More Related Content
Similar to 20140924イグレックcioセミナーpublic
Similar to 20140924イグレックcioセミナーpublic (20)
20140924イグレックcioセミナーpublic
- 1. Amazon Study Trilogy 第2回
2014年9月24日
片山 暁雄 (akiok@amazon.co.jp)
アマゾン データ サービス ジャパン 株式会社
イグレック CIO Business Table
- 2. Amazon Study Trilogy 第1回:AWS概要、最新動向 第2回:守りのクラウド 「社内IT基盤のクラウド移行の勘所」 第3回:攻めのクラウド 「新規事業、ビッグデータ、 スタートアップ」
今回のセミナー
- 4. 4
© 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. 社内IT基盤のAWS移行メリット
- 7. 7
既存との併用が容易(ハイブリッド)
Amazon
Cloudwatch 各
拠
点
/
関
連
会
社
監視システム
AWS Management
Console
Internet
Active Directory
社内イントラ
VPNおよび専用線で接続し、自社データセン
ターの延長として利用できる
既存データセンター 専用線
SFA
会計/人事・給与
ファイル共有
ポータル
BI
各種業務処理
- 8. 8
ハードや技術の陳腐化リスクの低減
2008 2009 2010 2011
Amazon EBS
Amazon EC2
Amazon SNS
AWS Identity
& Access
Management
AWS Import
& Export
Amazon
CloudWatch
Amazon EMR
Amazon RDS
Amazon VPC
Auto Scaling
Elastic Load
Balancing
Amazon
ElastiCache
Amazon SES
AWS
CloudFormation
AWS Direct
Connect
AWS Elastic
Beanstalk
GovCloud
Amazon SWF
Amazon Route 53
Amazon Redshift
Amazon Glacier
Amazon
Dynamo DB
Amazon
CloudSearch
Amazon EC2
AWS Storage
Gateway
Amazon
CloudTrail
Amazon
CloudHSM
Amazon
WorkSpaces
Amazon Kinesis
Amazon Elastic
Transcoder
Amazon
AppStream
AWS OpsWorks
AWS Data
Pipeline
2012 2013
・合計 934個の 新サービス、新機能をリリース
・機能追加はAWSが実施
・仮想化基盤への適用作業が不要
・バージョンアップ費用が不要
2014
As of Aug
Amazon
zocalo
EBS
Encription
Amazon Cloud
Trail
EC2 T2
Instances
VPC
Peering
VPC
Peering
(2014年8月現在)
- 9. 9
ハードや技術の陳腐化リスクの低減
2006 2007 2008 2009 2010 2011 2012 2013
m1.small
m1.xlarge
m1.large
m1.small
m2.2xlarge
m2.4xlarge
c1.medium
c1.xlarge
m1.xlarge
m1.large
m1.small
cc2.8xlarge
cc1.4xlarge
cg1.4xlarge
t1.micro
m2.xlarge
m2.2xlarge
m2.4xlarge
c1.medium
c1.xlarge
m1.xlarge
m1.large
m1.small
hs1.8xlarge
m3.xlarge
m3.2xlarge
hi1.4xlarge
m1.medium
cc2.8xlarge
cc1.4xlarge
cg1.4xlarge
t1.micro
m2.xlarge
m2.2xlarge
m2.4xlarge
c1.medium
c1.xlarge
m1.xlarge
m1.large
m1.small
cc1.4xlarge
cg1.4xlarge
t1.micro
m2.xlarge
m2.2xlarge
m2.4xlarge
c1.medium
c1.xlarge
m1.xlarge
m1.large
m1.small
c3.large
c3.xlarge
c3.2xlarge
c3.4xlarge
c3.8xlarge
i2.large
i2.xlarge
i2.2xlarge
i2.4xlarge
i2.8xlarge
g2.2xlarge
cr1.8xlarge
hs1.8xlarge
m3.xlarge
m3.2xlarge
hi1.4xlarge
m1.medium
cc2.8xlarge
cc1.4xlarge
cg1.4xlarge
t1.micro
m2.xlarge
m2.2xlarge
m2.4xlarge
c1.medium
c1.xlarge
m1.xlarge
m1.large
m1.small
c1.medium
c1.xlarge
m1.xlarge
m1.large
m1.small
EC2インスタンスタイプ
• AWSを開始した2006年より、様々な用途に応じ
た インスタンスタイプを随時追加
• インスタンスタイプを切り替えることで、即座に
新しいインスタンスの利用開始が可能に
2014
r3.large
r3.xlarge
r3.2xlarge
r3.4xlarge
r3.8xlarge
t2.micro
t2.small
t2.medium
c3.large
c3.xlarge
c3.2xlarge
c3.4xlarge
c3.8xlarge
i2.large
i2.xlarge
i2.2xlarge
i2.4xlarge
i2.8xlarge
g2.2xlarge
cr1.8xlarge
hs1.8xlarge
m3.xlarge
m3.2xlarge
hi1.4xlarge
m1.medium
cc2.8xlarge
cc1.4xlarge
cg1.4xlarge
t1.micro
m2.xlarge
m2.2xlarge
m2.4xlarge
c1.medium
c1.xlarge
m1.xlarge
m1.large
m1.small
- 10. 冗長性・耐障害性の向上
Load Balancer
AZ-A
AZ-B
SG-LB SG-WEB SG-DB
AD 監視
貴社既存環境
プライベートクラウド
Load Balancer
AZ-A
AZ-B
SG-LB SG-WEB SG-DB
東京リージョン
グローバルリージョン(DRサイト)
backup
グローバルDR
コールドスタンバイ
SG-DEV
WEB/AP DB
WEB/AP DEV
Router
WAN網
社外取引先(インターネット)
社外取引先(専用線)
Router
Router
ジョブ
国内DR
VPN
S3
DR時リストア
- 11. HOYA株式会社様
グローバルに展開する 約100 の連結子会 社の財務・連結会計を中心とする基幹業 務を支えるSAP システムをAWSへ移行。
約2か月で、SAP環境のAWSへの完全移 行およびDR環境の構築が完了
プライベートクラウドと比較して、初期 投資で約 50 %~60 % コスト削減、従 量課金保守サポートを利用したことで、 実際のCAPEX 削減効果は約80~90%を 実現
- 12. 12
セキュリティ向上
利用者の統制
AWSの統制
利用者固有の要件
共有の責任
利用者のデータ
ユーザー権限管理
アカウント管理
アプリケーション
セキュリティ構成
ネットワーク構成
ゲストOS
コンピュート・インフラ
ストレージ・インフラ
ネットワーク・インフラ
施設・物理セキュリティ
AWSグローバル・インフラ
仮想化レイヤー
- 13. 13
グローバル対応
海外顧客や海外拠点への日本からのシステム構築
カリフォルニア
ダブリ
ン
シンガポール
東京
オレゴン
AWSを利用開始すれば、
世界9(+1)カ所のリージョン(地域)
26のアベイラビリティゾーン(データセンター群)
50のエッジロケーションを即座に利用可能
バージニア
サンパウロ
リージョン
エッジローケーション
GovCloud
シドニー
北京
- 15. 15
コスト削減
$0.15/GB
$0.12/GB
$0.105/GB
$0.095/GB
$0.09/GB
$0.065/GB
2006 2007 2008 2009 2010 2011 2013 2013 2014
$0.030/GB
・過去 45回 の値下げ
・AWSが値下げした時点で、コストが自動的に安くなる
(2014年7月現在)
例)Amazon S3の月額単価の推移
- 16. 16
コスト削減
機器更新
• ネットワーク、サーバ、仮想基盤などの定期的な機器更新作業が不要
サーバ障害発生時
• 再起動することで健全なハードウェアでの業務継続が可能
物理ハード 物理ハード
EC2 EC2
開発・テスト
• 普段使わない環境は止めておける
• 負荷テストや脆弱性チェックを、本番と同じ環境で実際可能
- 17. 17
オンプレミスからAWSクラウドへの変更で、
5年間で70%のTCO削減
2012/7 IDC White Paper
日本語: http://d36cz9buwru1tt.cloudfront.net/jp/wp/idc_aws_business_value_report_2012.pdf
英語版: http://media.amazonwebservices.com/idc_aws_business_value_report_2012.pdf
・AWS利用の企業11社へのヒアリング結果
・ソフト開発の生産性507%増加
・アプリケーション辺り平均約5000万円の削減
・ダウンタイムを72%減少
・IT全体の生産性を52%増加
- 18. 18
ビジネススピードの向上/
ビジネスリスクの低減
システム開発/構築を効率化する事が可能なため、短期間で
のビジネス開始が可能
小さくはじめて大きく育てることが低リスクでできる
特にビジネスメリットが見えにくい分野(ビッグデータ分
析、顧客分析)はメリットが大きい
- 21. 21
ソニー銀行様
銀行業務システム、社内業務システム、一般向けシステム
の基盤としてAWSを利用
• ドキュメント管理、管理会計、リスク管理などのシステムを順次AWSへ
セキュリティについて詳細に確認後、採用を決定
• クラウドセキュリティの正しい理解
• FISC安全対策基準への適合性確認
• ソニー銀行独自のシステムリスク分析
AWS Summit2014資料より抜粋
5年で約37%のコスト削減メリット
得られた導入効果
• 拡張性
• HW保守対応、HW障害対応
• ライセンス
• 非稼働時コスト、ピーク時コスト、見込拡張コス
ト
• 耐障害性向上、復旧時間短縮
• BCP対応
- 22. 22
© 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. AWSへの移行のパターン
- 23. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
23 既存システム老朽化に伴う移行先として検討
•Webサイト、営業支援システム
•ファイルサーバ、業務システム コスト削減の一環として検討
•開発/テスト環境
•SAP DR/BCP環境として検討
•システム/データバックアップ
•災害時システム用 新しい取り組みのプラットフォームとして検討
•新ビジネス
•BIやログ解析など既存では出来なかったもの
AWS導入の第一歩
はじめは一部での導入を検討
- 24. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
24
1.一部導入を検討
6.全社利用のために ガイドラインや運用を 整備
AWS導入までのステップ例
5.システムを導入
7.社内で横展開
2.機能/コスト/セキュリティ などをチェック
4.機能検証を実施(PoC)
3.VPNでAWSと接続
(プライベートクラウド機能 の利用)
- 25. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
25
2.機能/コスト/セキュリティ
などをチェック 機能の確認
•勉強会の開催
•情報の収集
•AWSウェブサイトの各サービス説明ページやマニュアル
•クラウドサービス活用資料集
–http://aws.amazon.com/jp/aws-jp-introduction/
•アーキテクチャレビュー・QA コスト面の確認
•見積もりツールでの試算
•http://calculator.s3.amazonaws.com/calc5.html?lng=ja_JP
•支払方法の決定
•クレジットカード、支払代行、ペイメントサービス、請求書 etc セキュリティ面の確認
•社内規定とAWSセキュリティのマッチング
•AWSホワイトペーパーや第三者認証の確認
- 26. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
26
3.VPNでAWSと接続 (プライベートクラウド機能の利用) AWSへのVPN接続を確立
•IPSec対応のルーターがあれば、即座に接続可能
•プライベートIPアドレスの振り出しを実施してイントラと接続
リージョン
EC2
VPC
イントラ
プライベート サブネット
パブリック サブネット
インターネット
分離したNW 領域を作成
ゲートウェイ
VPN接続
専用線
- 27. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
27
4.機能検証を実施(PoC) AWSの操作と各サービスの機能の確認 対象システムの構築とテストの実施
•社内環境からの疎通確認
•AWSの各種サービス機能の確認
•ソフトウェアのインストール/動作確認
•セキュリティ機能の確認(FW、Network ACL)
•パフォーマンステスト(ネットワーク、ディスク、CPU) 低予算/短期間で検証を実施可能
•初期費用なしの従量課金
•商用ソフトも従量課金やライセンス持ち込みで利用可能
•Windows, RedHat, Oracle, SQLServer
•SAP, Citrix, Adobe など
•インフラ調達はWebコンソールから即座に実施可能
•本番相当の環境構築や負荷テストも短期間なら低予算
- 28. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
28 新規AWS利用時のPoC実施を支援するプログラム AWSソリューションアーキテクトによるPoCの技術支 援と、PoC費用($100)をご提供します 利用条件:
•新規でAWSアカウントを開設して頂く事
•PoCの目的の確認と、終了時のヒアリング/レポート
PoC支援プログラム
- 29. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
29 システム導入を誰が行うか?
•自社(情報システム部門、ユーザー部門)が導入
•情報子会社が導入
•既存取引のあるSIerに発注
•AWSクラウドの実績のあるSIerに発注
•ラージSI
•ブティックSI
5.システムを導入
- 30. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
30
6.全社利用のために ガイドラインや運用を整備 AWSクラウド活用方針(目的)の制定
•コスト削減
•ガバナンス
•柔軟性、俊敏性、安定性の強化
•高い生産性と付加価値(ITカルチャーチェンジ)
- 31. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
31
カルチャーチェンジ(設計)
- 32. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
32
カルチャーチェンジ(開発)
- 33. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
カルチャーチェンジ(自動化) アプリケーションだけではなく、インフラ構築 もすべてコード化(Infrastructure as Code) 属人的な作業をコード化することにより、作業 品質を高める コード化により、インフラのバージョン管理が 可能に
- 34. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
34
カルチャーチェンジ(運用)
エンドユーザ、パートナー様によ る監視と障害時の対応/原因究明
AWSによる監視と障害時の対応
•アプリケーション
•セキュリティグループ
•ファイアウォール
•OS
•ネットワーク設定
•アカウント管理
•ファシリティ
•物理セキュリティ
•物理インフラストラクチャ
•ネットワークインフラストラクチャ
•仮想インフラストラクチャ
AWS
Customer 監視および障害発生時の対応分岐点
- 35. オンプレミス環境の監視方法
Application
Middleware
Data Center
Server/Storage
Appliance
SNMP/MIB
Agent経由等の 情報収集
アプリ チェック
OS
Network
H/W監視
サーバ・ストレージ
ネットワーク
アプライアンス機器
電源・帯域
アプリ性能/死活監視
リソース監視
死活監視 (ログ,プロセス,OS)
SNMP Trap
•システム導入/拡張 時の作業
•保守切れによるH/W の入れ替え。
•ファームウェアバー ジョンのチェックと 維持
•障害時の原因調査お よび復旧作業
- 38. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
38
6.全社利用のために
ガイドラインや運用を整備 既存IT資産の洗い出しとカテゴリー分け
•アーキテクチャや重要度などでカテゴリ分け
•ライセンスについても確認
•オンプレミスに残すもの、クラウドに移行するもの
•コスト効果の高いものから移行を実施
•移行ロードマップの策定
- 39. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
39
- 40. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
40
6.全社利用のために
ガイドラインや運用を整備 更なる検証の実施
•カテゴリ分けしたシステムごとに、要件とそれに対する AWSでの充足度を検証
•コスト、性能要件、移行要件、保守運用要件、環境要件、 可用性要件、セキュリティ要件などを確認
•必要に応じて、RFI/RFPの実施
•リスクについても分析
•参考資料
•AWSアーキテクチャセンター
–http://aws.amazon.com/jp/architecture/
•AWSセキュリティセンター
–http://aws.amazon.com/jp/security/
•AWSホワイトペーパー
–http://aws.amazon.com/jp/whitepapers/
- 41. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
41
大分類
小分類
オンプレミス
AWS
コスト
支払い方法
一括
従量課金
リザーブド
スポット
性能要件
最大コア数
16コア
16コア
ディスク性能
300 IOPS(SAS)
4000 IOPS(最大)
ネットワーク
社内-DC間:100M
DC内:1Gbps
社内-DC間:10G(最大)
DC内:10Gbps(最大)
移行要件
既存パッケージサポート
〇
SAP,Oracle,Microsoftなど
保守運用要件
既存システムとの連携
サポート有無
各ベンダーサポート
4種類のサポート
環境要件
DCロケーション
@東京
関東近郊
世界9カ所
監査対応
年1回
SOC1,SOC2
可用性要件
SLA
-
99.95%(EC2)
データ耐久性
99.999%
99.99999999%
セキュリティ要件
セキュリティ監査
実施
実施(SOC1,2,PCI-DSS)
検証リスト例
- 42. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
42
6.全社利用のために ガイドラインや運用を整備 システム構成のメニュー化
•システム重要度ごとに推奨アーキテクチャの定義
•クラスAは全2重化、クラスBはDBのみ多重化など
•監視、コンテンツ配信、端末-AWS間VPN接続などのオプション メニューの定義
•移行ガイドラインの作成
•課金方式の定義
•メニューごとの単価の設定
•部署/システムごとの課金
- 43. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
43
Availability Zone A Availability Zone B
Oracle Oracle
EC2 EC2
AZ
AZ
AZ
Amazon S3
バックアップ
Amazon ELB
推奨構成の作成
オンプレミス
専用線
1Gbps
AD
認証
- 44. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
44
ガイドラインの作成
- 45. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
45
6.全社利用のために
ガイドラインや運用を整備 運用手順の整備
•専用線の接続、ネットワーク採番方法の定義
•システム構築手順
•各種申請書/登録ポータル作成
•監視項目設定
•障害対応手順、バックアップ/リストア手順
- 46. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
提供範囲の明確化
オンプレミス
VPN/専用線
EC2
EC2
部署A 部署A
部署B
部署B
管理チーム
AWSアカウント
(課金アカウント)
AWSアカウント
(部署Aアカウント)
AWSアカウント
(部署Bアカウント)
課金をどの単位で行うか
• 部署ごと or プロジェクトご
と
ネットワーク割り当ての
ルール
運用監視はどの部署が行う
か
AWSインフラの操作権限を
どこまで提供するか
インフラチーム
IAM/OS
IAM/OS
46
- 49. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
49
7.社内で横展開 社内での横展開
•作成したカテゴリや検証結果に基づいたクラウド利用 の可否決定
•メニュー構成に従ったシステムの構築
•開発支援
•運用/監視サービス
•ナレッジの蓄積
- 50. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
50
まとめ 検証が容易なメリットを生かしてステップバイステップ で導入 気になるポイントは事前検証を実施 セキュリティや契約、課金については壁になるケースが 多いため、早い段階で検討 AWSを適用出来るシステムを見定め、効果の高いもの から利用を実施。すべてAWSに移行する必要はない
- 51. 51
© 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. AWSのセキュリティ・コンプライアンス
- 52. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
AWS GovCloud (US)
米国政府、関連業者のみが利用可能
国際武器取引規制(ITAR)の要求に基づき
米国市民のみがアクセスできる環境を提供
- 53. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
53
東京海上日動様
•AWS Summit 2013にご登壇
–理事IT企画部長 稲葉様
•次世代のIT基盤としてのビジネスメリットに着目
•第三者認証の確認や、AWSセキュリティグループへの確認を通じ、 AWSは金融でも利用できると確認
•第三者認証のレポートと自社内基準のマッピング
•AWSのセキュリティチームとAWSサービスの運用ポリシーを確認
•有事の際の迅速な連絡体制、対応体制をすりあわせ
•今後はSaaS含め幅広い分野でAWSを活用
•複数のプロジェクトでAWSの採用を決定
•新規システム、システム移行など、活用範囲を順次拡大予定
•AWS認定エンジニアの教育・強化を図る
- 54. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
54
東芝メディカルシステムズ様 医療用画像の保管先として、AWSを利用 法改正や震災により、災害対策/バックアップが重要に 暗号技術とクラウドストレージ利用で安全性と信頼性を 確保し、ガイドラインを遵守
- 55. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
55
『Amazon Web Services』対応
セキュリティリファレンス
•FISC安全対策基準(第8版追補)へのAWSの準拠状況を調査した資 料を一般公開
•システムインテグレーター/パッケージベンダーが7社が共同で調査
•AWSと利用者で責任分担することで、基準を満たせるとの見解
- 56. 56
Copyright ©2012 Amazon Web Services.Inc
Agenda
AWSのセキュリティ方針
AWS側のセキュリティ
AWS利用者側のセキュリティ
1
2
3
- 58. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
AWSのセキュリティ方針
•AWSクラウドのセキュリティ
–セキュリティはAWSにおいて最優先されるべき事項
–セキュリティに対する継続的な投資
–セキュリティ専門部隊の設置
•共有責任モデルの採用
–AWSと利用者の2者でセキュリティを確保
58
- 59. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
共有責任モデル
59
• ファシリティ
• 物理セキュリティ
• 物理インフラ
• ネットワークインフラ
• 仮想インフラ
• OS
• アプリケーション
• データ保護
• OSファイアウォール
• ネットワーク設定
• アカウント管理
- 61. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
• 物理セキュリティ
• ネットワークセキュリティ
•VMセキュリティ
• 管理者層による管理者権限アクセス
• 認定 & 認証評価
- 62. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
• 物理セキュリティ
• ネットワークセキュリティ
•VMセキュリティ
• 管理者層による管理者権限アクセス
• 認定 & 認証評価
- 63. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
物理セキュリティ
•Amazonは数年間にわたり、大規模なデータセンターを 構築
•重要な特性:
–場所の秘匿
–周囲の厳重な制御
–物理アクセスの厳密なコントロール
–2要素認証を2回以上でアクセス
•完全管理された、必要性に基づくアクセス
•全てのアクセスはロギングされ、チェックされる
•職務の分離
–物理アクセス可能な従業員は論理権限にアクセス不可
63
- 64. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
データセンター設置時のポリシー
•各データセンターは物理的に隔離
•洪水面を考慮
•地盤が安定している場所
•無停止電源(UPS)、バックアップ電源、異なる電源供 給元の確保
•冗長化されたTier-1ネットワークの接続
- 65. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
ストレージの破棄
•データ消去方法
–DoD 5220.22-M(米国国防総省方式)
•3回の書き込みでの消去を実施
•固定値→補数→乱数
–NIST 800-88(媒体サニタイズに関するガイドライン)
•情報処分に対する体制、運営やライフサイクルに関するガイドライ ン
•情報処分に対しする組織的に取り組み
•物理的に故障した場合は、消磁および破壊を実施して破棄していま す。
•参考: http://www.ipa.go.jp/security/publications/nist/documents/SP800-88_J.pdf
- 66. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
• 物理セキュリティ
• ネットワークセキュリティ
•VMセキュリティ
• 管理者層による管理者権限アクセス
• 認定 & 認証評価
- 67. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
ネットワークセキュリティ
67
•DDoS (Distributed Denial of Service):
–エンドポイントに標準的な緩和技術を施行
•MITM (Man in the Middle):
–全てのエンドポイントはSSLによって保護
–EC2のホストキーはブート毎に生成され更新
•IPスプーフィング:
–ホストOSレベルで不許可
•許可されていないポートスキャン:
–AWSサービス利用規約違反に該当
–検知され、停止され、ブロックされる
–インバウンドポートはデフォルトでブロックされているため、事実上無効
•パケット・スニッフィング:
–プロミスキャス・モードは不許可
–ハイパーバイザーレベルで制御
- 68. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
ネットワークトラフィックフローセキュリティ
• セキュリティグループ
• インバウンドのトラフィックはプロトコ
ル、ポート、セキュリティグループによ
り明示的に指定。
• VPCはアウトバウンドのフィルタも追加
する
• ネットワークACL:
• VPC はインバウンドとアウトバウン
ドのステートレスフィルタも追加す
る
• サブネット・ルーティングテー
ブル・ゲートウェイ:
• VPCで作成可能
• これらの機能を提供
OS Firewall
Network ACL
68
Security Group
- 69. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
多階層セキュリティアプローチの実例
Web Tier
Application Tier
Database Tier
80または443ポート のみをインターネッ ト側で受け付ける
エンジニアがAP層にssh アクセスを行う
その他のインターネット経由の アクセスは全てデフォルトで拒否
オンプレミスDBとの同期
Amazon EC2 Security Group Firewall
69
- 70. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
• 物理セキュリティ
• ネットワークセキュリティ
•VMセキュリティ
• 管理者層による管理者権限アクセス
• 認定 & 認証評価
- 71. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
Firewall
Physical Interfaces
Amazon EC2のインスタンス独立性
Customer 1 Customer 2 Customer n
Hypervisor
…
…
Virtual Interfaces
Customer 1
Security Groups
Customer 2
Security Groups
Customer n
Security Groups
71
- 72. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
VMセキュリティ
• ハイパーバイザー(ホストOS)
– AWS管理者の拠点ホストからの個別のSSHキーによるログイン
– 全てのアクセスはロギングされ、監査されます
• Firewall
– AWS利用者設定に従い、トラフィックをコントロール
– 設定しない通信は不可
• ゲストOS(EC2インスタンス)
– 顧客による完全なコントロール (顧客がルート/管理者権限を保有)
– AWS管理者はログイン不可能
– 顧客が生成したいキーペアを使用
72
- 73. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
仮想メモリとローカルディスク
•AWSのディスク管理により、 あるインスタンスがその他 のインスタンスのデータを 読み取るのを防護
•ディスクは作成されるたび にワイプされる
•ディスクはAWS利用者が自 由にフォーマット可(暗号 化が可能)
73
Encrypted File System
Encrypted Swap File
- 74. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
• 物理セキュリティ
• ネットワークセキュリティ
•VMセキュリティ
• 管理者層による管理者権限アクセス
• 認定 & 認証評価
- 75. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
•AWSサービスに対する全ての変更は、社内システムで管 理されます
–認証
–ロギング
–テスト
–承認
•職務の分離
–物理アクセス可能な従業員は論理権限にアクセス不可
•顧客に影響を与えないよう、影響範囲を確認しながら段 階的にデプロイされます
管理者権限アクセス・変更管理
75
- 76. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
• 物理セキュリティ
• ネットワークセキュリティ
•VMセキュリティ
• 管理者層による管理者権限アクセス
• 認定 & 認証評価
- 77. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
セキュリティ・コンプライアンス
•AWSは以下のような第三者認証を取得済み
–SSAE 16/ISAE 3402基準、SOC1レポート(旧SAS70)
–SOC2レポート、SOC3レポート
–ISO 27001 Certification
–PCI DSS Level 1
–FISMA moderate
–Sarbanes-Oxley (SOX)
–FedRAMP
–DoD(国防総省暫定認証)
•AWSにシステムをデプロイし、第三者認証を取得するこ とも可能
–HIPAA (医療関係)
–Pマーク
–ASP・SaaS安全・信頼性に係る情報開示認定制度
77
- 78. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
SSAE16/ISAE3402 SOC1レポート
•AWSの内部統制に関する保証報告書
•AWSの各サービスにおけるセキュリティ、変更管理、 運用等の情報を保証報告書という形式でお客様に提供
•NDAベースでSOC1レポートをご提示可能
78
- 79. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
SOC 1 Type II – Control Objectives
•Control Objective 1: セキュリティ組織、体制
•Control Objective 2: 従業員の雇用ライフサイクル
•Control Objective 3: 論理的なセキュリティ
•Control Objective 4: 安全なデータの取り扱い
•Control Objective 5: 物理的なセキュリティ
•Control Objective 6: 環境的なセーフガード
•Control Objective 7: 変更管理
•Control Objective 8: データの完全性、可用性、冗長性
•Control Objective 9: インシデント管理
- 80. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
SOC2レポート
•受託会社の財務報告に関連する内部統制以外の要望に 応えるための報告書
•Trustサービスの基準に従って客観的に評価
–セキュリティ
–可用性
–処理のインテグリティ
–機密保持
–個人情報の保護(プライバシー)
•AWSのセキュリティに関して透明性をもたらす内容
80
- 81. © 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
81
SOC3 レポート SOC 1 (SSAE 16/ISAE 3402)およびSOC 2 – Securityの レポートに加え、SOC3レポートの提供を開始 NDAなしで参照可能なSOC2レポートの要約 AWSインフラおよびサービスの統制の有効性について記述 されたレポート http://aws.amazon.com/compliance/#soc3
- 82. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
PCI DSS Level1 Service Provider
•PCI DSS 2.0 コンプライアンス準拠
•コアなインフラストラクチャとサービスをカバー
–EC2, EBS, S3, VPC, RDS, ELB, IAM
•標準で、特に変更のない設定を使用して認定
•認定セキュリティ評価機関(QSA)のタスクを利用
•AWSはビジネスでの利用が可能で、Qualified Incident Response Assessors (QIRA)として設計
–フォレンジック調査をサポートする事が可能
•全てのリージョンで認定
•アップデートはこちらをご覧ください。
–http://aws.amazon.com/security/pci-dss-level-1-compliance-faqs/
82
- 83. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
AWS側のセキュリティのまとめ
•セキュリティはトッププライオリティ事項
•AWS責任範囲は、物理論理問わず徹底し た対策を実施
•実施内容を裏付ける第三者認証も取得
•AWS利用者は、責任部分だけに作業を集 中できる
- 84. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
セキュリティに関する情報の提供
- 85. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
AWS Security Center (http://aws.amazon.com/security/)
•セキュリティホワイトペーパー
•セキュリティとプライバシーの回答
•半年に1度アップデート
•セキュリティ速報
•顧客によるペネトレーションテストのポリシ
•セキュリティベストプラクティス
•AWS Identity & Access Management (AWS IAM)
•AWS Multi-Factor Authentication (AWS MFA)
85
- 86. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
86
- 87. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
CSA-Consensus Assesments Initiative Questionnaire-
•CSA Consensus Assessments Initiative Questionnaire には、クラウド使用者およびクラウド 監査人がクラウドプロバイダに要求すると CSA が想 定している質問を記載。クラウドプロバイダの選択や セキュリティの評価など、幅広い用途に使用可能。
•セキュリティ、統制、およびプロセスに関する一連の 質問にAWSは回答済み。
*CSAの詳細はhttp://aws.amazon.com/jp/security/ AWS リスクとコンプライアンスのホワイトペーパーを参照
87
- 89. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
責任共有モデル
89
• ファシリティ
• 物理セキュリティ
• 物理インフラ
• ネットワークインフラ
• 仮想インフラ
• OS
• アプリケーション
• セキュリティグループ
• OSファイアウォール
• ネットワーク設定
• アカウント管理
今までのセキュリティ
ポリシーを実装できる
- 90. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
AWS独自ですべきセキュリティ対策
• Amazon VPC(Virtual Privete Cloud)の利用
• 暗号化機能の利用
• MFA(Muti Factor Authentication)デバイスの利用
• IAM(Identity and Access Management)の利用
• 操作ログ取得(CloudTrail)
90
- 91. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
Amazon VPC
•AWS上に、好きなネットワーク体系の論理的なネット ワークを構築できるサービス
–ネットワーク上にEC2等のAWSサービスを配備
91
- 92. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
VPCでしか使えないもの
• セキュリティグループ
– インバウンドとアウトバウンド両方の指定
– セキュリティグループの動的な追加/削除
• ネットワークACL
– セキュリティグループに加え、ステートレスなフィルターを使用
可能
• ENI(Elastic Network Interface)
– EC2に追加のネットワークカードを付与
• VPN/専用線接続
- 93. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
VPCでしか使えないもの
• セキュリティグループ
– インバウンドとアウトバウンド両方の指定
– セキュリティグループの動的な追加/削除
• ネットワークACL
– セキュリティグループに加え、ステートレスなフィルターを使用
可能
• ENI(Elastic Network Interface)
– EC2に追加のネットワークカードを付与
• VPN/専用線接続
VPC != VPN
VPN接続や専用線接続を使用しなくて
も、VPCを利用したほうが利点が多い
- 94. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
暗号化機能の利用
•ディスク(Amazon EBS)暗号化
•S3暗号化
•RDS(Oracle)暗号化
EC2
EBS
- 95. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
MFAデバイスの利用
•AWSマネジメントコンソールは守るべき対象
•MFAを使うと、ログイン時に、ユーザーID、パスワード の他に、デバイスに表示される数値を入力して認証する
•S3の削除時や、APIコール時にも利用可能
–S3 delete protection, MFA protected API call
- 96. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
•AWSを操作するためのユーザとグループの作成
•各グループ・ユーザーごとに、操作権限の付与が可能
•例えば「EC2の停止ができないユーザー」が作れる
•ユーザーごとにID/Passwordなどの認証情報を発行でき る
•MFAもユーザーごとに設定可能
•AWS SDKをEC2上で使用する場合は、「IAM Role」を 使用可能
•EC2に認証情報を置かずにAPIコールが可能に
AWS Identity and Access Management (IAM)
96
- 97. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
操作ログの取得(AWS CloudTrail)
•AWS管理操作のログを取得し、暗号化してS3に保存する 新機能
•MFA Delete(多要素認証デバイスを用いた消去手法) に対応
•ログファイルは、AWSアカウントID、リージョン、サ ービス名、日付、時間の情報毎に分類、圧縮
•主な活用用途
•コンプライアンス準拠
•リソースのライフサイクル管理
•トラブルシューティング
•セキュリティ面の分析
AWSのサービスの利用履歴を取得することが出来るサービス
- 98. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
共有責任モデル
98
• ファシリティ
• 物理セキュリティ
• 物理インフラ
• ネットワークインフラ
• 仮想インフラ
• OS
• アプリケーション
• セキュリティグループ
• OSファイアウォール
• ネットワーク設定
• アカウント管理
- 99. © 2012 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc.
共有責任モデル
99
• ファシリティ
• 物理セキュリティ
• 物理インフラ
• ネットワークインフラ
• 仮想インフラ
• OS
• アプリケーション
• セキュリティグループ
• OSファイアウォール
• ネットワーク設定
• アカウント管理
・共有責任モデルを理解し、必要なところだけに注力する
・既存のセキュリティポリシーを適用
・AWS独自部分は、提供機能をしっかり利用
- 100. 100
© 2013 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without the express consent of Amazon.com, Inc. まとめ
- 101. 10
1
社内IT基盤のAWS移行
企業の戦略的プラットフォームとしての利用が促進
– コストだけでなく、開発・調達スピード、セキュリティ、ガバナンス
などの観点でAWSを採用
– ビジネスを実現するためのキーファクターとしてのクラウド
まずはPoCを!
– はじめるためのハードルは低いため、低リスクで検証を開始できます
- 102. 10
2
• AWSパートナーネットワーク
(APN)のメンバーであるサーバー
ワークス、アクセンチュア、アビー
ムコンサルティング、伊藤忠テクノ
ソリューションズ、日本ユニシス、
日立製作所の6社が、エンタープライ
ズシステムで、AWSをいかに活用す
るかに焦点を当て共同執筆したガイ
ドブック
• 第一部はAWSの概要や利用者が享受
できるメリット、第二部はAWSの導
入を検討する際に考慮すべきシステ
ム構成やセキュリティ・運用要件、
移行、契約のポイントなどより詳細
な情報により構成されており、導入
の勘所や実務までを解説している