・AWSを使うとなぜセキュリティレベルが向上するのか？ ・そのロジックをどのようにお客様に伝えるのか？ ・AWSが提供する「共有責任モデル」において、ユーザーが守るべき領域はどこで、それは具体的にどのように守るのか？ 100を超えるAWS導入プロジェクトを進めてきたAWS専業のインテグレーターであるサーバーワークスが、過去の実績を踏まえ、AWSのセキュリティに関する疑問にお答えします。 （2013年2月16日 JAWS-UG横浜 第3回勉強会での発表資料です）

1. AAWWSSで
セキュリティを
高める！
• 株式会社サーバーワークス
• 大石 @@ooooiisshhii

2. おおいし りょう
大石 良
株式会社サーバーワークス
代表取締役
– 昭和4488年77月2200日 新潟市生まれ
– コンピューターとの出会いは1100歳の頃
– 当時はPPCC--88000011にベーマガのプログラムを入�力する日々
– コンピューターの購入�は1111歳 ／ SSHHAARRPP XX11
– 中22の時に初めてプログラムが書籍に掲載
– 高校入�学記念にXX6688000000を購入�
– 大学生の時にパソコン通信開始。本格的にシェアウェアを販売
– 総合商社でインターネットサービスプロバイダー事業に携わる
– 22000000年にEECCのAASSPPを立ち上げるべく起業

3. クラウド の すけ
おおいし
大石
蔵人之助
株式会社サーバーワークス
代表取締役
– 昭和4488年77月2200日 新潟市生まれ
– コンピューターとの出会いは1100歳の頃
– 当時はPPCC--88000011にベーマガのプログラムを入�力する日々
– コンピューターの購入�は1111歳 ／ SSHHAARRPP XX11
– 中22の時に初めてプログラムが書籍に掲載
– 高校入�学記念にXX6688000000を購入�
– 大学生の時にパソコン通信開始。本格的にシェアウェアを販売
– 総合商社でインターネットサービスプロバイダー事業に携わる
– 22000000年にEECCのAASSPPを立ち上げるべく起業

4. クラウド の すけ
蔵人之助
というくらいですから、

5. 持ちネタ
切腹

6. もし今日のセッションで
皆様に得るものがなかったら・・・
切腹します

8. 大学向�け
合否照会サービス

9. 昔の合格発表

10. 今の合格発表

11. シェア
6600%%

12. ところが・・・

13. 必要なサーバー数
課題
無駄
必要なコスト
22月 88月

14. そこで、

15. 22000077年からAAWWSSのテスト利用を開始

16. 22000088年
社内サーバー購入�禁止令

17. 22001111年
AWS Solution Provider
22001122年
Amazon Partner Network最上位の
Advanced
Consulting Partner

18. 日経コンピュータ
クラウドランキング

19. 事例

20. AAWWSSの当社事例

23. サイトダウンの理由
被災者： 非被災者：
救急医療など、支援 義援金やボランティ
が受けられる場所を ア活動など、支援で
探す目的で きる方法を探す目的

26. EC2

27. 義援金受付システム

28. 負荷分散装置
２０台の、物理的に離れた
２つのデータセンターに設置
されたウェブサーバー １日に５００万通送信できる
メールサーバー
物理的に離れたデータセンター間で
リアルタイムに同期し、かつ１時間おきに
環境構築22時間 バックアップを取るデータベース
アプリ開発4488時間

29. タイムチャート：
33月1144日 日本赤十字社様との打ち合わせ
33月1155日 サイト復旧
33月1177日 義援金管理システム稼働開始

30. 事実
震災後の迅速な義援金の募集に
一役買ったのは、

31. AAWWSS導入�の最大ハードル
上司・顧客の
この一言

32. セキュリティは？

33. クラウドって
セキュリティが不安…�

34. 一般的なシステムの脅威
外部
データ漏えい 攻撃者によるアタック
内部 物理的アクセスによる
データ盗難

35. クラウド特有の脅威
仮想マシン
場所が分からなくて、
なんとなく不安・・・
仮想マシン 物理マシンを共有したら、意
図せず漏洩したりしないか
AAWWSSのオペレーターが情報を
仮想マシン もっていったりしないか？

36. AAWWSSは何をしているのか？

37. AAWWSSの回答
11.. 第三者認証
22.. テクノロジー
33.. 場所の隠匿

38. 第三者認証
• ISMS(ISO27001)
• PCI DSS Level 1
• FISMA-Modarate
• ISAE3402 SOC1
(formerly known as SAS70 type II)

39. テクノロジー
• 特許技術で、XXeennを拡張
• AAWWSS社員も顧客のデータに
アクセスできない

40. 場所の隠匿
• 場所は明かさない
• 見学もさせない
？

41. 中国
–
2500年前

42. 戦っても勝ち目はない趙の決断
「降伏と見せかけて
始皇帝を暗殺しよう」

43. 秦の始皇帝暗殺を企んだ
刺客が持って行ったもの
地図

44. 地図を渡す＝完全な服従の意
地図を渡す＝攻撃が成功する
可能性が極めて高くなる

45. 場所の情報はそれほど
重要な情報なので、
AAWWSSは場所を明かさない

46. 安心
＜ 安全

47. 思考実験：
場所が分かると何ができるか？

48. 反対する方に質問
11.. 会社存続に、必須の経営資源は
何ですか？
22.. それはどこにありますか？

51. なぜ大切なお金を銀行に預けるのか？
• セキュリティ
– 社内より銀行の方が安全
• 可用性
– 預けた支店が事故を起こしても口座情報は保持
• 利便性
– AATTMM＋カードでどこでもアクセス

52. クラウドも、銀行と同じです
• セキュリティ
– 社内よりAAWWSSの方が堅牢な物理セキュリティを確保
• 可用性
– クラウド側で高い耐久性を維持
（SS33のファイル耐久性は9999..999999999999999999%%）
• 利便性
– ネット越しにどこからでも簡単にアクセス

53. NASAと、御社とでは、
どちらがIITTインフラの
セキュリティレベルを保つ
仕組みが整っていると思いますか？

54. AAWWSSで、われわれの組織内の
インフラよりもはるかに高い
セキュリティを保てるようになる
NASA
ジェット推進研究所（JPL）のシニア・ソリューション・アーキテクト
カワジャ・シャムズ（Khawaja
Shams）氏
h3p://www.atmarkit.co.jp/ait/ar>cles/1301/24/news087.html

55. セキュリティを高めるために、
銀行にお金を預けることと同様
システムもクラウドに預けた方が、
セキュリティレベルが上がる

56. セキュリティ

57. 考慮すべき事項
物理 ネットワーク
• データセンター • 経路の安全確保
入�館 • 攻撃からの防御
• 物理アクセス • ログイン
• 交換・廃棄�

58. AAWWSS特有の
セキュリティ

59. ①経路

60. Amazon VPC
– パブリッククラウドで
プライベートクラウドが作れる！
– 仮想プライベートクラウド

61. Amazon
VPC
仮想サーバー
VPN
(IPsec)
オフィス

62. Amazon
VPC
仮想サーバー
POI
オフィス
専用線

63. 組み合わせ例

64. Amazon
VPC
DMZ
DB用サブネット
VPN
オフィス

65. ②防御

66. 防御
• アンチウイルス
• WAF
• IDS/IPS

67. 防御（アンチウイルス）
• ホストベース
– TrendMicro ServerProtect

68. 防御（L3/L4）
• IPS/IDS
– Snort
– CheckPoint Virtual Applicance
• DDoS, SYN Flood辺りは
AAWWSSが防いでくれる！

69. 防御（L7）
• WAF
– FortiWeb
– Citrix NetScaler
– NEC InfoCage SiteShell

70. WAF運用の課題・・
• 24h365dの対応が必要
• 攻撃が来たときに素早く分析
– ゼロデイ攻撃へ対応できる体制

71. 当社の選択（WAF）
• サービスとしてのWAFを利用
• キャッシュポイズニングなど、DNSの安
全性を高めるためにRoute 53を利用

72. Route53
メインコンテンツ
Proxy
WAF Service

73. 家に帰ってすぐやること
• BINDは
マジ犯罪！！
• すぐにTerminateしてRoute53を使おう

74. ③ログイン

75. ログインセキュリティ
• ホスト
• AWS Management Console

76. ログインセキュリティ
（ホスト）
• 公開鍵認証
• SSH, RDPセッションの記録
– NRIセキュアテクノロジーズ
SecureCube

77. ログインセキュリティ
（マネジメントコンソール）
1. IAM
2. MFA
33.. アカウントをSalesforceに
– 安全な共有
– 最小限のアクセス

78. ログインセキュリティ
（マネジメントコンソール）
• （評価中）シングルサインオン
– OneLogin
– okta

79. 最近「足りない」と言われます

80. Management Consoleに
足りないモノ
• バージョンコントロール
• IIPPアドレスによるアクセス制限
• 操作履歴・証跡

81. Dedicated Edition

82. Cloudworks Dedicated Edition
• 企業が、自社のVPC内に専用の
Cloudworks（コンソール）を
立ち上げ可能
• RDS, ELB, S3の操作
• 操作ログの詳細な記録

83. Cloudworks Dedicated Edition
• 自社の都合でマネジメントコンソールの
バージョンアップタイミングを管理可能
• AWSの操作ログを記録できるので、
間違ってインスタンスを消し
た犯人を見つけやすい企業のコン
プライアンス要求に適合可能
• 今春登場！

84. AAWWSSのセキュリティモデル
特権
アクセス
外部
VVPPNN 一般ユーザー
IIAAMM,, MMFFAA
アタック
仮想マシン
内部同士の共有も、
明示しない限り禁止
仮想マシン
物理的 AAWWSSが
内部 防御
アクセス

85. なぜプロダクトの話をしたのか？

86. 調達モデルの変化！

87. 今までのSI
のどが
渇いた！
○×○×○×○×○ ○×○×○×○×○
×○×○×○×○× ×○×○×○×○×
○×○×○×○×
○×○×○×○×
調達チーム 品質チーム
○×○×○×○×○ ○×○×○×○×○ ○×○×○×○×○ ○×○×○×○×○
×○×○×○×○× ×○×○×○×○× ×○×○×○×○× ×○×○×○×○×
○×○×○×○×
○×○×○×○×
○×○×○×○×
○×○×○×○×
バケツを 川から 水の量を 水の品質を
調達する係 水をくむ係 計る係 調べる係

88. これからのSI
のどが
渇いた！ どうぞ！
H2O
H
H
O
アマゾン工場
（クラウド事業者）

89. 今までのSSII
• 「人が多い」ことが前提だった
• 「コミュニケーション」が重要なスキル
だった
• 下請け企業の役割は、技術では無く
「人材バッファ」だった

90. クラウド型SSIIでは
• 非常に小さいチーム
• スピーディーなデリバリー
• つくらない技術≒使う技術
が重要に！
– 「組み合わせる」分子式の知識
• AWSのCDP
• EC2+TrendMicro
• AWS+NetScaler WAF+GSLB

91. 商用プロダクトを上手に組み合わせて、
最小の労力で最大の効果を！

92. 本日のまとめ

93. まとめ
①AWSによって物理層のセキュリティを対策す
る必要がなくなり、セキュリティレベル向上
②AWSのサービス（VPC, IAM, SG）とサード
パーティーのサービスを組み合わせることで、
オンプレミスと同等の防御が可能
③クラウド時代の構築は、組み合わせ知識が重
要に！CDPや製品の情報を積極的に覚えて、
クラウド時代に合ったセキュリティを実現

94. 切腹しろ
という方は
お申し出下さい

95. そうでない方は・・・

96.
セキュアなシステムで
ハッピーなエンジニアライフを！

97. ありがとうございました
@@ooooiisshhii