Slide 1

Slide 1 text

AWS環境におけるPCI-DSS準拠のポイント 
 2024年8月5日
 クラスメソッド株式会社 和田響
 
 1

Slide 2

Slide 2 text

2 自己紹介 和⽥ 響(わだ ひびき) ● AWS事業本部コンサルティング部 ● ソリューションアーキテクト ● 25歳(社会⼈3年⽬) ● 2023年9⽉⼊社 ● 2024 Japan AWS Jr. Champions ● 2024 Japan AWS All Certifications Engineers

Slide 3

Slide 3 text

3 2024 Japan AWS Jr. Champions とは? 「Japan AWS Jr. Champion Program」とは、AWS Partner Network (APN) 参加企 業に所属し、現在社会⼈歴 1 〜 3 年⽬で AWS を積極的に学び、アクションを起こ し、周囲に影響を与えている APN 若⼿エンジニアを選出しコミュニティを形成す る、⽇本独⾃の認定プログラムです。 【主な応募資格】 社会⼈歴 : 3 年以内 受賞⼈数:1企業につき2⼈まで 認定資格:計3つ以上(CLF+2個以上) https://aws.amazon.com/jp/blogs/psa/2024-japan-aws-jr-champions-criteria/

Slide 4

Slide 4 text

4 アジェンダ ● はじめに ○ AWSとは ○ PCI-DSSとは ● 抑えておきたいポイント ○ 責任共有モデル ○ コンプライアンスガイド ● 最後に ○ AWS利⽤のメリット ○ AWS利⽤時の注意点と対策(おまけ)

Slide 5

Slide 5 text

5 アジェンダ ● はじめに ○ AWSとは ○ PCI-DSSとは ● 抑えておきたいポイント ○ 責任共有モデル ○ コンプライアンスガイド ● 最後に ○ AWS利⽤のメリット ○ AWS利⽤時の注意点と対策(おまけ)

Slide 6

Slide 6 text

6 AWSとは AWSは「Amazon Web Services」の略称で、Amazon社が提供するクラウドコン ピューティングサービスである。 【主な特徴】 幅広いサービス :コンピューティング、ストレージ、データベース、分析、          機械学習など、200以上のサービスを提供している スケーラビリティ:需要に応じて簡単にリソースを拡張‧縮⼩できる 柔軟性     :必要なサービスのみを選択し、利⽤できる セキュリティ  :⾼度なセキュリティ機能と認証を提供している グローバル展開 :世界中の多数のデータセンターを通じてサービスを展開できる

Slide 7

Slide 7 text

7 アジェンダ ● はじめに ○ AWSとは ○ PCI-DSSとは ● 抑えておきたいポイント ○ 責任共有モデル ○ コンプライアンスガイド ● 最後に ○ AWS利⽤のメリット ○ AWS利⽤時の注意点と対策(おまけ)

Slide 8

Slide 8 text

8 PCI-DSSとは PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード 会員データを安全に取り扱う事を⽬的として策定された、クレジットカード業界の セキュリティ基準。計12要件で構成されており、各要件の配下でそれぞれ詳細な項 ⽬が定義されているため、合計400項⽬ほどになります。 PCI DSSは定期的に更新されており、PCI DSS v3.2.1の有効期限は2024年3⽉31⽇ま でで、現在はPCI DSS v4.0の準拠が求められている。

Slide 9

Slide 9 text

9 PCI-DSS v4.0 の要件 ● 安全なネットワークとシステムの構築と維持 ○ 要件1:ネットワークセキュリティコントロールの導⼊と維持 ○ 要件2:すべてのシステムコンポーネントにセキュアな設定を適⽤する ● アカウントデータの保護 ○ 要件3:保存されたアカウントデータの保護 ○ 要件4:オープンな公共ネットワークでの送信時に、強⼒な暗号化技術でカード会員データを保護する ● 脆弱性管理プログラムの維持 ○ 要件5:悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する ○ 要件6:安全なシステムおよびソフトウェアの開発と維持 ● 強固なアクセス制御の実施 ○ 要件7:システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適⽤範囲(Need to Know)によって制限する ○ 要件8:ユーザの識別とシステムコンポーネントへのアクセスの認証 ○ 要件9:カード会員データへの物理アクセスを制限する ● ネットワークの定期的な監視とテスト ○ 要件10:システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること ○ 要件11:システムおよびネットワークのセキュリティを定期的にテストする ● 情報セキュリティポリシーの維持 ○ 要件12:組織の⽅針とプログラムによって情報セキュリティをサポートする

Slide 10

Slide 10 text

10 アジェンダ ● はじめに ○ AWSとは ○ PCI-DSSとは ● 抑えておきたいポイント ○ 責任共有モデル ○ コンプライアンスガイド ● 最後に ○ AWS利⽤のメリット ○ AWS利⽤時の注意点と対策(おまけ)

Slide 11

Slide 11 text

11 責任共有モデル AWSはセキュリティの責任範囲をAWSとお客様で明確に定義している。 https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/

Slide 12

Slide 12 text

責任共有モデル 利用者が責任を負うセキュリティ範囲 (EC2) EC2 ● OSの管理 ○ パッチ適用 ○ Windows Update ● アプリケーションの管理 ○ アプリケーションのアップグレード ○ アプリケーションの設定変更 ● アプリケーションの監視 ○ EC2インスタンスの監視 ○ ログの収集と分析 ● データの管理 ○ バックアップと復元 ○ 暗号化 ● アクセスの管理 ○ セキュリティグループでの通信制御 ○ NACLによる通信制御 ○ キーペアの管理

Slide 13

Slide 13 text

責任共有モデル 利用者が責任を負うセキュリティ範囲 (RDS) RDS ● データベースの設計と運用 ○ スキーマの設計 ○ オブジェクトの作成と管理 ○ データのバックアップと復元 ● アクセスの管理 ○ ユーザーの作成と管理 ○ セキュリティグループでの通信制御 ○ NACLによる通信制御 ● エンジンのアップグレード ○ データベースエンジン(MySQL、PostgreSQL、Oracle等)ののアップ グレード(内部OSのアップデートなど一部はAWSが強制する) ● データの保護 ○ データの整合性の確保 ○ データの暗号化の設定(必要に応じて)

Slide 14

Slide 14 text

責任共有モデル 利用者が責任を負うセキュリティ範囲 (S3) S3 ● データの管理 ○ データのライフサイクル管理(保存期間の設定など) ○ データの分類と整理 ● アクセスの管理 ○ バケットポリシーの設定 ○ アクセス権限の設定(ACLやIAMポリシー) ○ 公開アクセスの制限設定 ● データの暗号化設定 ○ サーバー側の暗号化設定 ○ クライアント側の暗号化設定 ● バックアップ ○ クロスリージョンレプリケーションの設定 ○ バージョニングの設定

Slide 15

Slide 15 text

15 責任共有モデル 例えばお客様がPCI DSS等の認証の取得を考えた場 合、全ての要件を⾃社で管理を⾏うことは⾮常に負 荷が⾼く、コストもかかる作業となります。AWSは PCI DSSを含めた様々なコンプライアンスプログラ ムや第三者認証に取り組んでおり、お客様は⾃らの 認証の範囲からデーターセンターの物理的な統制を 除外することができます。 https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/ AWS公式ブログでもPCI DSSを例として責任共有モデルについて説明している。

Slide 16

Slide 16 text

16 とはいえ。。。 じゃあどうしたら良いの??

Slide 17

Slide 17 text

17 コンプライアンスガイド このガイドは、お客様が PCI DSS 準拠のアプリケー ションを構築し、更新されたバージョン 4.0 の要件 に準拠できるようにするための概念と原則の概要で す。 【内容】 1. 共有責任モデルと PCI DSS 要件への影響 2. AWS PCI DSS レベル 1 サービスプロバイダース テータスが顧客にとって何を意味するか 3. カード会員データ環境のスコープ設定 4. 評価に必要な図 5. 要件ごとのガイダンス AWSはPCI DSS v4.0 on AWS コンプライアンスガイドを提供している https://aws.amazon.com/jp/blogs/security/pci-dss-v4-0-on-aws-compliance-guide-now-available/

Slide 18

Slide 18 text

18 どんなことが書いてあるのか?

Slide 19

Slide 19 text

19 コンプライアンスガイド 要件4 顧客は、AWSがサービスオプションとして提供する強⼒な暗号化とセキュ リティ制御を設定する責任があります。Amazon CloudFront、Amazon API Gateway、Elastic Load Balancerなどの外部に公開されているAWS サービスは、TLS 1.2以上のトランスポート暗号化レベルをサポートしてお り、それを強制するポリシーを実装できます。顧客は、少なくともTLS 1.2 を要求するElastic Load Balancerセキュリティポリシーを選択する責任が あります。セキュリティグループとネットワークACLは、安全でないプロ トコルの使⽤をブロックできます。CloudFrontフィールドレベル暗号化を 使⽤して、追加のセキュリティ層とHTTPSを追加し、処理全体を通じて特 定のデータを保護できます。 顧客は、要件4.2.1.bと4.2.1.cに準拠するために、クライアントとサーバー が強⼒なTLS暗号を... https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws-v4-102023.pdf Claude 3.5 Sonnetによる翻訳 原文

Slide 20

Slide 20 text

20 アジェンダ ● はじめに ○ AWSとは ○ PCI-DSSとは ● 抑えておきたいポイント ○ 責任共有モデル ○ コンプライアンスガイド ● 最後に ○ AWS利⽤のメリット ○ AWS利⽤時の注意点と対策(おまけ)

Slide 21

Slide 21 text

21 AWS利用のメリット 1.多くのインプットが存在する   ‧AWSの公式リファレンス   ‧コンプライアンスガイド   ‧ブログ記事 2.責任共有モデルによる開発‧運⽤コストの削減が可能 3.⼤量のサービスと頻繁のアップデートによる「こうなったら良いな」を実現

Slide 22

Slide 22 text

22 AWS利用のメリット 1.多くのインプットが存在する コンプライアンスガイド 公式ドキュメント 多くのブログ記事

Slide 23

Slide 23 text

23 AWS利用のメリット 2.責任共有モデルによる開発‧運⽤コストの削減が可能 https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/

Slide 24

Slide 24 text

24 AWS利用のメリット 3.⼤量のサービスと頻繁のアップデートによる「こうなったら良いな」を実現 ● 年間 3,000 回を超えるアップデート ● 直近のイケてるアップデート ○ ⼀定期間未使⽤のIAMリソースの 特定が可能に ○ GuardDutyでS3のマルウェア保護 が可能に

Slide 25

Slide 25 text

25 アジェンダ ● はじめに ○ AWSとは ○ PCI-DSSとは ● 抑えておきたいポイント ○ 責任共有モデル ○ コンプライアンスガイド ● 最後に ○ AWS利⽤のメリット ○ AWS利⽤時の注意点と対策(おまけ)

Slide 26

Slide 26 text

26 AWS利用時の注意点と対策(おまけ) 放っておくとコストが。。。

Slide 27

Slide 27 text

27 AWS利用時の注意点と対策(おまけ) AWSにおける利用費高騰の代表的な原因 1.コンピューティングリソース及びデータベースの利⽤費増加 2.取得ログの肥⼤化 3.不要なリソースの削除‧停⽌忘れ 1.RI(Reserved Instances)/SP(Savings Plans)の購⼊検討 2.適切なログ取得先の選択とライフサイクルルールの設定 3.夜間停⽌(開発環境)及びコストアラートの設定 対策

Slide 28

Slide 28 text

28 1.RI(Reserved Instances) と SP(Savings Plans) RI/SP ≒ AWS リソースの予約購入オプション ● RI (Reserved Instances) ○ 1年間または3年間の⻑期利⽤前提で⼤幅な割引 ○ 特定のインスタンスタイプ、リージョン、可⽤性ゾーンに紐 づく ○ 使⽤量に関係なく、固定料⾦を⽀払う ● SP (Savings Plans) ○ 1年間または3年間の⻑期利⽤前提で⼤幅な割引 ○ コンピューティング使⽤量($/時)にコミットする ○ インスタンスファミリー、リージョン、オペレーティングシ ステムを柔軟に変更可能 EC2 RDS Redshift ElastiCache EC2 Fargate Lambda

Slide 29

Slide 29 text

29 2.ログ取得先とライフサイクルルール ログ保管先によって料金・ユースケースが異なる CloudWatch S3 S3 Glacier 料金 データ収集:USD 0.76/GB データ保存:USD 0.033/GB 0.025USD/GB (S3 標準) 0.0045USD/GB (S3 Glacier Flexible Retrieval) 特徴 ・ログデータの分析・検索が可能 ・異常時のアラーム設定が可能 ・高可用性/高耐久性 ・Athenaでの分析が可能 ・最も低コストのストレージ ・アクセス頻度に応じたストレージタ イプを選択可能 ユースケース ・アラート機能が必要 ・リアルタイムの監視が必要 ・Athenaでの分析を行う ・コストを抑えたい ・長期保管が目的 ・取り出し頻度が低い

Slide 30

Slide 30 text

30 2.ログ取得先とライフサイクルルール 例1) EC2のOSログを取得し最初の3ヶ月は監視 をし、以降は1年間は保管 する必要がある 例2) EC2のOSログを取得し最初の1年間までは使用する可能性があるが 、以降は5年間は使用しないが保管 する 必要がある

Slide 31

Slide 31 text

31 3.夜間停止及びコストアラート設定 特に開発環境では不要なリソースの削除・停止忘れで利用費が高騰しやすい 【対策案】 ● LambdaやEventBridgeでリソースの自動起動・自動停止の仕組みを作る ● AWS Budgetsでコストアラート設定を行う ● Cost Explorerで利用費の内訳を確認し、意図しないリソースのコスト高騰を発見する 参考:Cost Explorerのコンソール

Slide 32

Slide 32 text

5.最後に クラスメソッドでは一緒に働くメンバを "大"募集しています! https://careers.classmethod.jp/requirements/

Slide 33

Slide 33 text

33