Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
今までなかった!?クラウドオブジェクトストレージのためのセキュリティを紹介
Search
Hiroyuki Kaji
June 24, 2021
Technology
0
20k
今までなかった!?クラウドオブジェクトストレージのためのセキュリティを紹介
トレンドマイクロのCloud One File Storage Securityの紹介
Hiroyuki Kaji
June 24, 2021
Tweet
Share
More Decks by Hiroyuki Kaji
See All by Hiroyuki Kaji
Cursor物語
cocacola917
0
71
re:Inforce2023 JapanツアーとAWSに学ぶセキュリティ組織の作り方
cocacola917
0
1.2k
S3のマルウェア対策について紹介
cocacola917
1
4k
今日から始めるAWS運用(基礎から応用までじっくり学ぶシステム運用向けのAWSサービス)
cocacola917
0
51k
場当たり的にAWSを導入し、そろそろ構成やセキュリティなどのアドバイスが欲しいと思った方に最適な「AWS技術アドバイザー」のご紹介
cocacola917
0
1.4k
基礎から応用までじっくり学ぶECS Fargateを利用したコンテナ環境構築
cocacola917
5
510k
AWS上に構築し数年経過したシステムの見直しポイント Developers.IO 2019 in Sapporo
cocacola917
0
3.6k
基礎から応用までじっくり学ぶ「AWSでのネットワークの作り方」
cocacola917
5
42k
AWS Systems Managerの使い方
cocacola917
0
1.9k
Other Decks in Technology
See All in Technology
業務自動化プラットフォーム Google Agentspace に入門してみる #devio2025
maroon1st
0
190
ZOZOのAI活用実践〜社内基盤からサービス応用まで〜
zozotech
PRO
0
170
Azure SynapseからAzure Databricksへ 移行してわかった新時代のコスト問題!?
databricksjapan
0
140
SOC2取得の全体像
shonansurvivors
1
380
Large Vision Language Modelを用いた 文書画像データ化作業自動化の検証、運用 / shibuya_AI
sansan_randd
0
100
From Prompt to Product @ How to Web 2025, Bucharest, Romania
janwerner
0
120
SoccerNet GSRの紹介と技術応用:選手視点映像を提供するサッカー作戦盤ツール
mixi_engineers
PRO
1
170
定期的な価値提供だけじゃない、スクラムが導くチームの共創化 / 20251004 Naoki Takahashi
shift_evolve
PRO
3
300
[2025-09-30] Databricks Genie を利用した分析基盤とデータモデリングの IVRy の現在地
wxyzzz
0
470
extension 現場で使えるXcodeショートカット一覧
ktombow
0
210
自作LLM Native GORM Pluginで実現する AI Agentバックテスト基盤構築
po3rin
2
250
神回のメカニズムと再現方法/Mechanisms and Playbook for Kamikai scrumat2025
moriyuya
4
520
Featured
See All Featured
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
120k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
32
2.2k
Rails Girls Zürich Keynote
gr2m
95
14k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
657
61k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
114
20k
GraphQLとの向き合い方2022年版
quramy
49
14k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
46
7.6k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.5k
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
27k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
127
53k
Transcript
今までなかった︕︖ クラウドオブジェクトストレージのための セキュリティを紹介 1 AWS事業本部 コンサルティング部 Hiroyuki Kaji
2 ⾃⼰紹介 梶 浩幸(Hiroyuki Kaji) Twitter︓@cocacola917 AWS環境の構築、コンサルティング 札幌オフィス勤務 デリバリーチームリーダ(エンジニア育成) 経歴
・ネットワーク機器メーカSE ・セキュリティ関連企業の商⽤システム運⽤者 ・2014年 クラスメソッド 札幌オフィス⼊社
3 アジェンダ クラウドオブジェクトストレージ︖ Cloud One File Storage Security フローとアーキテクチャ 利⽤シーン
導⼊⼿順 まとめ
4 クラウドオブジェクトストレージ︖
5 Amazon S3 (Amazon Simple Storage Service)
6 Amazon S3 (Amazon Simple Storage Service) とは︖
7 Amazon S3(Amazon Simple Storage Service) AWSサービス開始当初から存在し、歴史が⻑い インターネット経由で利⽤するストレージサービス データストレージとしてAWSの中核を担う存在 AWSでシステムを構築する際に、確実に利⽤
8 Amazon S3 の特徴
9 堅牢性 99.999999999% (9 x 11) の耐久性を実現するよう に設計 データをAmazon S3に保存しておけば、データ消失の
リスクはほぼゼロに Amazon S3では、保存されたファイルをリージョン内 で3箇所以上のデータセンターに⾃動的に複製して保持 可⽤性については99.99%の設計
10 容量無制限 保存できるデータ容量、ファイル数に制限なし 従量課⾦なので使った分だけ料⾦は発⽣ 容量を気にせず使⽤できることは⼤きなメリット データの総量に対する制限はありませんが、ファイルサ イズは1ファイル最⼤「5TB」まで
11 そもそもS3って どのような場合に利⽤するの︖
12 データのバックアップ イレブンナインの堅牢性からデータバックアップスト レージとしての⽤途 ディザスタリカバリ⽬的でオンプレミスにあるサーバの バックアップを保存 個⼈でも写真や動画データをS3に保存可能
13 ログデータ等の保存先 EC2で稼働するアプリケーションのログ退避先 ビッグデータ分析で使⽤する⽣データ (基幹システムのDBからエクスポートしたCSVファイル等) 中間データ(⽣データを分析⽤に加⼯)の保存先 各種AWSサービスのログの保存先
14 コンテンツ配信 S3に保存したファイルはインターネット経由でアクセ スさせることも可能 「静的ウェブサイトのホスティング」の機能で、S3⾃ 体をWebサーバとして機能させることも可能 Webサイトの静的コンテンツ(htmlファイル、画像ファイル、 javascriptファイルなど)をS3に保存 S3から直接クライアントに配信可能で、Webサイトをホス トするWebサーバの負荷を軽減することが可能
15 S3で持っているセキュリティ機能は︖
16 S3のアクセスコントロール 内容 機能名 ユーザ操作のコントロール IAM バケット全体のアクセス許可 バケットポリシー オブジェクト単体のアクセス許可 アクセスコントロールリスト
(ACL) バケット公開を防⽌ パブリックブロックアクセス
17 Amazon Macie 指定されたS3バケットの機微情報の評価・検出 機微情報 個⼈識別情報(PII)︓⽣年⽉⽇、住所、パスポート番号、電話番号 ⾦融関連情報︓銀⾏⼝座番号、クレジットカード失効⽇など 認証情報︓AWSシークレットキー、秘密鍵など 個⼈識別情報(PII)については、⽇本の運転免許証など は未対応
18 S3にアップロードしたオブジェクトは マルウェアスキャンしてくれるの︖
19 S3にウィルススキャンという機能はありません S3へオブジェクトをウィルススキャンするには… アップロード前にウィルススキャン アップロード後に別途ダウンロードしてウィルススキャン データ管理は利⽤者側の責任のため、ウイルスチェック が必要な場合はユーザー側での対応が必要 S3バケット内ではファイル動作・操作しないためウィルス ファイルの影響は無い
20 ダウンロード先で更なる拡散防⽌ ファイルの受け渡しを⾏うためダウンロード先でのさら なる拡散を防⽌したいと希望が多い。 要件に合わせた冗⻑性も検討必要
21 他には https://dev.classmethod.jp/articles/s3-bucket-antivirus-lambda/
22 Cloud One File Storage Security
23 フローとアーキテクチャー https://cloudone.trendmicro.com/docs/file-storage-security/arch-overview/ (1) (2) (3) (4) (5) (6) (7)
24 利⽤シーン
25 AWSの利⽤費は︖ 1⽇平均200ファイルをスキャン 平均ファイルサイズ2MB 50USD/⽉ https://cloudone.trendmicro.com/docs/file-storage-security/pricing-billing/ (別途Cloud One File Storage
Security費も必要)
26 Cloud One File Storage Security 導⼊⼿順 (試⽤版で試せます)
27 前提条件 Cloud Oneアカウントを取得済みであること 同じブラウザ上で、AWSアカウントにAdministrator 権限のユーザでログインをしておく スキャン対象のS3バケットを構築しておく バケット例︓kaji-fss-check(東京リージョン)
28 導⼊⼿順
29 導⼊⼿順
30 導⼊⼿順
31 導⼊⼿順
32 導⼊⼿順 〜省略〜(⾮表⽰部分は編集不要) スタックの作成をクリック後、7〜8分程度で構築完了
33 導⼊⼿順 コピー&ペーストしてSubmit
34 導⼊⼿順 以下の表⽰になりましたら導⼊完了
35 S3バケットに 擬似ウィルスソフト(Eicarファイル)を アップロードして試してみた
36 結果の確認(S3バケットのオブジェクトのタグ) S3バケットのオブジェクト(ファイル)のタグ 不正ファイル 通常のファイル
37 結果確認(File Storage Security コンソール) 統計情報を表⽰
38 詳細はブログを https://dev.classmethod.jp/articles/cloud-one-file-storage-security/
39 詳細はブログを https://dev.classmethod.jp/articles/c1fss-sns-scan-activity/
40 まとめ
41 File Storage Securityは 導⼊が⾮常にカンタン サーバレスでS3にアップロードされた時のみ動作 サーバ運⽤不要なため構成に影響をあたえず運⽤