20160825_AWSのセキュリティの基本的な考え方について(アマゾン ウェブ サービス ジャパン株式会社)

Transcript

1. © 2016, Amazon Web Services, Inc. or its Affiliates. All

   rights reserved. アマゾン ウェブ サービス ジャパン株式会社 中橋篤郎 2016/08/25 AWSのセキュリティの 基本的な考え方について

2. Agenda • AWSのセキュリテイについて • セキュリティとコンプライアンス • AWS クイックスタート リファレンスデプロイ 2

3. セキュリティは大丈夫？ 本当に大丈夫？ やっぱり不安… 3

4. セキュリティ対策における柔軟性と複雑性の現実 VPCは一つにすべきか分 割すべきか？ IAM グループか？ IAM Roleか？ 規制要件は何か？ スコープに含まれるもの、 含まれないものは何か？

   どのように標準に準拠して いることを検証するのか？

5. AWSのセキュリティについて

6. AWSのセキュリティ方針 セキュリティはAWSにおいて最優先されるべき事項 セキュリティへの大規模な投資 セキュリティに対する継続的な投資 セキュリティ専門部隊の設置

7. AWS 基本サービス コンピュート ストレージ データベース ネットワーク AWS グローバル インフラストラクチャ リージョン

   アベイラビリティ ゾーン エッジ ロケーション ネットワーク サーバー セキュリティ インベントリ ・構成管理 お客様のアプリケーション・コンテンツ お客様自身で クラウドを コントロール可能 AWSが クラウドの セキュリティを 担当 データ セキュリティ アクセス コントロール AWS 責任共有モデル

8. AWS 基本サービス コンピュート ストレージ データベース ネットワーク AWS グローバル インフラストラクチャ リージョン

   アベイラビリティ ゾーン エッジ ロケーション ネットワーク サーバー セキュリティ インベントリ ・構成管理 お客様のアプリケーション・コンテンツ お客様自身で クラウドを コントロール可能 お客様はこの部分の 統制に関してAWS にオフロードするこ とが可能。 データ セキュリティ アクセス コントロール AWS 責任共有モデル

9. AWS 責任共有モデル AWS責任共有モデル https://aws.amazon.com/jp/compliance/shared-responsibility-model/ AWSセキュリティベストプラクティス https://d0.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf AWSの責任共有モデルについては、AWSコンプライアンスのWebサイトや「AWS セキュリティベストプラクティス」ホワイトペーパーでも解説しています。

10. Security “OF” the Cloud Security “OF” the Cloud

11. Security “OF” the Cloud Security “OF” the Cloud 業界における認定と独立したサードパーティによる証明を取 得します

    AWS のセキュリティと統制に関する情報をホワイトペーパー およびウェブサイトコンテンツで公表します NDA に従いAWS のお客様に証明書、レポートなどの文書を 直接提供します AWSは、お客様が使用するAWS サービスに関連した 統制、 およびそれらの統制がどのように検証されて いるかをお客様にご理解頂くことを支援致します。

12. AWSのリージョンは世界13箇所に展開。複数のアベイラビリティ・ ゾーンで構成されており、データセンタ単位の冗長性を確保 13 のリージョン 1. US EAST (Virginia) 2. US

    WEST (N. California) 3. US WEST 2 (Oregon) 4. EU WEST (Ireland) 5. JAPAN (Tokyo) <2011/3/2> 6. South America (Sao Paulo) 7. ASP 1 (Singapore) 8. ASP 2 (Sydney) 9. GovCloud 10. BJS 1 (Beijing China) limited preview 11. EU (Frankfurt) 12.Seoul (2016 1月) 13.Mumbai（2016 6月） 2016年にはロンドン、オハイオ、カナダ、中国寧夏に開設予定 33 のアベイラビリティ・ゾーン 55 のエッジロケーション

13. DCレベルの障害対策 EU (Ireland) Availability Zone A Availability Zone C Availability

    Zone B Asia Pacific (Tokyo) Availability Zone A Availability Zone B US West (Oregon) Availability Zone A Availability Zone B US West(Northern California) Availability Zone A Availability Zone B Asia Pacific (Singapore) Availability Zone A Availability Zone B Asia Pacific (Sidney) Availability Zone A Availability Zone B South America (Sao Paulo) Availability Zone A Availability Zone B US East (Northern Virginia) Availability Zone D Availability Zone C Availability Zone B Availability Zone A EU (Frankfurt) Availability Zone A Availability Zone B Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。詳細は http://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください Availability Zone B Asia Pacific (Seoul) Availability Zone A Availability Zone B Beijing Availability Zone A Availability Zone B US Gov Cloud Availability Zone A Availability Zone B 複数DC設置におけるAWSのポリシー • 物理的に離れたデータセンター群 • 洪水を考慮 • 地盤が安定している場所 • 無停止電源(UPS)、バックアップ電源、異なる電源供給元 • 冗長化されたTier-1ネットワーク

14. 場所の秘匿性 周囲の厳重なセキュリティ 監視カメラや侵入検知システム、24時間常駐の専門の保安要員による物 理アクセスの厳密なコントロール 完全管理された、必要性に基づくアクセス 2要素認証を2回以上で管理者がアクセス 全てのアクセスは記録され、監査対象となる データセンターの物理セキュリティ AWSコンプライアンス http://aws.amazon.com/jp/compliance/

    リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

15. ハイパーバイザー（ホストOS） • 承認を受けたAWS管理者の拠点ホストからの個別のログイン • 特別に設計、構築、設定された管理ホスト • 多要素認証の利用 • 全てのアクセスをロギングし監査 •

    作業完了後システムへの特権とアクセス権の削除 ゲストOS（EC2インスタンス） • お客様による完全なコントロール • 顧客が生成したキーペアを使用 論理的なセキュリティ AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

16. 従業員の雇用 • 雇用前審査の一環として適用法令が認める範囲での犯罪歴の確認 • Amazonリーガルによる機密保持契約書の管理 • 従業員はアクセス権を付与される前に機密保持契約書に署名 • 入社時研修の一環として利用規定及びAmazon業務行動倫理規定 への同意

    従業員・アカウントの管理 • アカウント管理 • 人事管理システムのプロセスの一環として、一意のユーザー IDを作成 • 最小権限の適用。最小権限を越えるアクセスには適切な認証。 • 少なくとも四半期ごとのアカウントの確認 • 90日間アクティビティがないアカウントの自動的無効化 • 従業員の記録が人事システムから削除されると、アクセス権も自動的に削除 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

17. オーナーシップとコントロール常にはお客様に。 データとサーバーを配置する物理的なリージョンはお客様が指定。 AWS は、法令遵守または政府機関の要請によりやむをえない場合を除き、お客様のコンテンツを指定されたリージョ ンから移動しない。 法令、または政府機関もしくは規制当局による有効かつ拘束力のある命令を遵守するために必要な場合を除き、お 客様のコンテンツを開示することはない。 そうすることが禁止されている場合または Amazon の製品もしくはサービスの利用に関連した違法行為の存在を明

    確に示すものがある場合を除き、お客様が開示からの保護を求められるようカスタマーコンテンツの開示に先立ってお客 様に通知。 AWSでは、S3、EBS、EC2 など、ほぼすべてのサービスについて、お客様が独自の暗号化メカニズムを使用することを 許可。（サーバーサイド暗号化、クライアントサイド暗号化、鍵の保管・管理方法等） データセキュリティ AWS データプライバシーのよくある質問 http://aws.amazon.com/jp/compliance/data-privacy-faq/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

18. 上記の手順を用い ハードウェアデバイスが廃棄で きない場合、 デバイスは業界標準の慣行に従って、 消磁するか、物理的に破壊する ストレージの廃棄プロセス • 顧客データが 権限のない人々に流出しないようにするストレージ廃棄プロセスを保持 •

    DoD 5220.22-M（「National Industrial Security Program Operating Manual（国立産業セキュリティプログラム作業マニュアル）」） • NIST 800-88（「Guidelines for Media Sanitization（メディア衛生のための ガイドライン）」) AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

19. レポート、認定、第三者認証 原点は共有責任モデル AWSは以下のような第三者認証を取得済み • SSAE 16/ISAE 3402基準、SOC1レポート（旧SAS70) • SOC2レポート、SOC3レポート •

    ISO 27001/9001 Certification • PCI DSS Level 1 Service Provider • FedRAMP AWSにシステムをデプロイし、第三者認証を取得することも可能 • HIPAA • FISMA Moderate • Sarbanes-Oxley (SOX) • Pマーク • ASP・SaaS安全・信頼性に係る情報開示認定制度

20. AWSセキュリティセンターとAWSコンプライアンス aws.amazon.com/jp/security aws.amazon.com/jp/compliance •セキュリティやコンプライアンスに関する多くの質問に対する回答 • セキュリティWhitepaper • リスクとコンプライアンス Whitepaper •

    セキュリティプロセス概要 Whitepaper • “Security at Scale” whitepaper シリーズ •Security bulletins •侵入テスト申請フォーム •Securityベストプラクティス •詳しい情報のお問い合わせ先

21. AWSのセキュリティとコンプライアンス

22. セキュリティと監査における根本的な改善要求 セキュリテイ・統制環境の一貫性、品質の向上 監査作業や統制実施の自動化 透明性・可視性の改善

23. Software Defined Infrastructureによる解決 的確なセキュリティポリシーを反映したアーキテクチャを 実装・維持し、要求される統制をクラウドの機能によっ て可能な限り自動化 設計・構築の段階から監査を見込んだ要件を反映 したアーキテクチャをあらかじめ作成し、監査の一貫 性、品質を保つ Security

    by Design

24. Security by Designのアプローチ 1. 要件を確認する 2. 要件と実装に合致するセキュアな環境を構築 3. テンプレートの利用 4.

    検証アクティビティの実行

25. Amazon CloudFormation 特徴 (http://aws.amazon.com/jp/cloudformation/) • テンプレートを元に、EC2やELBと いったAWSリソースの環境構築を 自動化 • JSONフォーマットのテキストで、

    テンプレートを自由に記述可能 価格体系 (http://aws.amazon.com/jp/cloudformation/pricing/) • 追加料金はありません AWS リソース（Amazon EC2 インスタンスや Elastic Load Balancing ロードバランサーなど）に対してお支払いいただきま す。 設定管理 & クラウドのオーケストレーション サービス スタック EC2 Auto Scaling テンプレート（設定ファイル） テンプレートに基づき 各リソースが自動起動 EC2 Cloud Formation

26. 検証アクティビティの実行 Service Type Cloud Trail APIログの取得 Cloud Watch リソース、ログの監視 AWS

    Config 変更管理、継続評価 Inspector オンデマンドの評価 Trusted Advisor 定期的な評価 Security IN the Cloud Security OF the Cloud AWS Security & Compliance

27. コンピュータシステムバリデーション ハードウェア環境 仮想環境 クラウド環境 手動実施 手動実施 コードによる 自動実施

28. AWS クイックスタート リファレンスデプロイ

29. エンタープライズアプリケーションをAWS上で動かす場合の、セキュ リティや可用性を考慮したベストプラクティス • マイクロソフト、SAP、トレンドマイクロなどの製品をサポート。 • 15分程度でエンタープライズアプリケーションをAWS上に展開可能。 • 設計ガイドと、AWS CloudFormationのテンプレートを提供。カスタマイ ズも可能。

    • FAQ, GitHUBリポジトリ、ディスカッションフォーラムを提供。 • https://aws.amazon.com/jp/quickstart/ または、 https://aws.amazon.com/jp/architecture/ クイックスタートリファレンスとは？ （Quick Start Deployment）

30. AWS Quick Startsの内容 • セキュリティ対応／要件マッピング • リファレンスアーキテクチャ • Cloud Formation

    テンプレート • ガイダンスドキュメント

31. AWS Quick Startsのメリット Benefit • セキュリティ/コンプライアンス要件への対応 • ベストプラクティスの適用 • システム構築の自動化

    • 構築時間の削減 • 再利用可能なドキュメント

32. AWSのベストプラクティスに基づ き、250のメールボックスを展開 可能なAWS CloudFormation テ ンプレートを提供。 クイックスタートガイドでは、 2,500、10,000のメールボックス をサポートする場合の、耐障害 性が考慮された設計方法を記載。

    たとえば、 Exchange Serverの場合（1/3）

33. たとえば、 Exchange Serverの場合（2/3） 提供①：クイックスタートガイド 提供②： AWS CloudFormation テンプレート

34. クイックスタート(所 要時間：15分)と、 カスタムデプロイの 2種類を提供 たとえば、 Exchange Serverの場合（3/3） ① CloudFormationテン プレートを選択

    ② AD, Exchangeに必要 な設定を入力 ③ 約2時間で構築完了

35. カテゴリ プロダクト 解説 マイクロソフ ト Web Application Proxy and ADFS

    Web Application Proxy および Active Directory Federation Services (AD FS) を、新規または既存の AWS インフラストラク チャにデプロイ Lync Server 2013 小規模または中規模の Microsoft Lync Server 2013 環境を AWS に構築して、高い可用性と災害対策を実現 Exchange Server 2013 新規または既存の Amazon VPC のいずれかを選択して、可用性の 高い AWS のアーキテクチャにデプロイ Windows PowerShell DSC Microsoft Windows PowerShell DSC プルサーバーまたはプッ シュサーバー環境を AWS に構築 SharePoint Server 2013 Microsoft SharePoint Server 2013 を SQL Server AlwaysOn Availability Groups with WSFC をデータベース層としてデプロ イ SQL Server 2012 and 2014 with WSFC Windows Server Failover Clustering (WSFC) と SQL Server AlwaysOn Availability Groups を活用した高可用性ソリューショ ン Remote Desktop Gateway リモートデスクトップゲートウェイと RDP による保護されたリ モート管理ソリューション Active Directory Domain Services クラウドのみまたはハイブリッドアーキテクチャを選択可能 クイックスタートリファレンス（マイクロソフト）

36. カテゴリ プロダクト 解説 SAP SAP Business One, version for SAP

    HANA SAP Business One の SAP HANA バージョンを、クラウド の新規または既存の AWS インフラストラクチャにデプロイ SAP HANA 複数ノードの SAP HANA クラスターを AWS に構築 Trend Micro Deep Security Trend Micro Deep Security 9.5 をデプロイします。このソ リューションは、新規または既存の AWS インフラストラク チャ MongoDB 柔軟でスケーラブル、かつコスト効率の優れた方法で MongoDB を AWS にデプロイ Cloudera Enterprise Data Hub Cloudera Director と AWS サービスを統合し、複数ノード の Cloudera Enterprise Data Hub (EDH) クラスターを構 築 Magento Magento Community EditionをAWS上に展開します。 Magentoは、E-コマースWebサイトのためのオープンソース のコンテンツ管理システムです。 クイックスタートリファレンス（SAP, Security,…）
37. None
38. None
39. None

40. ©2014, Amazon Web Services, Inc. or its affiliates. All rights

    reserved. 金融機関向け『Amazon Web Services』対応 セキュリティリファレンス • 2013年10月、FISC安全対策基準（第8追補版）へのAWSの準拠状況を調査した資料を SI/ISV ８社が共同で調査して一般公開 • AWSと利用者で責任分担することで、FISC安対基準を満たせるとの見解を一般公開 「金融機関等コンピュータシステムの安全対策基準」に対するAWSの対応状況リスト http://aws.amazon.com/jp/aws-jp-fisclist/ サマ リー 版 詳細 版 Amazon Web Services対応 セキュリティリファレンス FISC 安全対策 基準 設備： 138項目 運用： 115項目 技術： 53項目 各基準に 対応 Amazon Web Services システム構築・運 用 調査・対応案検 討 各金融事業者のセキュリティ指針・監査指針 クラウドを活用したシステム 安心・安全かつ、機動性の高い金融サービスの実現 金融事業者（銀行、証券、保険等） セキュリティ対応 調査協力 作成/ 更新 支援 SCSK ISID NRI MKI TrendMicro TIS CAC

41. 医薬品、医療機器、再生医療、化粧品など医薬品医療機器等法の対象となる企業様向け AWSのCSV対応リファレンス FeelerSystemZ do what one feels • 厚生労働省の「医薬品・医薬部外品製造販売業者等におけるコン ピュータ化システム適正管理ガイドライン」（以下、適正管理ガイド

    ライン）の開発、検証、運用、破棄の項目に対して、AWSがどのよう に適合するかを調査。 • AWSのパートナー５社が共同で調査 • 適正管理ガイドラインの80項目（行）に対して41のポイント精査 供給者 アセスメント 整理表 供給者監査 質問票 適正 ガイドライン 対応表 AWSのCSV対応リファレン ス 厚生労働省 適正管理 ガイドライン 薬機法の対象となる企業（医薬品、医療機器、再生医療、化粧品） 食品業界でもより高度な品質保証を追求する企業 システム構 築 対応調査 調査 更新 41 支援
42. None

43. ご清聴ありがとうございました