2014.2.7 『カード･ウェーブ』オープンセミナー における cloudpack のPCI DSS準拠サービス内容・事例の紹介

1. 『カード･ウェーブ』オープンセミナー
クレジットカードの情報セキュリティと『ＰＣＩ ＤＳＳ Ver3.0』のポイント
クラウドでPCI DSS環境を
構築・運用するポイント
2014.2.7
吉田真吾

2. 自己紹介
吉田 真吾（よしだ しんご）
エバンジェリスト、ソリューションアーキテクト
AWSサムライ2014（Japan AWS UserGroup）
AWS Certified Solutions Architect ‒ Associate Level
AWS Certified SysOps Administrator - Associate
バックグラウンド
通信キャリア：基地局制御、GISサービス 開発
SIer：証券システム基盤 開発
•
DBA、スペシャリストとしてDBチューニングや新規システム構築を推進

3. http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927

4. http://www.slideshare.net/horiyasu/programming-aws-with-perl-at

5. FinQloud by NASDAQ OMX
金融サービスに特化した「コミュニティ・クラウド」
Amazon VPC + AWS Direct Connect でインター
ネットを介さない独立したネットワーク内に存在
ブローカーディーラーのシステムから、NASDAQ
OMXのDCを経由（暗号GW）してAWS内の環境に接
続される
2つのサービス：R3=ストレージサービス、SSR=
データマイニングサービス

6. http://www.atmarkit.co.jp/ait/articles/1301/24/news087.html
Sunday, March 3, 13

7. 出典: IDC Japan
http://www.idcjapan.co.jp/Press/Current/20121105Apr.html

8. ECサイトにおける
弊社導入事例

10. →
東日本大震災を機に自社運用からAWSへ
ECシステム全体の移行（EC2約50台＋
RDS5台）
移行前サーバー構成調査
ミドルウェア構築
関連開発会社への情報共有
AWSシステムの構築・運用・監視

11. 初 インフラ構築
SAP環境構築
NTTデータグロー
バルソリューショ
ンズ
AWS環境構築
cloudpack
移行時のみインス
タンスタイプ変更
AWS導入事例紹介ページより引用
http://aws.amazon.com/jp/solutions/case-studies/
kenkocom/

12. 初 インフラ構築
SAP環境構築
NTTデータグロー
バルソリューショ
ンズ
TCOが65%削減できた
AWS環境構築
cloudpack
移行時のみインス
タンスタイプ変更
AWS導入事例紹介ページより引用
http://aws.amazon.com/jp/solutions/case-studies/
kenkocom/

13. 金融機関向け『Amazon Web Services』
対応 セキュリティリファレンス
2012/9 iSiD、NRI、SCSK 3社で共同発表
金融機関等コンピュータシステムの安全対策基準
（FISC安全対策基準）第8版に対応
金融情報システムセンター（FISC）の作成した金融機関等
の自主基準
※第8版追補版はクラウドコンピューティングについて言及

14. さまざまなシステムが
クラウド化されていく
↓
クラウドで PCI DSS の
構築・運用は可能か？
データセンターとの違いは？

15. AWS を使って PCI DSS の
運用をするメリット
•
•
インフラ費用の適正化
必要なリソースを必要なだけ
運用費用の適正化
DCの物理セキュリティはAWSが
担保するため、OS設定、ネット
ワーク設定、IDS/IPSなどのレイ
ヤーを対応すればよい

16. AWSはPCI DSSレベル1準拠
レベル1サービスプロバイダとして認定
EC2/S3/EBS/VPC/RDS/ELB/IAM
がPCI検証済み

17. 共有責任モデル
・OS
・アプリケーション
・セキュリティグループ
・OSファイアウォール
・ネットワーク設定
・アカウント管理
・ファシリティ
・物理インフラ
・ネットワークインフラ
・物理セキュリティ
・仮想インフラ

18. http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378

19. http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378

20. クラウドネイティブサービス
http://www.slideshare.net/AmazonWebServicesJapan/on-aws-20130927

21. クラウドネイティブサービス
さまざまなマネージドサービス
仮想サーバを使って手組みしなくてよい
運用が【標準化】しやすい・【運用品質】の担保
できる限り使ったほうがよい
RDS vs RDBMS on EC2
EMR vs Hadoop on EC2
Redshift vs ParAccel on EC2
Kinesis vs Storm on EC2

22. PCI DSS準拠における
弊社導入事例

23. http://coiney.com/

25. Coiney社の資料より抜粋
System Challenge
PCI-DSS compliant on the cloud?
Mostly, PCI-DSS on own server.
Differences between cloud vs. own server.
AWS Management Console logging?
クラウド上でPCI DSSを取ることができるのか？
DMZ, WAF implementation?
必要な対策を講じることができるのか？
NTP server?
Antivirus software?
System auto-lockout?
Log, Log, and LOG! i.e. Firewall log? File consistency? File
monitoring?

26. プロジェクト体制
•PCI DSS準拠⽀支援
•QSA
•PCI DSSレベル1
サービスプロバイダ
•インフラ構築
•PCI DSS準拠対策

27. Coiney社の資料より抜粋
cloudpack(に期待したこと)
Leverage cloudpack knowledge
Discussion with PCI consultants
AWS上でのシステム構築ノウハウ提供
Establish the PCI-compliant environment
PCI DSS準拠支援会社とコラボ
on AWS

28. PCI DSS要件
要件1: カード会員データを保護するために、ファイアウォールをインストール
して構成を維持する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供の
デフォルト値を使用しない
要件3: 保存されるカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、
暗号化する
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新
する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセス
を追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
要件12: すべての担当者の情報セキュリティポリシーを整備する

29. システム概念図

30. 対応サマリ
Firewall設定
セキュリティソフトウェア導入
アカウント管理
アクセス記録・ログ集約管理
脆弱性対策

31. Firewall
一旦すべてアクセス不可
必要な箇所を許可
サーバー毎の通信許可
個別のセキュリティグループ
（サブネットは通信要件毎に分けている）

32. セキュリティソフトウェア導入
Trend Micro Deep Security
IPS/IDS/改ざん検知/Firewall/WAF/ログ監視
ServerProtect
ウィルス対策（リアルタイムスキャン）

33. http://jp.trendmicro.com/jp/products/enterprise/tmds/pcidss/

34. !
•
•
セキュリティ＋

35. アカウント管理
サーバー毎ではなく個人毎のアカウント
OpenLDAP導入・権限管理
パスワード有効期限
90日
ロックアウト対応
6回以上パスワードトライされたらロック

36. アクセス記録・ログ集約管理
ログ管理
EC2インスタンス内に1週間分残す
fluentd経由でログサーバーへまとめ、S3へアーカイブ
[参考] FluentdでWeb Storage Archiveパターン
http://blog.cloudpack.jp/2013/01/aws-news-cdp-webstorage-archive-fluentd.html

37. アクセス記録・ログ集約管理
ログ管理
サーバーだけでなく、ロードバランサやDBのログも取
得する必要がある

38. アクセス記録・ログ集約管理
Management Consoleアクセス制限とログ記録
多要素認証に加えて誰が何をしたか記録が必須
プロキシ経由のみアクセス可
プロキシサーバー上でアクセスログ記録
[参考] Squid経由でAWSマネジメントコンソールにアクセスしてソースIP制限や認証やログ取得
http://blog.cloudpack.jp/2013/02/aws-news-squid-aws-console-ip-log.html

39. 脆弱性対策
ミドルウェア最新化
Apacheはパッケージでは不可だったため、最新版ソースをコ
ンパイル
•
IPA（独立行政法人 情報処理推進機構）の定めるCVSS 4.0以上（レベルIII危険＋レベルII警告）
はすべて対策必須のため
Deep Security仮想パッチ
ソフトウェアのセキュリティパッチ提供前に脆弱性を保護
パッチ適用後は自動的に外れる

40. AWS導入事例ページ
日経コンピュータ

41. ワンストップでサービス提供
エンドユーザー
PCI DSS準拠
インフラ構築サービス
インフラ構築
PCI DSSレベル1
PCI DSS準拠対策
サービスプロバイダ
PCI DSS準拠支援
QSA

42. どう運用するか

43. AWS運用をアウトソースしたい企業向けの
月額費用固定型フルマネージドホスティング
24時間365日サーバー運用・保守
•電話/メールによるサポート
初期費用なし(基本移行作業含む)
月額5万円からのスタート
日本円で請求書発行

44. PCI DSS、ISMS、Pマーク
取得済みの運用体制

45. cloudpackの
!
•
•
•

46. フルマネージド
サービス/リソース監視
ディスク使用量、メモリ使用量、プロセス数、Webサーバー・DB
サーバー死活...
バックアップ/リストア
EBSスナップショットを利用した二世代（過去二日分）バックアッ
プ
アクセス制御(ファイアーウォール)
適切なセキュリティグループを設定、OS・ミドルウェアレベルで
さらに細かな設定も対応可能

47. 定額課金・請求書払い
Amazon Web Servicesでは...
従量課金では予算計画が立てられない
クレジットカードでUSドル決済では利用料の予測が難しい
月額固定＋日本円請求書発行

48. バースト保障
キャンペーンなど急激なアクセス増加へ合わせてインフラ準備するのは不可能
いつあるかわからないピークのために予め準備できない
追加料金無しでスケールアウト
（7インスタンス日まで）

49. !
•

50. ョ
ン
∼合わせて使いたい∼
オ
プ
シ
専用接続プラン
L2 Switch
Virtual Private Cloud
専用線接続
L2 Switch
Router
Direct Connect
AWS Cloud
ONU
cloudpack ラック
MMR
Equinix Data center
※1
サービス提供範囲
※1：アカウント管理者（御社or弊社）
1の場合弊社提供
2,3の場合お客様対応範囲
AWS Direct Connect を運用保守つきで
1. フレッツVPNワイド（共有・冗長）：8万円/月∼
2. 専用線（共有・冗長）：15万5千円/月∼
3. 専用線（専有・冗長）：37万円/月∼
お客様拠点

51. http://www.cloudpack.jp/
suuport@cloudpack.jp
@cloudpack_jp