Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20160825_AWSのセキュリティの基本的な考え方について(アマゾン ウェブ サービス ジ...

Classmethod
August 25, 2016
2.2k

20160825_AWSのセキュリティの基本的な考え方について(アマゾン ウェブ サービス ジャパン株式会社)

Classmethod

August 25, 2016
Tweet

More Decks by Classmethod

Transcript

  1. © 2016, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. アマゾン ウェブ サービス ジャパン株式会社 中橋篤郎 2016/08/25 AWSのセキュリティの 基本的な考え方について
  2. AWS 基本サービス コンピュート ストレージ データベース ネットワーク AWS グローバル インフラストラクチャ リージョン

    アベイラビリティ ゾーン エッジ ロケーション ネットワーク サーバー セキュリティ インベントリ ・構成管理 お客様のアプリケーション・コンテンツ お客様自身で クラウドを コントロール可能 AWSが クラウドの セキュリティを 担当 データ セキュリティ アクセス コントロール AWS 責任共有モデル
  3. AWS 基本サービス コンピュート ストレージ データベース ネットワーク AWS グローバル インフラストラクチャ リージョン

    アベイラビリティ ゾーン エッジ ロケーション ネットワーク サーバー セキュリティ インベントリ ・構成管理 お客様のアプリケーション・コンテンツ お客様自身で クラウドを コントロール可能 お客様はこの部分の 統制に関してAWS にオフロードするこ とが可能。 データ セキュリティ アクセス コントロール AWS 責任共有モデル
  4. Security “OF” the Cloud Security “OF” the Cloud 業界における認定と独立したサードパーティによる証明を取 得します

    AWS のセキュリティと統制に関する情報をホワイトペーパー およびウェブサイトコンテンツで公表します NDA に従いAWS のお客様に証明書、レポートなどの文書を 直接提供します AWSは、お客様が使用するAWS サービスに関連した 統制、 およびそれらの統制がどのように検証されて いるかをお客様にご理解頂くことを支援致します。
  5. AWSのリージョンは世界13箇所に展開。複数のアベイラビリティ・ ゾーンで構成されており、データセンタ単位の冗長性を確保 13 のリージョン 1. US EAST (Virginia) 2. US

    WEST (N. California) 3. US WEST 2 (Oregon) 4. EU WEST (Ireland) 5. JAPAN (Tokyo) <2011/3/2> 6. South America (Sao Paulo) 7. ASP 1 (Singapore) 8. ASP 2 (Sydney) 9. GovCloud 10. BJS 1 (Beijing China) limited preview 11. EU (Frankfurt) 12.Seoul (2016 1月) 13.Mumbai(2016 6月) 2016年にはロンドン、オハイオ、カナダ、中国寧夏に開設予定 33 のアベイラビリティ・ゾーン 55 のエッジロケーション
  6. DCレベルの障害対策 EU (Ireland) Availability Zone A Availability Zone C Availability

    Zone B Asia Pacific (Tokyo) Availability Zone A Availability Zone B US West (Oregon) Availability Zone A Availability Zone B US West(Northern California) Availability Zone A Availability Zone B Asia Pacific (Singapore) Availability Zone A Availability Zone B Asia Pacific (Sidney) Availability Zone A Availability Zone B South America (Sao Paulo) Availability Zone A Availability Zone B US East (Northern Virginia) Availability Zone D Availability Zone C Availability Zone B Availability Zone A EU (Frankfurt) Availability Zone A Availability Zone B Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。詳細は http://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください Availability Zone B Asia Pacific (Seoul) Availability Zone A Availability Zone B Beijing Availability Zone A Availability Zone B US Gov Cloud Availability Zone A Availability Zone B 複数DC設置におけるAWSのポリシー • 物理的に離れたデータセンター群 • 洪水を考慮 • 地盤が安定している場所 • 無停止電源(UPS)、バックアップ電源、異なる電源供給元 • 冗長化されたTier-1ネットワーク
  7. ハイパーバイザー(ホストOS) • 承認を受けたAWS管理者の拠点ホストからの個別のログイン • 特別に設計、構築、設定された管理ホスト • 多要素認証の利用 • 全てのアクセスをロギングし監査 •

    作業完了後システムへの特権とアクセス権の削除 ゲストOS(EC2インスタンス) • お客様による完全なコントロール • 顧客が生成したキーペアを使用 論理的なセキュリティ AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  8. 従業員の雇用 • 雇用前審査の一環として適用法令が認める範囲での犯罪歴の確認 • Amazonリーガルによる機密保持契約書の管理 • 従業員はアクセス権を付与される前に機密保持契約書に署名 • 入社時研修の一環として利用規定及びAmazon業務行動倫理規定 への同意

    従業員・アカウントの管理 • アカウント管理 • 人事管理システムのプロセスの一環として、一意のユーザー IDを作成 • 最小権限の適用。最小権限を越えるアクセスには適切な認証。 • 少なくとも四半期ごとのアカウントの確認 • 90日間アクティビティがないアカウントの自動的無効化 • 従業員の記録が人事システムから削除されると、アクセス権も自動的に削除 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  9. オーナーシップとコントロール常にはお客様に。 データとサーバーを配置する物理的なリージョンはお客様が指定。 AWS は、法令遵守または政府機関の要請によりやむをえない場合を除き、お客様のコンテンツを指定されたリージョ ンから移動しない。 法令、または政府機関もしくは規制当局による有効かつ拘束力のある命令を遵守するために必要な場合を除き、お 客様のコンテンツを開示することはない。 そうすることが禁止されている場合または Amazon の製品もしくはサービスの利用に関連した違法行為の存在を明

    確に示すものがある場合を除き、お客様が開示からの保護を求められるようカスタマーコンテンツの開示に先立ってお客 様に通知。 AWSでは、S3、EBS、EC2 など、ほぼすべてのサービスについて、お客様が独自の暗号化メカニズムを使用することを 許可。(サーバーサイド暗号化、クライアントサイド暗号化、鍵の保管・管理方法等) データセキュリティ AWS データプライバシーのよくある質問 http://aws.amazon.com/jp/compliance/data-privacy-faq/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  10. 上記の手順を用い ハードウェアデバイスが廃棄で きない場合、 デバイスは業界標準の慣行に従って、 消磁するか、物理的に破壊する ストレージの廃棄プロセス • 顧客データが 権限のない人々に流出しないようにするストレージ廃棄プロセスを保持 •

    DoD 5220.22-M(「National Industrial Security Program Operating Manual(国立産業セキュリティプログラム作業マニュアル)」) • NIST 800-88(「Guidelines for Media Sanitization(メディア衛生のための ガイドライン)」) AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
  11. レポート、認定、第三者認証 原点は共有責任モデル AWSは以下のような第三者認証を取得済み • SSAE 16/ISAE 3402基準、SOC1レポート(旧SAS70) • SOC2レポート、SOC3レポート •

    ISO 27001/9001 Certification • PCI DSS Level 1 Service Provider • FedRAMP AWSにシステムをデプロイし、第三者認証を取得することも可能 • HIPAA • FISMA Moderate • Sarbanes-Oxley (SOX) • Pマーク • ASP・SaaS安全・信頼性に係る情報開示認定制度
  12. AWSセキュリティセンターとAWSコンプライアンス aws.amazon.com/jp/security aws.amazon.com/jp/compliance •セキュリティやコンプライアンスに関する多くの質問に対する回答 • セキュリティWhitepaper • リスクとコンプライアンス Whitepaper •

    セキュリティプロセス概要 Whitepaper • “Security at Scale” whitepaper シリーズ •Security bulletins •侵入テスト申請フォーム •Securityベストプラクティス •詳しい情報のお問い合わせ先
  13. Amazon CloudFormation 特徴 (http://aws.amazon.com/jp/cloudformation/) • テンプレートを元に、EC2やELBと いったAWSリソースの環境構築を 自動化 • JSONフォーマットのテキストで、

    テンプレートを自由に記述可能 価格体系 (http://aws.amazon.com/jp/cloudformation/pricing/) • 追加料金はありません AWS リソース(Amazon EC2 インスタンスや Elastic Load Balancing ロードバランサーなど)に対してお支払いいただきま す。 設定管理 & クラウドのオーケストレーション サービス スタック EC2 Auto Scaling テンプレート(設定ファイル) テンプレートに基づき 各リソースが自動起動 EC2 Cloud Formation
  14. 検証アクティビティの実行 Service Type Cloud Trail APIログの取得 Cloud Watch リソース、ログの監視 AWS

    Config 変更管理、継続評価 Inspector オンデマンドの評価 Trusted Advisor 定期的な評価 Security IN the Cloud Security OF the Cloud AWS Security & Compliance
  15. カテゴリ プロダクト 解説 マイクロソフ ト Web Application Proxy and ADFS

    Web Application Proxy および Active Directory Federation Services (AD FS) を、新規または既存の AWS インフラストラク チャにデプロイ Lync Server 2013 小規模または中規模の Microsoft Lync Server 2013 環境を AWS に構築して、高い可用性と災害対策を実現 Exchange Server 2013 新規または既存の Amazon VPC のいずれかを選択して、可用性の 高い AWS のアーキテクチャにデプロイ Windows PowerShell DSC Microsoft Windows PowerShell DSC プルサーバーまたはプッ シュサーバー環境を AWS に構築 SharePoint Server 2013 Microsoft SharePoint Server 2013 を SQL Server AlwaysOn Availability Groups with WSFC をデータベース層としてデプロ イ SQL Server 2012 and 2014 with WSFC Windows Server Failover Clustering (WSFC) と SQL Server AlwaysOn Availability Groups を活用した高可用性ソリューショ ン Remote Desktop Gateway リモートデスクトップゲートウェイと RDP による保護されたリ モート管理ソリューション Active Directory Domain Services クラウドのみまたはハイブリッドアーキテクチャを選択可能 クイックスタートリファレンス(マイクロソフト)
  16. カテゴリ プロダクト 解説 SAP SAP Business One, version for SAP

    HANA SAP Business One の SAP HANA バージョンを、クラウド の新規または既存の AWS インフラストラクチャにデプロイ SAP HANA 複数ノードの SAP HANA クラスターを AWS に構築 Trend Micro Deep Security Trend Micro Deep Security 9.5 をデプロイします。このソ リューションは、新規または既存の AWS インフラストラク チャ MongoDB 柔軟でスケーラブル、かつコスト効率の優れた方法で MongoDB を AWS にデプロイ Cloudera Enterprise Data Hub Cloudera Director と AWS サービスを統合し、複数ノード の Cloudera Enterprise Data Hub (EDH) クラスターを構 築 Magento Magento Community EditionをAWS上に展開します。 Magentoは、E-コマースWebサイトのためのオープンソース のコンテンツ管理システムです。 クイックスタートリファレンス(SAP, Security,…)
  17. ©2014, Amazon Web Services, Inc. or its affiliates. All rights

    reserved. 金融機関向け『Amazon Web Services』対応 セキュリティリファレンス • 2013年10月、FISC安全対策基準(第8追補版)へのAWSの準拠状況を調査した資料を SI/ISV 8社が共同で調査して一般公開 • AWSと利用者で責任分担することで、FISC安対基準を満たせるとの見解を一般公開 「金融機関等コンピュータシステムの安全対策基準」に対するAWSの対応状況リスト http://aws.amazon.com/jp/aws-jp-fisclist/ サマ リー 版 詳細 版 Amazon Web Services対応 セキュリティリファレンス FISC 安全対策 基準 設備: 138項目 運用: 115項目 技術: 53項目 各基準に 対応 Amazon Web Services システム構築・運 用 調査・対応案検 討 各金融事業者のセキュリティ指針・監査指針 クラウドを活用したシステム 安心・安全かつ、機動性の高い金融サービスの実現 金融事業者(銀行、証券、保険等) セキュリティ対応 調査協力 作成/ 更新 支援 SCSK ISID NRI MKI TrendMicro TIS CAC
  18. 医薬品、医療機器、再生医療、化粧品など医薬品医療機器等法の対象となる企業様向け AWSのCSV対応リファレンス FeelerSystemZ do what one feels • 厚生労働省の「医薬品・医薬部外品製造販売業者等におけるコン ピュータ化システム適正管理ガイドライン」(以下、適正管理ガイド

    ライン)の開発、検証、運用、破棄の項目に対して、AWSがどのよう に適合するかを調査。 • AWSのパートナー5社が共同で調査 • 適正管理ガイドラインの80項目(行)に対して41のポイント精査 供給者 アセスメント 整理表 供給者監査 質問票 適正 ガイドライン 対応表 AWSのCSV対応リファレン ス 厚生労働省 適正管理 ガイドライン 薬機法の対象となる企業(医薬品、医療機器、再生医療、化粧品) 食品業界でもより高度な品質保証を追求する企業 システム構 築 対応調査 調査 更新 41 支援