AWS環境におけるPCI-DSS準拠のポイント 
 2024年8月5日
 クラスメソッド株式会社　和田響
 
 1

2 自己紹介 和⽥ 響（わだ ひびき） ● AWS事業本部コンサルティング部 ● ソリューションアーキテクト ● 25歳（社会⼈3年⽬） ● 2023年9⽉⼊社 ● 2024 Japan AWS Jr. Champions ● 2024 Japan AWS All Certifications Engineers

3 2024 Japan AWS Jr. Champions とは？ 「Japan AWS Jr. Champion Program」とは、AWS Partner Network (APN) 参加企 業に所属し、現在社会⼈歴 1 〜 3 年⽬で AWS を積極的に学び、アクションを起こ し、周囲に影響を与えている APN 若⼿エンジニアを選出しコミュニティを形成す る、⽇本独⾃の認定プログラムです。 【主な応募資格】 社会⼈歴 : 3 年以内 受賞⼈数：1企業につき2⼈まで 認定資格：計3つ以上（CLF+2個以上） https://aws.amazon.com/jp/blogs/psa/2024-japan-aws-jr-champions-criteria/

4 アジェンダ ● はじめに ○ AWSとは ○ PCI-DSSとは ● 抑えておきたいポイント ○ 責任共有モデル ○ コンプライアンスガイド ● 最後に ○ AWS利⽤のメリット ○ AWS利⽤時の注意点と対策（おまけ）

5 アジェンダ ● はじめに ○ AWSとは ○ PCI-DSSとは ● 抑えておきたいポイント ○ 責任共有モデル ○ コンプライアンスガイド ● 最後に ○ AWS利⽤のメリット ○ AWS利⽤時の注意点と対策（おまけ）

6 AWSとは AWSは「Amazon Web Services」の略称で、Amazon社が提供するクラウドコン ピューティングサービスである。 【主な特徴】 幅広いサービス ：コンピューティング、ストレージ、データベース、分析、          機械学習など、200以上のサービスを提供している スケーラビリティ：需要に応じて簡単にリソースを拡張‧縮⼩できる 柔軟性     ：必要なサービスのみを選択し、利⽤できる セキュリティ  ：⾼度なセキュリティ機能と認証を提供している グローバル展開 ：世界中の多数のデータセンターを通じてサービスを展開できる

7 アジェンダ ● はじめに ○ AWSとは ○ PCI-DSSとは ● 抑えておきたいポイント ○ 責任共有モデル ○ コンプライアンスガイド ● 最後に ○ AWS利⽤のメリット ○ AWS利⽤時の注意点と対策（おまけ）

8 PCI-DSSとは PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード 会員データを安全に取り扱う事を⽬的として策定された、クレジットカード業界の セキュリティ基準。計12要件で構成されており、各要件の配下でそれぞれ詳細な項 ⽬が定義されているため、合計400項⽬ほどになります。 PCI DSSは定期的に更新されており、PCI DSS v3.2.1の有効期限は2024年3⽉31⽇ま でで、現在はPCI DSS v4.0の準拠が求められている。

9 PCI-DSS v4.0 の要件 ● 安全なネットワークとシステムの構築と維持 ○ 要件1：ネットワークセキュリティコントロールの導⼊と維持 ○ 要件2：すべてのシステムコンポーネントにセキュアな設定を適⽤する ● アカウントデータの保護 ○ 要件3：保存されたアカウントデータの保護 ○ 要件4：オープンな公共ネットワークでの送信時に、強⼒な暗号化技術でカード会員データを保護する ● 脆弱性管理プログラムの維持 ○ 要件5：悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する ○ 要件6:安全なシステムおよびソフトウェアの開発と維持 ● 強固なアクセス制御の実施 ○ 要件7：システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適⽤範囲（Need to Know）によって制限する ○ 要件8：ユーザの識別とシステムコンポーネントへのアクセスの認証 ○ 要件9:カード会員データへの物理アクセスを制限する ● ネットワークの定期的な監視とテスト ○ 要件10:システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること ○ 要件11:システムおよびネットワークのセキュリティを定期的にテストする ● 情報セキュリティポリシーの維持 ○ 要件12:組織の⽅針とプログラムによって情報セキュリティをサポートする

10 アジェンダ ● はじめに ○ AWSとは ○ PCI-DSSとは ● 抑えておきたいポイント ○ 責任共有モデル ○ コンプライアンスガイド ● 最後に ○ AWS利⽤のメリット ○ AWS利⽤時の注意点と対策（おまけ）

11 責任共有モデル AWSはセキュリティの責任範囲をAWSとお客様で明確に定義している。 https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/

責任共有モデル 利用者が責任を負うセキュリティ範囲 (EC2) EC2 ● OSの管理 ○ パッチ適用 ○ Windows Update ● アプリケーションの管理 ○ アプリケーションのアップグレード ○ アプリケーションの設定変更 ● アプリケーションの監視 ○ EC2インスタンスの監視 ○ ログの収集と分析 ● データの管理 ○ バックアップと復元 ○ 暗号化 ● アクセスの管理 ○ セキュリティグループでの通信制御 ○ NACLによる通信制御 ○ キーペアの管理

責任共有モデル 利用者が責任を負うセキュリティ範囲 (RDS) RDS ● データベースの設計と運用 ○ スキーマの設計 ○ オブジェクトの作成と管理 ○ データのバックアップと復元 ● アクセスの管理 ○ ユーザーの作成と管理 ○ セキュリティグループでの通信制御 ○ NACLによる通信制御 ● エンジンのアップグレード ○ データベースエンジン(MySQL、PostgreSQL、Oracle等)ののアップ グレード(内部OSのアップデートなど一部はAWSが強制する) ● データの保護 ○ データの整合性の確保 ○ データの暗号化の設定(必要に応じて)

責任共有モデル 利用者が責任を負うセキュリティ範囲 (S3) S3 ● データの管理 ○ データのライフサイクル管理(保存期間の設定など) ○ データの分類と整理 ● アクセスの管理 ○ バケットポリシーの設定 ○ アクセス権限の設定(ACLやIAMポリシー) ○ 公開アクセスの制限設定 ● データの暗号化設定 ○ サーバー側の暗号化設定 ○ クライアント側の暗号化設定 ● バックアップ ○ クロスリージョンレプリケーションの設定 ○ バージョニングの設定

15 責任共有モデル 例えばお客様がPCI DSS等の認証の取得を考えた場 合、全ての要件を⾃社で管理を⾏うことは⾮常に負 荷が⾼く、コストもかかる作業となります。AWSは PCI DSSを含めた様々なコンプライアンスプログラ ムや第三者認証に取り組んでおり、お客様は⾃らの 認証の範囲からデーターセンターの物理的な統制を 除外することができます。 https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/ AWS公式ブログでもPCI DSSを例として責任共有モデルについて説明している。

16 とはいえ。。。 じゃあどうしたら良いの？？

17 コンプライアンスガイド このガイドは、お客様が PCI DSS 準拠のアプリケー ションを構築し、更新されたバージョン 4.0 の要件 に準拠できるようにするための概念と原則の概要で す。 【内容】 1. 共有責任モデルと PCI DSS 要件への影響 2. AWS PCI DSS レベル 1 サービスプロバイダース テータスが顧客にとって何を意味するか 3. カード会員データ環境のスコープ設定 4. 評価に必要な図 5. 要件ごとのガイダンス AWSはPCI DSS v4.0 on AWS コンプライアンスガイドを提供している https://aws.amazon.com/jp/blogs/security/pci-dss-v4-0-on-aws-compliance-guide-now-available/

18 どんなことが書いてあるのか？

19 コンプライアンスガイド 要件4 顧客は、AWSがサービスオプションとして提供する強⼒な暗号化とセキュ リティ制御を設定する責任があります。Amazon CloudFront、Amazon API Gateway、Elastic Load Balancerなどの外部に公開されているAWS サービスは、TLS 1.2以上のトランスポート暗号化レベルをサポートしてお り、それを強制するポリシーを実装できます。顧客は、少なくともTLS 1.2 を要求するElastic Load Balancerセキュリティポリシーを選択する責任が あります。セキュリティグループとネットワークACLは、安全でないプロ トコルの使⽤をブロックできます。CloudFrontフィールドレベル暗号化を 使⽤して、追加のセキュリティ層とHTTPSを追加し、処理全体を通じて特 定のデータを保護できます。 顧客は、要件4.2.1.bと4.2.1.cに準拠するために、クライアントとサーバー が強⼒なTLS暗号を... https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws-v4-102023.pdf Claude 3.5 Sonnetによる翻訳 原文

20 アジェンダ ● はじめに ○ AWSとは ○ PCI-DSSとは ● 抑えておきたいポイント ○ 責任共有モデル ○ コンプライアンスガイド ● 最後に ○ AWS利⽤のメリット ○ AWS利⽤時の注意点と対策（おまけ）

21 AWS利用のメリット 1.多くのインプットが存在する   ‧AWSの公式リファレンス   ‧コンプライアンスガイド   ‧ブログ記事 2.責任共有モデルによる開発‧運⽤コストの削減が可能 3.⼤量のサービスと頻繁のアップデートによる「こうなったら良いな」を実現

22 AWS利用のメリット 1.多くのインプットが存在する コンプライアンスガイド 公式ドキュメント 多くのブログ記事

23 AWS利用のメリット 2.責任共有モデルによる開発‧運⽤コストの削減が可能 https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/

24 AWS利用のメリット 3.⼤量のサービスと頻繁のアップデートによる「こうなったら良いな」を実現 ● 年間 3,000 回を超えるアップデート ● 直近のイケてるアップデート ○ ⼀定期間未使⽤のIAMリソースの 特定が可能に ○ GuardDutyでS3のマルウェア保護 が可能に

25 アジェンダ ● はじめに ○ AWSとは ○ PCI-DSSとは ● 抑えておきたいポイント ○ 責任共有モデル ○ コンプライアンスガイド ● 最後に ○ AWS利⽤のメリット ○ AWS利⽤時の注意点と対策（おまけ）

26 AWS利用時の注意点と対策（おまけ） 放っておくとコストが。。。

27 AWS利用時の注意点と対策（おまけ） AWSにおける利用費高騰の代表的な原因 1.コンピューティングリソース及びデータベースの利⽤費増加 2.取得ログの肥⼤化 3.不要なリソースの削除‧停⽌忘れ 1.RI(Reserved Instances)/SP(Savings Plans)の購⼊検討 2.適切なログ取得先の選択とライフサイクルルールの設定 3.夜間停⽌（開発環境）及びコストアラートの設定 対策

28 1.RI(Reserved Instances) と SP(Savings Plans) RI/SP ≒ AWS リソースの予約購入オプション ● RI (Reserved Instances) ○ 1年間または3年間の⻑期利⽤前提で⼤幅な割引 ○ 特定のインスタンスタイプ、リージョン、可⽤性ゾーンに紐 づく ○ 使⽤量に関係なく、固定料⾦を⽀払う ● SP (Savings Plans) ○ 1年間または3年間の⻑期利⽤前提で⼤幅な割引 ○ コンピューティング使⽤量（$/時）にコミットする ○ インスタンスファミリー、リージョン、オペレーティングシ ステムを柔軟に変更可能 EC2 RDS Redshift ElastiCache EC2 Fargate Lambda

29 2.ログ取得先とライフサイクルルール ログ保管先によって料金・ユースケースが異なる CloudWatch S3 S3 Glacier 料金 データ収集：USD 0.76/GB データ保存：USD 0.033/GB 0.025USD/GB (S3 標準) 0.0045USD/GB (S3 Glacier Flexible Retrieval) 特徴 ・ログデータの分析・検索が可能 ・異常時のアラーム設定が可能 ・高可用性/高耐久性 ・Athenaでの分析が可能 ・最も低コストのストレージ ・アクセス頻度に応じたストレージタ イプを選択可能 ユースケース ・アラート機能が必要 ・リアルタイムの監視が必要 ・Athenaでの分析を行う ・コストを抑えたい ・長期保管が目的 ・取り出し頻度が低い

30 2.ログ取得先とライフサイクルルール 例1） EC2のOSログを取得し最初の3ヶ月は監視 をし、以降は1年間は保管 する必要がある 例2） EC2のOSログを取得し最初の1年間までは使用する可能性があるが 、以降は5年間は使用しないが保管 する 必要がある

31 3.夜間停止及びコストアラート設定 特に開発環境では不要なリソースの削除・停止忘れで利用費が高騰しやすい 【対策案】 ● LambdaやEventBridgeでリソースの自動起動・自動停止の仕組みを作る ● AWS Budgetsでコストアラート設定を行う ● Cost Explorerで利用費の内訳を確認し、意図しないリソースのコスト高騰を発見する 参考：Cost Explorerのコンソール

5.最後に クラスメソッドでは一緒に働くメンバを "大"募集しています！ https://careers.classmethod.jp/requirements/

33