1. 今からおさえるクラウドと
AWS活用のこれから
2014.3.17
吉田真吾

2. 自己紹介
吉田 真吾（よしだ しんご）
エバンジェリスト、ソリューションアーキテクト
AWSサムライ2014（Japan AWS UserGroup）
AWS Certified Solutions Architect ‒ Associate Level
好きなAWSサービス
Amazon S3、CloudTrail
バックグラウンド
通信キャリア：基地局制御、GISサービス 開発
SIer：証券システム基盤 開発

3. 2013年4月∼

4. 2003年創業

5. 2003年創業
Intel Inside

6. 2010年4月
cloudpack事業

8. Our Customers

9. 0 to 350<

10. !
•
2013年6月

11. 50>

12. cloudpack の価値
AWS専門部隊
コンサルティング、アセスメント、導入設計
ホスピタリティ
24時間365日有人監視、保守対応
実績
350社を超えるアカウントを運用する運用品質
セキュリティ
PCI DSS Level 1 Service Provider 認定
スピード
最短30分でのデリバリー実績
Virtual Private Cloud（10.0.0.0/20）
Availability Zone A
IGW
Availability Zone B
VPC Subnet
NATELBELBELB
VPC Subnet
EC2 EC2
EC2 EC2
EC2
VPC Subnet
VPC Subnet
NAT
DB
VPC Subnet
EC2 EC2
EC2 EC2
EC2
VPC Subnet
VPC Subnet
NAT
VPC Subnet
ELBELBELBNAT

13. National Institute of
Standards and Technology
クラウドとそのメリットについて
↑NISTによるクラウドコンピューティングの定義に
従って説明を進めます

14. http://www.ipa.go.jp/files/000025366.pdf
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf

15. 基本的な特徴
オンデマンド・ セルフサービス
幅広いネットワークアクセス
リソースの共用
スピーディな拡張性
サービスが 計測可能であること
http://www.ipa.go.jp/files/000025366.pdf

16. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927
AWSの説明もだいたい同じ

17. サービスモデル
Software as a Service
サービスの形で提供されるソフトウェア
Salesforce, Google Apps, Office 365
Platform as a Service
サービスの形で提供されるプラットフォーム
Engine Yard, Heroku, AWS Elastic Beanstalk
Infrastructure as a Service
サービスの形で提供されるインフラストラクチャ
Amazon Web Services, Windows Azure, Google Compute
Engine

18. サービスモデル
IaaS
PaaS
SaaS
構成
管理
ソフトウェ
ア管理
H/W
OS
ミドル
ウェア
H/W
OS
構成
管理
ミドル
ウェア
H/W
OS

19. 実装モデル
プライベートクラウド
コミュニティクラウド
パブリッククラウド
ハイブリッドクラウド
http://www.ipa.go.jp/files/000025366.pdf

20. 実装モデル - プライベートクラウド
クラウドのインフラストラクチャは
複数の利用者（例：事業組織）から
成る単一の組織の専用使用のために
提供される。その所有、管理、およ
び運用は、その組織、第三者、もし
くはそれらの組み合わせにより行わ
れ、存在場所としてはその組織の施
設内または外部となる。
http://www.ipa.go.jp/files/000025366.pdf

21. 実装モデル - プライベートクラウド
http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927
AWSでできる

22. これもプライベート？
オフバランス目的がメイン
データセンターでのホスティング＋資産的にはベンダー
のもの（運用費で回収）もプライベートクラウドと呼ば
れてます
他の選択肢では解決できない課題
ストレージの管理機能や帯域とか
リソース占有型も多い

23. 実装モデル - コミュニティクラウド
クラウドのインフラストラクチャは共
通の関心事（例えば任務、セキュリティ
の必要、ポリシー、法令順守に関わる考
慮事項）を持つ、複数の組織からなる成
る特定の利用者の共同体の専用使用のた
めに提供される。その所有、管理、およ
び運用は、共同体内の１つまたは複数の
組織、第三者、もしくはそれらの組み合
わせにより行われ、存在場所としてはそ
の組織の施設内または外部となる。
http://www.ipa.go.jp/files/000025366.pdf

24. http://www.nasdaqomx.com/newsroom/pressreleases/pressrelease/?
messageId=1127643&displayLanguage=en
AWSで作った

25. 実装モデル - コミュニティクラウド - 例)FinQloud
Regulatory Records Retention
(R3)
ブローカー・ディーラー向けストレージサービス
U.S. Securities and Exchange Commission (SEC) Rule
17A-4 の要件に準拠
蓄積するファイル・データは全て暗号化
インデックスや監査情報の閲覧、ファイルの閲覧、検索、
ダウンロードを行うツールを提供
利用するユーザごとに物理的に独立したストレージコンテ
ナで管理
http://www.nasdaqomx.com/newsroom/pressreleases/pressrelease/?
messageId=1127643&displayLanguage=en

26. 実装モデル - コミュニティクラウド - 例)FinQloud
Self Service Reporting (SSR)
ブローカー・デーラー向けの、ユーザが生成したクエリ
による大規模取引データのデータマイニングを行ったり、
それをレポーティング出力するサービス
ペタバイトオーダーのデータを格納・検索可能なインフ
ラである。
http://www.nasdaqomx.com/newsroom/pressreleases/pressrelease/?
messageId=1127643&displayLanguage=en

27. http://aws.amazon.com/jp/solutions/case-studies/nasdaq-finqloud/

28. 実装モデル - パブリッククラウド
クラウドのインフラストラクチャは
広く一般の自由な利用に向けて提供
される。その所有、管理、および運
用は、企業組織、学術機関、または
政府機関、もしくはそれらの組み合
わせ
http://www.ipa.go.jp/files/000025366.pdf

29. パブリックのみ？
AWSはプライベートクラウドがデ
フォルトで構成できますが、便宜上
AWSなどパブリッククラウド出身の
クラウドを指してパブリッククラウ
ドと呼ばれることが多い

30. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927

31. AWS資料より抜粋 http://s3.amazonaws.com/ppt-download/awsbasic20120629-120726021001-phpapp02.pdf

32. AWS資料より抜粋 http://s3.amazonaws.com/ppt-download/awsbasic20120629-120726021001-phpapp02.pdf

33. 実装モデル - ハイブリッドクラウド
クラウドのインフラストラクチャは
二つ以上の異なるクラウドインフラス
トラクチャ（プライベート、コミュニ
ティまたはパブリック）の組み合わせ
である。各クラウドは独立の存在であ
るが、標準化された、あるいは固有の
技術で結合され、データとアプリケー
ションの移動可能性を実現している（例
えばクラウド間のロードバランスのた
めのクラウドバースト）。
http://www.ipa.go.jp/files/000025366.pdf

34. http://www.gartner.com/newsroom/id/2599315#

35. 2017年末までに大企業の約半数が
ハイブリッドクラウドを採用する。
大企業の半数近くが2017年の終わりまでに
はハイブリッドクラウドを展開するだろう。
この3年、約半数の大企業にとってプライベー
トクラウドは願望から現実へと変化した。ハ
イブリッドクラウドは今日、3年前のプライ
ベートクラウドと同じ状況にある。現実を見
ればまだ採用数は多くないが、期待は高まっ
ている。
プライベートクラウドの前段階であった仮
想化は初期投資の効率化を実現し、標準。さ
らにプライベートクラウドの実装はITに対す
るアジリティの要求に応えるものだった
http://www.publickey1.jp/blog/13/2017.html

36. http://blog.equinix.com/2014/01/hybrid-cloud-myth-busting/

37. ハイブリッドクラウドの都市伝説を
やっつけろ
1.パブリッククラウドに全て載せられる
エンタープライズのアプリケーションやパフォーマンスのSLAがカバーされていないこともある
2.クラウドはセキュアでない
プライベートネットワークを使えばセキュアな環境が構築できるので、事実ヘルスケアや金融分
野で利用されている実績がある
3.クラウドは信頼性が低い
ピークに合わせて潤沢なリソースから調達でき、信頼性は高い
4.パブリッククラウドを使えばいつでも安い
使い方による
5.クラウドでは十分な帯域が得られない
一般的なクラウド事業者であれば十分な帯域があるし、Equinixは主要なクラウド事業者との直
接接続のオプションを用意している
http://blog.equinix.com/2014/01/hybrid-cloud-myth-busting/

38. http://jp.mellanox.com/
http://www.theregister.co.uk/2013/06/17/fusionio_flash_flying_forwards/

39. ハイブリッドクラウドの都市伝説を
やっつけろ
6.大容量のデータはクラウドに移動できない
正しいアーキテクチャを用いれば十分可能である。AWS Direct Connect と
Equinix の光ファイバー通信を用いれば可能である。
7.クラウドを使うとデータのコントロールを失う
オンサイト側にデータを保持し、高速通信を用いてクラウドから参照するなど、
様々な方法でクラウドを使いながらデータのコントロールを保持する方法がある。
8.クラウドに移行することでクビになりたくない
これはよくないアプローチ。コンピューティングの経済メリットを享受しながら、
サービスを安く提供しましょう。
9.クラウドだとコンプライアンスが維持できない
プライベートクラウドを用いれば、会社のポリシーや標準化規格に対応して、コン
プライアンス管理やサービスレベルの維持が可能である。
http://blog.equinix.com/2014/01/hybrid-cloud-myth-busting/

40. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927
AWSでできる

41. AWSを使うメリット

42. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927

43. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927

44. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927
クラウドネイティブサービス

45. クラウドネイティブサービス
さまざまなマネージドサービス
仮想サーバを使って手組みしなくてよい
運用が【標準化】しやすい・【運用品質】の担保
できる限り使ったほうがよい
RDS vs RDBMS on EC2
EMR vs Hadoop on EC2
Redshift vs ParAccel on EC2
Kinesis vs Storm on EC2

46. AWSの各種サービス

47. Amazon EC2
仮想サーバー
サービスの基底
さまざまなOS（UNIX、Linux、Windows）
AMI（マシンイメージ）からインスタンス化
ディスク：Amazon EBS
Security Groups
Elastic IPs
ライセンス

48. Amazon EBS
仮想ディスク
容量
• 1GB∼1TB
EC2 EBS：ネットワーク
IOPS
• PIOPS：最大4000、設計4KB想定（ex. 32KB*4000 = 128MB/s
= 1024Mbps で、下記 EBS-Optimised インスタンスが頭打ち）
• 通常：100＋バースト
帯域
• 特定のEC2インスタンスで EBS-Optimized：500Mbps or
1000Mbps
• 通常：保証なし

49. Security Groups
EC2の接続元を制限するステートフ
ルフィルター（インバウンド定義の
み）
プロトコル
接続元IPアドレス
許可ポート
Security Group
Security Group

50. Elastic IPs
固定グローバルIPアドレス（IPv4）
EC2に割り付けて使用するが、別イ
ンスタンスに移動させることができ
る

51. ライセンス
Red Hat Enterprise Linux など商用
のOSの場合、ライセンス形態が2種
類ある
ライセンス費用込み型
• 時間あたり単価がBYOLより高い
BYOL型

52. Amazon S3
オブジェクトストレージ
1B∼5TB/オブジェクト
容量は無制限
1GB=約10円/月
パブリックネットワークのみ
アクティブでないデータは Glacier へ

53. AWS が提供するロードバランシングサービス
AZをまたいでトラフィックをルートできる
• AZ間の振り分けは、負荷は見ずにDNSラウンドロビン
• AZ内では、バックエンドのEC2のリクエスト数やコネクション数を元に負
荷分散する
バックエンドのEC2をヘルスチェックして切り離すことが
できる
負荷に応じて自動的にスケールアウトする
• ELBのIPアドレスは変化するのでDNS名を利用する
CNAMEで独自ドメインを設定可能
Elastic Load Balancing

54. 物理サーバーでクラスタリン
グしている（HAあるいはN+1）
H/Wレベルでの「可用性」向上
フォールトイントレランス→フォール
トトレラント（Design for failure）
Web/APサーバ→Multi-Serverパター
ン、Multi-Datacenterパターン
DBサーバ→DB Replicationパターン

55. DB Replication
Multi-Server
Multi-Datacenter

56. 共有ディスク
極力使わない
GlusterFS
NFSサーバー
参照コンテンツだけなら S3
アプライアンスもある

57. AWS が提供するリソースモニタリングツール
利用料の監視もできる
CloudWatch だけではインフラの監視は不足が多い
Zabbix や Nagiosと組み合わせる（ディスク使用量など）
カスタムメトリクス
独自のメトリクス（独自アプリケーションで取得する値など）
が設定可能
Amazon CloudWatch

58. CloudWatch でリソースを監視して負荷の状況に応じて
EC2 を増減させる機能
Auto Scaling Group で EC2 を管理
ELB からはずされるとターミネートされる
設定要素
Launch Config：対象のEC2の設定
Auto Scaling Group：対象のEC2を管理するグループ
Scale Out Policy：スケールアウト（増）の設定
Scale In Policy：スケールイン（減）の設定
Auto Scaling

59. Amazon RDS
フルマネージド（運用不要）なデータベース
サービス
種類
MySQL
Oracle Database
SQL Server
PostgreSQL

60. Amazon RDS
バックアップ設定
人為的なオペレーションミスがあっても5分前までは戻せる
Multi-AZ
ゾーンを跨がったHA構成（アクティブ／スタンバイ）
Oracle Database の場合、アクティブ／スタンバイ両方に
ライセンスが必要
ブロックイメージの「同期」レプリケーション
DB Parameter Groups（各種パラメーターをラップしてい
る）をチューニングする

61. RDS for MySQL
エンジン
InnoDB
バージョン
5.1.50∼5.6.12※アップデート機能あり
Provisioned IOPS
1,000∼30,000IOPS
無停止でストレージ容量の増加、PIOPSの増加が可能

62. RDS for Oracle
バージョン
11gR2のみ
Provisioned IOPS
1,000∼30,000IOPS
無停止でストレージ容量の増加、PIOPS
の増加が可能

63. RDS for SQL Server
バージョン
2008 or 2012※アップデート機能あ
り
Provisioned IOPS
2,000∼10,000IOPS
Multi-AZオプションなし

64. Amazon DynamoDB
フルマネージド（運用不要）なNoSQLデータベースサービス
2007年、Amazonが発表したDynamo論文がベース
SSDベース
プロビジョンスループット
読込／書込それぞれの性能を「ユニット」という単位で指定
• Read capacity units: 最大4KBのレコードデータ/回/秒
• Write capacity units: 最大1KBのレコードデータ/回/秒
ダウンタイムなしで変更可能
10,000以上指定するときはAWSに要申請

65. Amazon DynamoDB
データは3カ所に分散してレプリケート
数値/文字列/バイナリおよびそれぞれ
の配列セットの6種類の型をサポート
プライマリーキー
ハッシュキー
ハッシュキー＋レンジキー

66. Amazon DynamoDB
疑似トランザクションサポート
JavaのAPIのみ対応

67. Amazon Redshift
フルマネージド（運用不要）なデータウェ
アハウスサービス
エンジン
PostgreSQLをベースに超並列処理
(MPP)指向なクラスタ構成に対応した
ParAccel 社の技術を利用して作られた
PostgreSQL v8.0.2 ベース

68. Amazon Redshift
冗長性
マルチノードの場合、クラスター内で
データが冗長化され、透過的にノード
障害時のフェイルオーバーや復旧が行
われる

69. Amazon Redshift
圧縮アルゴリズム
列ごとに圧縮方法の指定が可能
ANALYZEコマンドで推奨の圧縮アルゴリズムを示し
てくれる
• RAW: 無圧縮
• Byte Dictionary: 辞書
• Delta: 前のデータとの差分化
• Mostly: 数値の出現頻度に応じて管理
• Run-length: 連長圧縮
• Text: Byte DictionaryのVARCHAR版

70. Amazon Redshift
接続方法
psql
JDBC
• SQL WorkBench/J 等
ODBC

71. Amazon Redshift
データのロード方法
COPYコマンド
• Amazon S3 上の CSV,TSV
• Amazon DynamoDB
JDBC,ODBC経由のツール

72. Amazon Redshift
データの解析方法
SQLクエリ
BIツール
• Tableau 等

73. Amazon SNS
HTTP通知やEメール通知、SMS通知や
Amazon SQSへの通知ができるサービス
ユースケース
CloudWatchからのアラート
• これをトリガにAutoScalingなど
CloudFormationでスタック構築が完了
した際の通知

74. Amazon SNS
Mobile Push
SNSからの通知を「統合的に」モバ
イル端末にプッシュ通知（iOS、
android）
1ヶ月100万件無料、以降$1/100万
件

75. Amazon VPC
VPNや専用線接続を用いて完全な閉
域網を構築可能
サブネットの構成によってDMZなど
の作成も柔軟に行える

76. Amazon VPC
Security Groups
インバウンド／アウトバウンドの指定（ステートフ
ルなので注意が必要）
動的な追加／削除が行える
ネットワークACL（NACL）
ステートレスフィルター
ENIの追加が可能
ポートフォワーディングなども可
Security Group

77. AWS IAM
Identity and Access Managemant
自身のAWSリソースにアクセスする
ためのグループ／ユーザー／ロール
を作成でき、ユーザーごとにクレデ
ンシャルを発行し、制限付きのアク
セスを実現する

78. AWS Direct Connect
AWS のインフラとオンプレミス環境
を専用線で接続するサービス
AWS∼相互接続ポイントまでの専用線
1Gbps/10Gbps
オンプレミス∼相互接続ポイントは別
途自社から引く必要あり

79. アプリケーション管理サービス
AWS CloudFormation
テンプレートベースで柔軟な設定
AWS Elastic Beanstalk
Webアプリケーション向け
障害の起きたEC2を自動復旧
ELBのURLを入替えて環境の切替が瞬時にできる
AWS OpsWorks
Chefレシピベース → v.11 (New!)
カスタムAMI (New!)
RDS 未対応 → 使う方法あり

80. AWS CloudFormation
JSON形式で記述したテンプレートを利用する
ことで、システムのスタックまるごとデプロイ・
更新・削除できるサービス
テンプレートのパート
Resources：作成したいリソースの定義
Parameters：画面から指定する引数
Mappings：条件に応じて入替える引数リスト
Outputs：結果の出力

81. AWS Data Pipeline
AWSのサービス間、あるいはオンプレミ
スとの間で、定期的／スケジュールに基づ
いたデータ処理／移動ができるサービス
AWSサービスはEC2、S3、RDS、EMR、
DynamoDBが対応している
2013/8現在、US East リージョンしか
提供されていない

82. Confidential
AWSインフラ
のセキュリティ

83. AWS片山さん資料より抜粋 http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378

84. 物理セキュリティ
複数レベル、複数要素による制御されているアクセス
環境
管理され必要性に応じたAWS従業員によるアクセス
（必要最小限）

85. 管理者による管理者権限アクセス
管理ホストへの多要素認証で、管理され必要性
に応じたアクセス
全てのアクセスのログ収集、監視、そしてレ
ビュー
AWS管理者は顧客VMの中、アプリケーション
とそのデータなどにはアクセスする権限を持た
ない

86. VMセキュリティ
Amazonアカウントへの多要素認証によるアクセス
インスタンスの隔離
ハイパーバイザレベルでの顧客によるファイアウォールの制御（顧
客がルート権限でOSを操作）
隣にあるインスタンスへのアクセスは許可されていない
仮想ディスクの管理レイヤがアカウントのオーナーだけがEBSに
アクセスすることを保証する
APIコールの暗号化のためのエンドポイントのSSLサポー
ト（通信の保護）

87. ネットワークセキュリティ
セキュリティグループ設定によるインスタンス毎
のファイアウォール設定が可能
VPC（Virtual Private Cloud）により、既存エン
タープライズデータセンターと論理的に隔離され
た複数のAWSリソースとの間にIPSec VPNでア
クセス可能

88. Confidential
事業者自身の公開
情報では裏付けが
ない→第三者認証

89. AWS片山さん資料より抜粋 http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378

90. SOC 報告書
米国公認会計士協会（AICPA）が分類
受託会社の「内部統制」に関する3種類の報告書
SOC 1/SSAE 16（米国）/ISAE 3402（国際） (formerly
SAS 70 Type II) ※要NDA
• 内部統制に関する取り組み
SOC 2 ※要NDA
• 情報セキュリティ、可用性、処理の整合性、プライバシーに関わる部分
SOC 3 ※Webで参照可能
• 情報セキュリティ、可用性、処理の整合性、プライバシーに関わる部分

91. ISO27001
ISMS（情報セキュリティマネジメントシステム）の国
際規格
組織自らのリスクアセスメントを行い、必要なセキュ
リティレベルを決め、プランを持ち、資源配分を行い、
システムを運用する、国際的に整合性のとれた情報セ
キュリティマネジメントに対する第三者適合性評価制
度
情報セキュリティのPDCAサイクルが適切に確保・維
持されていることの確認

92. FISMA, DIACAP, and FedRAMP
FISMA
連邦政府および外部委託先に米法で義務づけられた情報セキュリティ強化義務
DIACAP
国防総省の情報システムの適用規則、不測事態対応計画の立案＆テスト義務
FedRAMP
2012年から米国で運用が開始された、政府のクラウド調達の際に、1つの省
庁で認証を受けた事業者は、別の省庁でも追加仕様部分以外の認証を引き継げ
る制度
米国の政府調達基準への準拠

93. ITAR
International Traffic in Arms Regulations = 武
器国際取引に関する規則
武器輸出管理法の実施細目規定
米国の国家安全保障の防衛
防衛・軍事技術に関する情報は、アメリカ市民に
よってのみ共用してもよい

94. Confidential
(ITAR)
Sunday, March 3, 13
AWSエバンジェリスト堀内さん資料より抜粋 http://www.slideshare.net/horiyasu/ja

95. PCIDSS Level 1
PCI DSS v2
VISA年間600万件以上(※JCBは100万件以上)の
クレジット決済件数を扱ってよい認定
州によっては運営が準拠していたことを証明できる
と対象ブランドからの訴訟回避が可能（違約金一
部免除なども）

96. 各サービスのSLA
Amazon S3
通常（3カ所にバックアップ）
• 耐障害性：99.999999999%
• 可用性：99.99%
低冗長化ストレージ（2カ所）
• 耐障害性：99.99%
• 可用性：99.99%

97. 各サービスのSLA
Amazon EC2
Multi-AZ配備の場合 99.95%
Amazon RDS
Multi-AZ配備の場合 99.95%
下回った場合
サービス提供されていなかった時間のサービス
チケットで返却（機会損失等は補填されない）

98. ユーザー側のセキュリティ
AWSが提供する機能の適切な１利用
OSより上位のレイヤー全て
事例：
NASDAQ OMX
FISC対応リファレンス
coiney

99. 弊社事例

100. http://coiney.com/

101. PCI DSS要件
要件1: カード会員データを保護するために、ファイアウォールをインストール
して構成を維持する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の
デフォルト値を使用しない
要件3: 保存されるカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、
暗号化する
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新
する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス
を追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
要件12: すべての担当者の情報セキュリティポリシーを整備する

102. FirewallIDS/IPS Firewall
アカウント管理
ログ集約管理
脆弱性対策脆弱性対策脆弱性対策

103. PCI DSS要件
要件1: カード会員データを保護するために、ファイアウォールをインストール
して構成を維持する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の
デフォルト値を使用しない
要件3: 保存されるカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、
暗号化する
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新
する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス
を追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
要件12: すべての担当者の情報セキュリティポリシーを整備する
要件1: カード会員データを
保護するために、ファイア
ウォールをインストールし
て構成を維持する

104. Firewall
サーバー毎の通信許可
必要な箇所を許可
個別のセキュリティグループ
（サブネットは通信要件毎に分けている）

105. セキュリティソフトウェア導入
Trend Micro Deep Security
IPS/IDS/改ざん検知/Firewall/WAF/ログ監視
ServerProtect
ウィルス対策（リアルタイムスキャン）

106. http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/

107. PCI DSS要件
要件1: カード会員データを保護するために、ファイアウォールをインストール
して構成を維持する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の
デフォルト値を使用しない
要件3: 保存されるカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、
暗号化する
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新
する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス
を追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
要件12: すべての担当者の情報セキュリティポリシーを整備する
要件5: アンチウィルスソフト
ウェアまたはプログラムを使
用し、定期的に更新する

108. セキュリティ＋
!
•
•

109. PCI DSS要件
要件1: カード会員データを保護するために、ファイアウォールをインストール
して構成を維持する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の
デフォルト値を使用しない
要件3: 保存されるカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、
暗号化する
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新
する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス
を追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
要件12: すべての担当者の情報セキュリティポリシーを整備する

110. アカウント管理
サーバー毎ではなく個人毎のアカウント
OpenLDAP導入・権限管理
パスワード有効期限
90日
ロックアウト対応
6回以上パスワードトライされたらロック

111. PCI DSS要件
要件1: カード会員データを保護するために、ファイアウォールをインストール
して構成を維持する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の
デフォルト値を使用しない
要件3: 保存されるカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、
暗号化する
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新
する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス
を追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
要件12: すべての担当者の情報セキュリティポリシーを整備する
要件10: ネットワークリソース
およびカード会員データへの
すべてのアクセスを追跡および
監視する

112. アクセス記録・ログ集約管理
ログ管理
EC2インスタンス内に1週間分残す
fluentd経由でログサーバーへまとめ、S3へアーカイブ
[参考] FluentdでWeb Storage Archiveパターン
http://blog.cloudpack.jp/2013/01/aws-news-cdp-web-
storage-archive-fluentd.html

113. アクセス記録・ログ集約管理
ログ管理
サーバーだけでなく、ロードバランサやDBのログも取
得する必要がある

114. アクセス記録・ログ集約管理
Management Consoleアクセス制限とログ記録
多要素認証に加えて誰が何をしたか記録が必須
プロキシ経由のみアクセス可
プロキシサーバー上でアクセスログ記録
[参考] Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得
http://blog.cloudpack.jp/2013/02/aws-news-squid-aws-console-ip-log.html

115. PCI DSS要件
要件1: カード会員データを保護するために、ファイアウォールをインストール
して構成を維持する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の
デフォルト値を使用しない
要件3: 保存されるカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、
暗号化する
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新
する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス
を追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
要件12: すべての担当者の情報セキュリティポリシーを整備する
要件6: 安全性の高いシステム
とアプリケーションを開発し、
保守する

116. 脆弱性対策
ミドルウェア最新化
Apacheはパッケージでは不可だったため、最新版ソースをコ
ンパイル
• IPA（独立行政法人 情報処理推進機構）の定めるCVSS 4.0以上（レベルIII危険＋レベルII警告）
はすべて対策必須のため
Deep Security仮想パッチ
ソフトウェアのセキュリティパッチ提供前に脆弱性を保護
パッチ適用後は自動的に外れる

117. 日経コンピュータ

118. ワンストップでサービス提供
PCI DSS準拠支援
QSA
インフラ構築
PCI DSS準拠対策
エンドユーザー
PCI DSSレベル1
サービスプロバイダ
PCI DSS準拠
インフラ構築サービス

119. re:Invent update
!
CloudTrail
API call logging service

128. →
東日本大震災を機に自社運用からAWSへ
ECシステム全体の移行（EC2約50台＋
RDS5台）
移行前サーバー構成調査
ミドルウェア構築
関連開発会社への情報共有
AWSシステムの構築・運用・監視

129. 初 インフラ構築
SAP環境構築
NTTデータグロー
バルソリューショ
ンズ
AWS環境構築
cloudpack
移行時のみインス
タンスタイプ変更 AWS導入事例紹介ページより引用
http://aws.amazon.com/jp/solutions/case-studies/
kenkocom/

130. 初 インフラ構築
SAP環境構築
NTTデータグロー
バルソリューショ
ンズ
AWS環境構築
cloudpack
移行時のみインス
タンスタイプ変更 AWS導入事例紹介ページより引用
http://aws.amazon.com/jp/solutions/case-studies/
kenkocom/
TCOが65%削減できた

131. SAP on AWS環境へのデータアップロードに最適
C
M
中

134. ヱヴァンゲリオン新劇場版：Q 公式サイトより引用
http://www.evangelion.co.jp/sp/news_det.php?new

135. 日テレ
Bascule
cloudpack
フォアキャスト

136. 日テレ
Bascule
cloudpack
フォアキャスト
BePROUD

139. サーバ構成

140. ウェブサーバーのスケールアウト
リクエスト処理キューイング
バッチサーバースケールアウト
インメモリDBスケールアウト

141. 設計・運用のポイント
対APIアクセスバースト対策
事前プロビジョニング（オートスケールじゃ
間に合わない）
キューイング・非同期戦略
負荷シミュレーション（負荷テスト）
TV視聴→スマホの膨大なアクセス
本番時現場チーム形成
状況に応じたリアルタイム対応

142. 1. Auto Scaling は使わずプロビジョニング
2. FB,Twttrへの投稿をキューイングして処理を疎結合化
3. キューサイズによってバッチサーバーを Auto Scaling
サーバ構成上のポイント
5.コンテンツのキャッシュ
7.DBの耐障害性＋可用性
6.Webサーバーの可用性
4.インメモリDBスケールアウト

143. 2. FB,Twttrへの投稿をキューイングして処理を疎結合化
3. キューサイズによってバッチサーバーを Auto Scaling
サーバ構成上のポイント

144. サーバ構成上のポイント
6.Webサーバーの可用性

145. サーバ構成上のポイント
5.コンテンツのキャッシュ

146. サーバ構成上のポイント
7.DBの耐障害性＋可用性

149. インフラ設計・構築
インターネット公式サイト
月間1億PV 45億ヒット、
新車発表時3倍のアクセス
すべて冗長化
オンプレに環境再生可能な
バックアップ
東京リージョン障害時に
シンガポールで復旧可能

150. DR用CloudFormation
CloudFormationでシンガポールリージョ
ンに環境構築
テンプレートから一発で構築可能
Tokyo Region Singapore Region
CloudForma*on,
Template, Stack,

151. CDP
CloudFront
Clone Server
Multi-Datacenter
Cache Distribution
DB Replication
Bootstrap
Stack Deployment
HA NAT
DR

152. AWS運用監視＋保守
cloudpack標準＋αの監視システム構築
アプリログ監視
サーバー増減にも対応
運用体制
障害検知 一次障害窓口
アプリ開発会社
AWSサポート
アラート集約 切り分け

153. リリース時のバースト
公開時、想定を超えるアクセスが集中
スケールアウト、そしてスケールアップ
を同時に
スケールアウト
スケールアップ

154. ポイント
大規模プロジェクトでのスケジュール管
理
インフラ構築フェーズの位置、前後のタスク
Bプランをいつも準備されている
AWSすら信頼しない前提でのリスク管理
オンプレ環境へのデータバックアップ
シンガポールリージョンの準備

157. http://www.cloudpack.jp/casestudy/056.html

158. http://www.cloudpack.jp/casestudy/073.html

159. AWS運用をアウトソースしたい企業向けの
月額費用固定型フルマネージドホスティング
24時間365日サーバー運用・保守
•電話/メールによるサポート
初期費用なし(基本移行作業含む)
月額5万円からのスタート
日本円で請求書発行

160. フルマネージド
サービス/リソース監視
ディスク使用量、メモリ使用量、プロセス数、Webサーバー・DB
サーバー死活...
バックアップ/リストア
EBSスナップショットを利用した二世代（過去二日分）バックアッ
プ
アクセス制御(ファイアーウォール)
適切なセキュリティグループを設定、OS・ミドルウェアレベルで
さらに細かな設定も対応可能

161. 定額課金・請求書払い
従量課金では予算計画が立てられない
クレジットカードでUSドル決済では利用料の予測が難しい
Amazon Web Servicesでは...
月額固定＋日本円請求書発行

162. バースト保障
キャンペーンなど急激なアクセス増加へ合わせてインフラ準備するのは不可能
いつあるかわからないピークのために予め準備できない
追加料金無しでスケールアウト
（7インスタンス日まで）

163. PCI DSS、ISMS、Pマーク
取得済みの運用体制

164. http://www.cloudpack.jp/
suuport@cloudpack.jp
@cloudpack_jp