2014.2.22 JAWS-UG愛媛松山でのプレゼン資料

1. 小さなSIer/Web制作
会社のためのAWS！
2014.2.22
吉田 真吾

2. 自己紹介
吉田 真吾（よしだ しんご）
エバンジェリスト、ソリューションアーキテクト
AWSサムライ2014（Japan AWS UserGroup）
AWS Certified Solutions Architect ‒ Associate
AWS Certified SysOps Administrator - Associate
バックグラウンド
通信キャリア：基地局制御、GISサービス 開発
SIer：証券システム基盤 開発
•
DBA、スペシャリストとしてDBチューニングや新規システム構築を推進

3. きっかけ

5. 2013年4月∼

6. 好きなサービス

8. これ 全部 AWS

9. 小さな
SIer/Web制作会社

10. 2003年創業

11. 2003年創業
Intel Inside

12. 2010年4月
cloudpack事業

14. Our Customers

15. 0 to 350<

16. !
•
2013年6月

17. たった3年で
会社は変わる

18. 50>

19. ♥️

20. 1つめのなぜ？
♥️

21. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927

22. スピード勝負！
http://it.impressbm.co.jp/e/2014/02/20/5563/page/0/1

23. cloudpack の価値
AWS専門部隊
コンサルティング、アセスメント、導入設計
ホスピタリティ
24時間365日有人監視、保守対応
実績
350社を超えるアカウントを運用する運用品質
セキュリティ
PCI DSS Level 1 Service Provider 認定
スピード
IGW
ELB
ELB
ELB
NAT
NAT
VPC Subnet
最短30分でのデリバリー実績
EC2
NAT
ELB
NAT
VPC Subnet
DB
VPC Subnet
VPC Subnet
Availability Zone A
EC2
EC2
EC2
EC2
EC2
VPC Subnet
ELB
VPC Subnet
VPC Subnet
EC2
EC2
ELB
EC2
EC2
VPC Subnet
Availability Zone B
Virtual Private Cloud（10.0.0.0/20）

26. プッシュ配信すると

27. 直後に大量流入
30分くらいで元通り
0
5
10
15
20
25
30
35
(分)

28. 基本構成
Elastic Load Balancing
Webサーバー
1
Web,NFS,memcached
DB
1 (Multi-AZ)

29. スケールアウト

30. やること
事前スケールアウト
- Webサーバー追加、ELB配下に
- NFSマウント、ELBから切離し
ELBのPre-Warming申請
※ビジネスレベル以上のAWSサポー
トが必要

31. 2つめのなぜ？
♥️
セキュリティ

32. http://www.atmarkit.co.jp/ait/articles/1301/24/news087.html
Sunday, March 3, 13

33. AWSはPCI DSSレベル1準拠
レベル1サービスプロバイダとして認定
EC2/S3/EBS/VPC/RDS/ELB/IAM
がPCI検証済み

34. http://coiney.com/

35. PCI DSS要件
要件1: カード会員データを保護するために、ファイアウォールをインストール
して構成を維持する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の
デフォルト値を使用しない
要件3: 保存されるカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、
暗号化する
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新
する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス
を追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
要件12: すべての担当者の情報セキュリティポリシーを整備する

36. IDS/IPS
アカウント管理
Firewall
ログ集約管理
脆弱性対策
脆弱性対策

37. PCI DSS要件
要件1: カード会員データを保護するために、ファイアウォールをインストール
して構成を維持する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の
デフォルト値を使用しない
要件1: カード会員データを
保護するために、ファイア
ウォールをインストールし
て構成を維持する
要件3: 保存されるカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、
暗号化する
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新
する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス
を追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
要件12: すべての担当者の情報セキュリティポリシーを整備する

38. Firewall
サーバー毎の通信許可
必要な箇所を許可
個別のセキュリティグループ
（サブネットは通信要件毎に分けている）

39. セキュリティソフトウェア導入
Trend Micro Deep Security
IPS/IDS/改ざん検知/Firewall/WAF/ログ監視
ServerProtect
ウィルス対策（リアルタイムスキャン）

40. http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/

41. PCI DSS要件
要件1: カード会員データを保護するために、ファイアウォールをインストール
して構成を維持する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の
デフォルト値を使用しない
要件3: 保存されるカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、
暗号化する
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新
する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件5: アンチウィルスソフト
ウェアまたはプログラムを使
用し、定期的に更新する
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス
を追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
要件12: すべての担当者の情報セキュリティポリシーを整備する

42. !
•
•
セキュリティ＋

43. PCI DSS要件
要件1: カード会員データを保護するために、ファイアウォールをインストール
して構成を維持する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の
デフォルト値を使用しない
要件3: 保存されるカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、
暗号化する
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新
する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス
を追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
要件12: すべての担当者の情報セキュリティポリシーを整備する

44. アカウント管理
サーバー毎ではなく個人毎のアカウント
OpenLDAP導入・権限管理
パスワード有効期限
90日
ロックアウト対応
6回以上パスワードトライされたらロック

45. PCI DSS要件
要件1: カード会員データを保護するために、ファイアウォールをインストール
して構成を維持する
要件10: ネットワークリソース
およびカード会員データへの
すべてのアクセスを追跡および
監視する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の
デフォルト値を使用しない
要件3: 保存されるカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、
暗号化する
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新
する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス
を追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
要件12: すべての担当者の情報セキュリティポリシーを整備する

46. アクセス記録・ログ集約管理
ログ管理
EC2インスタンス内に1週間分残す
fluentd経由でログサーバーへまとめ、S3へアーカイブ
[参考] FluentdでWeb Storage Archiveパターン
http://blog.cloudpack.jp/2013/01/aws-news-cdp-webstorage-archive-fluentd.html

47. アクセス記録・ログ集約管理
ログ管理
サーバーだけでなく、ロードバランサやDBのログも取
得する必要がある

48. アクセス記録・ログ集約管理
Management Consoleアクセス制限とログ記録
多要素認証に加えて誰が何をしたか記録が必須
プロキシ経由のみアクセス可
プロキシサーバー上でアクセスログ記録
[参考] Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得
http://blog.cloudpack.jp/2013/02/aws-news-squid-aws-console-ip-log.html

49. PCI DSS要件
要件6: 安全性の高いシステム
とアプリケーションを開発し、
要件1: カード会員データを保護するために、ファイアウォールをインストール
して構成を維持する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の
デフォルト値を使用しない
要件3: 保存されるカード会員データを保護する
保守する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、
暗号化する
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新
する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス
を追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
要件12: すべての担当者の情報セキュリティポリシーを整備する

50. 脆弱性対策
ミドルウェア最新化
Apacheはパッケージでは不可だったため、最新版ソースをコ
ンパイル
•
IPA（独立行政法人 情報処理推進機構）の定めるCVSS 4.0以上（レベルIII危険＋レベルII警告）
はすべて対策必須のため
Deep Security仮想パッチ
ソフトウェアのセキュリティパッチ提供前に脆弱性を保護
パッチ適用後は自動的に外れる

51. 日経コンピュータ

52. ワンストップでサービス提供
エンドユーザー
PCI DSS準拠
インフラ構築サービス
インフラ構築
PCI DSSレベル1
PCI DSS準拠対策
サービスプロバイダ
PCI DSS準拠支援
QSA

53. re:Invent update
!
CloudTrail
API call logging service

61. AWS運用をアウトソースしたい企業向けの
月額費用固定型フルマネージドホスティング
24/365監視運用保守
定額課金・請求書払い
PCI DSS、ISMS、Pマーク
取得済みの運用体制

62. SIerは
未来を作る
パートナー

63. クラウドを
手に
一歩前へ！！

65. 一歩前へ
http://www.youtube.com/watch?v=kI964gVNb5Y

66. E-JAWS
エンタープライズユーザー限定のEJAWS支部による、エンタープライズ
分野におけるクラウドの活用方法や
クラウド導入に対する障壁を乗り越
えるためのTipsが盛りだくさん

67. Immutable Infrastructure トラック
今後のインフラ活用の流れをとらえ
る「デプロイメントレイヤーの考え
方」
Immutable Infrastructure に一家
言ある人たちによる言いたい放題ト
ラック

68. AWS Technical Deep Dive
ADSJのSA陣により丸一日AWS
サービスの奥の奥まで語り尽くす豪
華トラック

69. ACEに聞け！
JAWS-UGメンバー各々による
AWS の個別サービスの使い方、日々
利用するうえでのTipsなど「現場」
の知恵を知り尽くすトラック
各支部のACEは各地から Road Trip
でやってくる！

70. iJAWS
英語限定！Try to speak English!
Language Cloud、MoneyTreeな
ど日本でもおなじみのサービスの事
例紹介
http://ijaws.doorkeeper.jp/events/8265

71. これで最強のAWSに
AWSを使って最強のインフラ環境
を作る方法を披露する

72. AWSサムライハンズオン
AWSサムライ2014あるいは元サム
ライによるAWSサービスを実際に手
を動かして学ぶハンズオントラック
WordPress環境を作ったり、冗長
構成のWebシステムを作ったり、だ
るまさんがころんだ（？！）

73. その他
CDPエンタープライズ
スタートアップCTOパネルディス
カッション
AWSを使ってグロースハック

74. JAWS DAYS 2014
3/15(土)は
新宿ベルサールへ！
http://jawsdays2014.jaws-ug.jp/

75. 企業サポーター募集
JAWS DAYS 2-14 懇親会を盛り上げてくだ
さる企業サポーターを募集します
1口5万円
30口程度募集（30口以上となってもお断りはしません）
1社何口でも応募可能です、複数サービスをご紹介したい場合などにご
活用ください
公式Webに口数ごとに「サポーターロゴ」
「サポーター紹介文」が掲載されます
http://jawsdays2014.jaws-ug.jp/

76. http://www.cloudpack.jp/
suuport@cloudpack.jp
@cloudpack_jp