AWS環境でのPCI DSS対応におけるIAMによるデータアクセス

1$*%44ษڧձ *".ʹΑΔσʔλΞΫηεฤ ӓాՂ༞

ࠓճͷείʔϓ ैདྷͷσʔλΞΫηεͷܦ࿏Ҏ֎ʹɺ*".Λར༻ͯ͠ΞΫη ε͢Δ͜ͱ͕ՄೳͳԼهػೳΛࠓճͷείʔϓͱ͠·͢ɻ w &$΁ͷΞΫηε w 44.3VO$PNNBOE w
44.4FTTJPO.BOBHFS w 44.4FTTJPO.BOBHFS44) w &$*OTUBODF$POOFDU w 3%4΁ͷΞΫηε ˞4΍%ZOBNP%#ͳͲݩʑ"1*ͰͷσʔλΞΫηε͕લఏͷ΋ͷ͸είʔϓ֎ͱ͠·͢

IAMσʔλΞΫηεػೳઆ໌

چདྷͷ"84্ͷσʔλΞΫηε *".͸"84্ͷݖݶ؅ཧʹར༻͞ΕΔ αʔόϦιʔε &$3%4౳ ͸*".ͷݖݶʹΑΓ࡞੒ ͢Δ͕ɺσʔλΞΫηε͸44)΍3%1ͰσʔλϓϨʔϯ ͷܦ࿏ͰΞΫηε͍ͯͨ͠ ΞΫηε੍ޚʹܦ࿏Ͱͷ੍ޚ΋͋Δ͕ɺ࠷ऴతʹ04౳΁
ͷΞΫηε͸44)Ͱͷൿີ伴΍ύεϫʔυʹґଘ͍ͯ͠ ͨ چདྷ͸࠷ऴతʹίϯτϩʔϧϓϨʔϯͱσʔλϓϨʔϯ ͸͖Ε͍ʹ෼͔Ε͍ͯͨ αʔόपΓ͸

*".ʹΑΔσʔλΞΫηεͷྺ࢙ SF*OWFOU ݄ ʹͯ"NB[PO&$4ZTUFNT .BOBHFS͕ൃද ݱ"844ZTUFNT.BOBHFSɺҎԼ44. &$ͷӡ༻ࣗಈԽπʔϧͱͯͭ͠ͷػೳ͕ൃද͞Εɺ͏ͪ
Ұ͕ͭ3VO$PNNBOE *".ݖݶΛ࢖ͬͯ&$্Ͱ೚ҙͷίϚϯυΛ࣮ߦͰ͖ΔΑ͏ ʹͳͬͨ 44)ϙʔτ͕ͳͯ͘΋ίϚϯυ࣮ߦ͕Մೳʹ ࢀߟIUUQTEFWDMBTTNFUIPEKQDMPVEBXTFTN SVODPNNBOE

*".ʹΑΔσʔλΞΫηεͷྺ࢙ ͦͷޙɺ೥݄ʹ44.ͷ௥Ճػೳͱͯ͠4FTTJPO .BOBHFS͕ൃද 44)ϙʔτ͕ͳͯ͘΋γΣϧΞΫηεͰ͖ΔΑ͏ʹͳͬͨ ˞ϩάΠϯঢ়ଶͰ͸ͳ͍ IUUQTEFWDMBTTNFUIPEKQDMPVEBXTNJUJHBUJPOJEFBGPSTFTTJPONBOBHFS

*".ʹΑΔσʔλΞΫηεͷྺ࢙ ೥݄ʹ4FTTJPO.BOBHFSͰ44)4$1ͷτ ϯωϦϯάΛαϙʔτ ܦ࿏ͱͯ͠͸4FTTJPO.BOBHFSΛར༻͢ΔͨΊҾ͖ ଓ͖44)ͷܦ࿏ٴͼϙʔτ։์͸ෆཁͰɺ44)ϓϩτ ίϧΛར༻ͨ͠௨৴͕Մೳʹ ຊ໋͸4$1ʹΑΔϑΝΠϧసૹ͕͜ͷܦ࿏ͰͰ͖ΔΑ ͏ʹͳͬͨ͜ͱ

*".ʹΑΔσʔλΞΫηεͷྺ࢙ গ͠ḪΔ͜ͱ೥݄ɺ3VO$PNNBOE΍ 4FTTJPO.BOBHFSͳͲͷ44.ͷػೳͱ͸શ͘ผʹ &$*OTUBODF$POOFDU͕ൃද "1*ͱͯ͠͸44.ͷܥྻͰ͸ͳ͘&$ͷ"1*ͷҰͭ Ұ࣌తʹੜ੒ͨ͠ެ։伴Ͱ44)ϩάΠϯ͕ՄೳͱͳΔ &$*OTUBODF$POOFDUͷػೳͱͯ͠͸Ұ࣌తͳެ։ 伴ͷొ࿥ͷΈͰɺ઀ଓʹ͸௨ৗͷ44)Λར༻͢Δ
ͦͷͨΊɺ44)ͷܦ࿏΋ඞཁͱͳΔ

*".ʹΑΔσʔλΞΫηεͷྺ࢙ &$*OTUBODF$POOFDUͷશ༰ IUUQTEFWDMBTTNFUIPEKQDMPVEBXTFDJOTUBODFDPOOFDU

*".ʹΑΔ&$σʔλΞΫηεػೳͷҰཡ αʔϏε ૉͷ44) 3VO$PNNBOE 4ZTUFNT.BOBHFS 4FTTJPO.BOBHFS 4ZTUFNT.BOBHFS 4FTTJPO.BOBHFS
44) &$*OTUBODF$POOFDU ֓ཁ 44)ΫϥΠΞϯτΛ࢖ͬ ͯɺΠϯελϯεʹ઀ଓɻ 44.͔ΒίϚϯυ࣮ߦɻ جຊ͸୯ൃͰྲྀ͠ࠐΉͩ ͚ɻ ΠϯελϯεʹγΣϧΞΫ ηεɻϩάΠϯॲཧ͕ߦΘ Εͳ͍ͨΊɺҰ෦ಠಛͳಈ ͖ 44.4FTTJPO.BOBHFη ογϣϯ্ʹ44)τϯωϧ Λ࡞੒ɻ 44)ΫϥΠΞϯτΛ࢖ͬ ͯɺΠϯελϯεʹ઀ଓɻ 44)Ωʔ͸઀ଓ͝ͱʹొ࿥ ͠ɺඵ͚ͩ༗ޮɻ ϓϩτίϧ 44) )5514 )5514 44)PWFS)5514 44) 44)Ωʔ؅ཧ ඞཁ ෆཁ ෆཁ ඞཁ ඞཁ ઀ଓ࣌ʹ౎౓࡞੒ɾొ࿥ ೝূ 44) *". *". *". 44) *". 44) ηογϣϯૢ࡞ཤྺ ࢒Δ ࢒Δ ϓϥΠϕʔταϒωοτ ౿Έ୆ܦ༝ Մೳ Մೳ Մೳ ౿Έ୆ܦ༝ Πϯό΢ϯυϙʔτ؅ཧ 44)༻ϙʔτΛ͚͋Δ ෆཁ ෆཁ ෆཁ 44)༻ϙʔτΛ͚͋Δ ΫϥΠΞϯτཁ݅ 44) "84$-* "84$-* 4FTTJPO.BOBHFSϓϥά Πϯ 44) "84$-* 4FTTJPO.BOBHFSϓϥά Πϯ 44) "84$-* &$*OTUBODF$POOFDU $-* αʔόʔཁ݅ 44) 44."HFOU 44."HFOU 44."HFOU 44) 04"NB[PO-JOVY 6CVOUV 44)

&$ΞΫηεػೳҰཡͷৄࡉ ৄࡉ͸Լه IUUQTEFWDMBTTNFUIPEKQDMPVEBXTDIPPTJOH UIFSJHIUTIFMMBDDFTTTPMVUJPOUPBXTFD

3%4΁ͷ*".σʔλΞΫηε ೥݄ɺ3%4΁ͷσʔλΞΫηεʹ*".Λར༻Ͱ͖Δ Α͏ʹͳΔ %#΁ͷ઀ଓʹύεϫʔυͰ͸ͳ͘"1*Ͱൃߦͨ͠Ұ࣌తͳೝ ূτʔΫϯͰΞΫηε͢Δ͜ͱ͕Մೳ ઀ଓ͸͋͘·Ͱ֤%#ͱͷ௨৴ϓϩτίϧΛར༻͢Δ ࣄલʹ%#ଆͰ*".ೝূ༻Ϣʔβͷ࡞੒͕ඞཁ ࢀߟIUUQTEFWDMBTTNFUIPEKQDMPVEBXTJBN
BVUISET

ΞΫηε੍ޚͱ ෆਖ਼ར༻ରࡦɾ؂ࠪ

େલఏ "84ͷ"1*ΞΫηε͸$MPVE5SBJMʹΑΓϩΪϯά͞Ε͍ͯΔ

ΞΫηε੍ޚͷ؍఺ͰͷͦΕͧΕͷػೳධՁ w 3%4΁ͷ*".ϢʔβΞΫηε͸͋·Γ௨ৗͱมΘΒ ͳ͍ w ύεϫʔυͷ୅ΘΓʹ*".ϕʔεͷػೳ͕ར༻Ͱ͖Δ͕ɺ ࣄલηοτΞοϓͰϢʔβ࡞੒΋ඞཁͰɺ͔ͭ%#Ϣʔβ ͷݖݶʹߜΒΕΔ
w ໰୊͸ଟ਺͋Δෳࡶͳ&$΁ͷΞΫηεΛͲ͏੍ޚ͢ Δ͔

ΞΫηε੍ޚͷ؍఺ͰͷͦΕͧΕͷػೳධՁ w &$*OTUBODF$POOFDU͸઀ଓ༻ͷެ։伴ΛΞοϓ ϩʔυ͢Δ͚ͩͷػೳͷͨΊɺωοτϫʔΫͷܦ࿏Λ ֬อ͢Δඞཁ͕͋Δ w ͔ͭ44)Ͱͷ઀ଓͱͳΓɺTTIE@DPOpHͰ΋ίϯτ ϩʔϧ͕Մೳ
w ࢀߟIUUQTEFWDMBTTNFUIPEKQDMPVEBXT FDJOTUBODFDPOOFDUPTVTFS

ΞΫηε੍ޚͷ؍఺ͰͷͦΕͧΕͷػೳධՁ w &$΁ͷΞΫηεͰಛʹ੍ޚ͕؆୯Ͱ͸ͳ͍ͷ͕44.ͷػೳ܊ w 3VO$PNNBOE w 4FTTJPO.BOBHFS w
4FTTJPO.BOBHFS44) w ͜ΕΒ͸&$΁ͷΞΫηεܦ࿏ʹطଘͷωοτϫʔΫ͕ඞཁͳ͍ &$ʹΠϯετʔϧ͞Εͨ44."HFOU͔Β44.&OEPQPJOU΁ͷ ௨৴͕௨Ε͹ར༻Ͱ͖Δ ͨΊ&$ʹׂΓ౰ͯΒΕͨ*".ͷݖݶ͕͋ Ε͹ར༻Ͱ͖ͯ͠·͏ w ·ͨɺ44.ͷػೳ܈͸ศརͳͨΊɺ&$ʹ͸44."HFOUͷΠϯε τʔϧͱ*".3PMFͷׂΓ౰ͯ͸ߦΘΕ͕ͪ w ྫΠϯϕϯτϦͷऩूɺύονϚωʔδϟɺίϯϓϥΠΞϯενΣοΫ౳

*".ʹΑΔ&$σʔλΞΫηεػೳͷҰཡ ࠶ܝ αʔϏε ૉͷ44) 3VO$PNNBOE 4ZTUFNT.BOBHFS 4FTTJPO.BOBHFS 4ZTUFNT.BOBHFS
4FTTJPO.BOBHFS 44) &$*OTUBODF$POOFDU ֓ཁ 44)ΫϥΠΞϯτΛ࢖ͬ ͯɺΠϯελϯεʹ઀ଓɻ 44.͔ΒίϚϯυ࣮ߦɻ جຊ͸୯ൃͰྲྀ͠ࠐΉͩ ͚ɻ ΠϯελϯεʹγΣϧΞΫ ηεɻϩάΠϯॲཧ͕ߦΘ Εͳ͍ͨΊɺҰ෦ಠಛͳಈ ͖ 44.4FTTJPO.BOBHFη ογϣϯ্ʹ44)τϯωϧ Λ࡞੒ɻ 44)ΫϥΠΞϯτΛ࢖ͬ ͯɺΠϯελϯεʹ઀ଓɻ 44)Ωʔ͸઀ଓ͝ͱʹొ࿥ ͠ɺඵ͚ͩ༗ޮɻ ϓϩτίϧ 44) )5514 )5514 44)PWFS)5514 44) 44)Ωʔ؅ཧ ඞཁ ෆཁ ෆཁ ඞཁ ඞཁ ઀ଓ࣌ʹ౎౓࡞੒ɾొ࿥ ೝূ 44) *". *". *". 44) *". 44) ηογϣϯૢ࡞ཤྺ ࢒Δ ࢒Δ ϓϥΠϕʔταϒωοτ ౿Έ୆ܦ༝ Մೳ Մೳ Մೳ ౿Έ୆ܦ༝ Πϯό΢ϯυϙʔτ؅ཧ 44)༻ϙʔτΛ͚͋Δ ෆཁ ෆཁ ෆཁ 44)༻ϙʔτΛ͚͋Δ ΫϥΠΞϯτཁ݅ 44) "84$-* "84$-* 4FTTJPO.BOBHFSϓϥά Πϯ 44) "84$-* 4FTTJPO.BOBHFSϓϥά Πϯ 44) "84$-* &$*OTUBODF$POOFDU $-* αʔόʔཁ݅ 44) 44."HFOU 44."HFOU 44."HFOU 44) 04"NB[PO-JOVY 6CVOUV 44)

04ଆͰͷରࡦ w 3VO$PNNBOE w TTNΤʔδΣϯτΛೖΕͳ͍ w 4FTTJPO.BOBHFS w
TTNΤʔδΣϯτΛೖΕͳ͍ w 4FTTJPO.BOBHFS44) w TTNΤʔδΣϯτΛೖΕͳ͍ w &$*OTUBODF$POOFDU w TTIE@DPOpHͰͷ੍ޚ w &$*OTUBODF$POOFDUΛΠϯετʔϧ͠ͳ͍PS&$*OTUBODF $POOFDUΛΞϯΠϯετʔϧ͢Δ ৽͍͠"NB[PO-JOVYͷ৔߹

"84ଆͰͷରࡦ w ཈ࢭ w $MPVE5SBJMʹΑΔϩΪϯά w $POpH3VMFTʹΑΔ֘౰"1*ར༻ݕ஌ w
੍ޚ w *".Ϣʔβʹ֘౰ݖݶΛ༩͑ͳ͍ w λάϕʔεͰΞΫηεର৅ΠϯελϯεΛݶఆ͢Δ w &$*OTUBODF$POOFDUͷ৔߹04ϢʔβΛߜΔ

ϩΪϯάͷ൵͍͠ͱ͜Ζ w 3VO$PNNBOEͱ4FTTJPO.BOBHFS͸ϩάΛอଘՄೳ w ͔͠͠ɺࣗಈతʹશϩά͕อଘ͞Εͳ͍ w 3VO$PNNBOEίϯιʔϧ্Ͱ͸࠷ޙ จࣈͷΈ
w 4FTTJPO.BOBHFSͰ͸ίϯιʔϧ্ͷϩά͸ແ͠ w શϩάอଘͷͨΊʹ͸໌ࣔతʹ4΍$MPVE8BUDI-PHTʹग़ྗ ͢Δඞཁ͕͋Δ w 4FTTJPO.BOBHFS44)ͱ&$*OTUBODF$POOFDUͰ͸ ࠷ऴతʹ͸44)ͰͷΞΫηεͷͨΊ௨ৗϩά͕औΒΕͳ͍ w 04্ͰͷϩΪϯά͕ඞਢ

Ͳ͏΍ͬͯσʔλΞΫηεػೳͱ ෇͖߹͍ͬͯ͘΂͖͔ (σΟεΧογϣϯ)

AWS環境でのPCI DSS対応におけるIAMによるデータアクセス

AWS環境でのPCI DSS対応におけるIAMによるデータアクセス

cm-usuda-keisuke

More Decks by cm-usuda-keisuke

Other Decks in Technology

Featured

Transcript

1$%44ษڧձ ".ʹΑΔσʔλΞΫηεฤ ӓాՂ༞

ࠓճͷείʔϓ ैདྷͷσʔλΞΫηεͷܦ࿏Ҏ֎ʹɺ*".Λར༻ͯ͠ΞΫη ε͢Δ͜ͱ͕ՄೳͳԼهػೳΛࠓճͷείʔϓͱ͠·͢ɻ w &$΁ͷΞΫηε w 44.3VO$PNNBOE w

IAMσʔλΞΫηεػೳઆ໌

چདྷͷ"84্ͷσʔλΞΫηε ".͸"84্ͷݖݶ؅ཧʹར༻͞ΕΔ αʔόϦιʔε &$3%4౳ ͸".ͷݖݶʹΑΓ࡞੒ ͢Δ͕ɺσʔλΞΫηε͸44)΍3%1ͰσʔλϓϨʔϯ ͷܦ࿏ͰΞΫηε͍ͯͨ͠ ΞΫηε੍ޚʹܦ࿏Ͱͷ੍ޚ΋͋Δ͕ɺ࠷ऴతʹ04౳΁

".ʹΑΔσʔλΞΫηεͷྺ࢙ SFOWFOU ݄ ʹͯ"NB[PO&$4ZTUFNT .BOBHFS͕ൃද ݱ"844ZTUFNT.BOBHFSɺҎԼ44. &$ͷӡ༻ࣗಈԽπʔϧͱͯͭ͠ͷػೳ͕ൃද͞Εɺ͏ͪ

*".ʹΑΔσʔλΞΫηεͷྺ࢙ ͦͷޙɺ೥݄ʹ44.ͷ௥Ճػೳͱͯ͠4FTTJPO .BOBHFS͕ൃද 44)ϙʔτ͕ͳͯ͘΋γΣϧΞΫηεͰ͖ΔΑ͏ʹͳͬͨ ˞ϩάΠϯঢ়ଶͰ͸ͳ͍ IUUQTEFWDMBTTNFUIPEKQDMPVEBXTNJUJHBUJPOJEFBGPSTFTTJPONBOBHFS

*".ʹΑΔσʔλΞΫηεͷྺ࢙ ೥݄ʹ4FTTJPO.BOBHFSͰ44)4$1ͷτ ϯωϦϯάΛαϙʔτ ܦ࿏ͱͯ͠͸4FTTJPO.BOBHFSΛར༻͢ΔͨΊҾ͖ ଓ͖44)ͷܦ࿏ٴͼϙʔτ։์͸ෆཁͰɺ44)ϓϩτ ίϧΛར༻ͨ͠௨৴͕Մೳʹ ຊ໋͸4$1ʹΑΔϑΝΠϧసૹ͕͜ͷܦ࿏ͰͰ͖ΔΑ ͏ʹͳͬͨ͜ͱ

".ʹΑΔσʔλΞΫηεͷྺ࢙ &$OTUBODF$POOFDUͷશ༰ IUUQTEFWDMBTTNFUIPEKQDMPVEBXTFDJOTUBODFDPOOFDU

*".ʹΑΔ&$σʔλΞΫηεػೳͷҰཡ αʔϏε ૉͷ44) 3VO$PNNBOE 4ZTUFNT.BOBHFS 4FTTJPO.BOBHFS 4ZTUFNT.BOBHFS 4FTTJPO.BOBHFS

&$ΞΫηεػೳҰཡͷৄࡉ ৄࡉ͸Լه IUUQTEFWDMBTTNFUIPEKQDMPVEBXTDIPPTJOH UIFSJHIUTIFMMBDDFTTTPMVUJPOUPBXTFD

ΞΫηε੍ޚͱ ෆਖ਼ར༻ରࡦɾ؂ࠪ

େલఏ "84ͷ"1*ΞΫηε͸$MPVE5SBJMʹΑΓϩΪϯά͞Ε͍ͯΔ

ΞΫηε੍ޚͷ؍఺ͰͷͦΕͧΕͷػೳධՁ w 3%4΁ͷ".ϢʔβΞΫηε͸͋·Γ௨ৗͱมΘΒ ͳ͍ w ύεϫʔυͷ୅ΘΓʹ".ϕʔεͷػೳ͕ར༻Ͱ͖Δ͕ɺ ࣄલηοτΞοϓͰϢʔβ࡞੒΋ඞཁͰɺ͔ͭ%#Ϣʔβ ͷݖݶʹߜΒΕΔ

ΞΫηε੍ޚͷ؍఺ͰͷͦΕͧΕͷػೳධՁ w &$*OTUBODF$POOFDU͸઀ଓ༻ͷެ։伴ΛΞοϓ ϩʔυ͢Δ͚ͩͷػೳͷͨΊɺωοτϫʔΫͷܦ࿏Λ ֬อ͢Δඞཁ͕͋Δ w ͔ͭ44)Ͱͷ઀ଓͱͳΓɺTTIE@DPOpHͰ΋ίϯτ ϩʔϧ͕Մೳ

ΞΫηε੍ޚͷ؍఺ͰͷͦΕͧΕͷػೳධՁ w &$΁ͷΞΫηεͰಛʹ੍ޚ͕؆୯Ͱ͸ͳ͍ͷ͕44.ͷػೳ܊ w 3VO$PNNBOE w 4FTTJPO.BOBHFS w

*".ʹΑΔ&$σʔλΞΫηεػೳͷҰཡ ࠶ܝ αʔϏε ૉͷ44) 3VO$PNNBOE 4ZTUFNT.BOBHFS 4FTTJPO.BOBHFS 4ZTUFNT.BOBHFS

04ଆͰͷରࡦ w 3VO$PNNBOE w TTNΤʔδΣϯτΛೖΕͳ͍ w 4FTTJPO.BOBHFS w

"84ଆͰͷରࡦ w ཈ࢭ w $MPVE5SBJMʹΑΔϩΪϯά w $POpH3VMFTʹΑΔ֘౰"1*ར༻ݕ஌ w

ϩΪϯάͷ൵͍͠ͱ͜Ζ w 3VO$PNNBOEͱ4FTTJPO.BOBHFS͸ϩάΛอଘՄೳ w ͔͠͠ɺࣗಈతʹશϩά͕อଘ͞Εͳ͍ w 3VO$PNNBOEίϯιʔϧ্Ͱ͸࠷ޙ จࣈͷΈ

Ͳ͏΍ͬͯσʔλΞΫηεػೳͱ ෇͖߹͍ͬͯ͘΂͖͔ (σΟεΧογϣϯ)