤用予定。 • 複数のプロジェクトでAWSの採⽤用を決定 • 新規システム、システム移⾏行行など、活⽤用範囲を順次拡⼤大予定 • SaaS  on  AWSの積極的活⽤用を検討 • AWS認定エンジニアの教育・強化を図る
  34. 34. まとめ
  35. 35. セキュリティ  &  コンプライアンスにおける共有責任モデル Customer OS ファシリティ 物理理セキュリティ コンピュートインフラ ストレージインフラ + アプリケーション セキュリティグループ ファイアーウォール ネットワークインフラ ネットワーク設定 仮想化レイヤー = アカウント管理理 責任範囲のセキュリティレベルをそれぞれが高めることで オンプレミス以上のセキュリティを実現する事が可能
  36. 36. ご質問のある⽅方はブース裏裏のラウンジにお越しください。

×