SaaS 事業者ならおさえておきたい AWS セキュリティ運用監視

Transcript

1. © 2021, Amazon Web Services, Inc. or its Affiliates. SaaS

   事業者ならおさえておきたい AWS セキュリティ運⽤監視 Shinichi Hama Solutions Architect Amazon Web Services Japan/ Solutions Architecture 0 から考える SaaS セキュリティ

2. © 2021, Amazon Web Services, Inc. or its Affiliates. 自己紹介

   Shinichi Hama Twitter/@track3jyo Solutions Architect Amazon Web Service Japan ⻄⽇本のお客様の⽀援 & Container のあれこれ <好きな AWS サービス> Amazon ECS Amazon EKS AWS Fargate Amazon DynamoDB

3. © 2021, Amazon Web Services, Inc. or its Affiliates. なぜセキュリティが重要なのか︖

   SaaS は⾼⽔準のセキュリティを 期待されているから

4. © 2021, Amazon Web Services, Inc. or its Affiliates. アジェンダ

   AWS のセキュリティ & コンプライアンス なぜ、SaaS ワークロードを AWS に移⾏するのか︖ PCI DSS にみる実際 PCI DSS 12 要件への対応と AWS サービスの活⽤

5. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

   のセキュリティ & コンプライアンス

6. © 2021, Amazon Web Services, Inc. or its Affiliates. セキュリティは

   AWS の最優先事項です

7. © 2021, Amazon Web Services, Inc. or its Affiliates. AWSのセキュリティ

   & コンプライアンス⽅針 AWSクラウドのセキュリティ/コンプライアンス • AWSにおいて最優先されるべき事項 • セキュリティ/コンプライアンスに対する継続的な投資 • 社内におけるセキュリティ専⾨部隊の設置

8. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

   責任共有モデル AWS の基盤サービス コンピュー ティング ストレージ データベース ネットワーク AWS グローバルイ ンフラストラク チャ リージョン アベイラビリティー ゾーン エッジ ロケーション クライアント側での データ暗号化 サーバー側での データ暗号化 ネットワーク トラフィックの保護 プラットフォーム、アプリケーション、アイデンティティ およびアクセス管理 オペレーティングシステム、ネットワークおよび ファイアウォールの構成 お客様のデータ お客様 お客様はクラウド内 のセキュリティに責 任を持つ AWS はクラウド のセキュリティに 責任を持つ

9. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

   のセキュリティ統制 (Security "OF" the Cloud) AWSは、お客様が使⽤するAWS サービスに関連した統制と、 それらがどう検証されているかの情報を提供します 第三者機関からの 認定・認証 AWS統制に関する ホワイトペーパーや公開⽂書 NDAに基づき認定証明書 や監査レポートの提供 AWS Security OF the cloud https://aws.amazon.com/jp/compliance/ https://aws.amazon.com/jp/whitepapers/#privacy

10. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    は主要な規制/標準/ベストプラクティスに準拠 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ コンプライアンスプログラムによる AWS 対象範囲内のサービス https://aws.amazon.com/jp/compliance/services-in-scope/

11. © 2021, Amazon Web Services, Inc. or its Affiliates. ホワイトペーパーへのアクセス

    https://aws.amazon.com/jp/whitepapers/#security たとえば • AWS リスクとコンプライアンス • AWS セキュリティプロセスの概要 • AWSクラウドにおけるNIST CSFへの準拠 • Well Architected フレームワーク ーセキュリティの柱ー

12. © 2021, Amazon Web Services, Inc. or its Affiliates. コンプライアンスレポートへのアクセス

    https://aws.amazon.com/jp/artifact/ たとえば • SOC1/SOC2 Type2 Report • ISO27000シリーズ Certification/ Statement of Applicability (SoA) • PCI DSS Attestation of Compliance (AOC) and Responsibility Summary

13. © 2021, Amazon Web Services, Inc. or its Affiliates. なぜ、SaaS

    ワークロードを AWS に移⾏するのか

14. © 2021, Amazon Web Services, Inc. or its Affiliates. SaaS

    ワークロードを AWS に移⾏する理由 AWS の豊富なサービスや機能を活⽤ より効率的に、より⾼いセキュリティを実現

15. © 2021, Amazon Web Services, Inc. or its Affiliates. マネージドサービス利⽤による運⽤負荷の軽減

    たとえば、データベース管理のフルマネージド化 Power, HVAC, net Rack & stack Server maintenance OS patches DB s/w patches Database backups Scaling High availability DB s/w installs OS installation App optimization Power, HVAC, net Rack & stack Server maintenance OS patches DB s/w patches Database backups Scaling High availability DB s/w installs OS installation App optimization Power, HVAC, net Rack & stack Server maintenance OS patches DB s/w patches Database backups Scaling High availability DB s/w installs OS installation App optimization オンプレミス On EC2 マネージドサービス お客様

16. © 2021, Amazon Web Services, Inc. or its Affiliates. セキュリティは責任共有が効果的

    + = • Facilities • Physical security • Compute infrastructure • Storage infrastructure • Network infrastructure • Virtualization layer (EC2) • Hardened service endpoints • Rich IAM capabilities • Network configuration • Security groups • OS firewalls • Operating systems • Application security • Proper service configuration • AuthN and account management • Authorization policies 単⼀の事業体 よりも、より 安全で準拠し たシステムが 構築可能

17. © 2021, Amazon Web Services, Inc. or its Affiliates. PCI

    DSS にみる実際

18. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    is a PCI DSS-compliant Level 1 Service Provider https://aws.amazon.com/jp/compliance/services-in-scope/

19. © 2021, Amazon Web Services, Inc. or its Affiliates. クラウドと

    PCI コンプライアンス カード保有者のデータ環境を管理しているお客様向けに、クラウドでの PCI DSS 管理作業の留意事項を12項⽬にわたり記載したもの Information Supplement: PCI DSS Cloud Computing Guidelines, https://www.pcisecuritysta ndards.org/pdfs/PCI_SSC_C loud_Guidelines_v3.pdf

20. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    責任共有モデル AWS の基盤サービス コンピュー ティング ストレージ データベース ネットワーク AWS グローバルイ ンフラストラク チャ リージョン アベイラビリティー ゾーン エッジ ロケーション クライアント側での データ暗号化 サーバー側での データ暗号化 ネットワーク トラフィックの保護 プラットフォーム、アプリケーション、アイデンティティ およびアクセス管理 オペレーティングシステム、ネットワークおよび ファイアウォールの構成 お客様のデータ お客様 お客様はクラウド内 のセキュリティに責 任を持つ AWS はクラウドの セキュリティに 責任を持つ 再 掲

21. © 2021, Amazon Web Services, Inc. or its Affiliates. PCI

    DSS 12 要件への対応と AWS サービスの活⽤

22. © 2021, Amazon Web Services, Inc. or its Affiliates. 制約事項

    実際の PCI DSS 準拠については、お客様の審査を担当される認定セ キュリティ評価機関（QSA）の判断となります。ここからご紹介する 考え⽅、内容については、以下のようにご理解ください。 ×このようにすれば準拠ができる ×準拠のためにはこの考え⽅、⽅法を採らなければいけない ◦準拠のための考え⽅、⽅法はさまざまあり、選択肢の⼀つ

23. © 2021, Amazon Web Services, Inc. or its Affiliates. PCI

    DSS 要件とセキュリティ評価手順、バージョン 3.2.1 page5 今⽇はここについて重点的に紹介します。

24. © 2021, Amazon Web Services, Inc. or its Affiliates. 要件1:

    カード会員データを保護するために、ファイ アウォールをインストールして構成を維持する VPC 内での適切な NW アーキテクチャ設計 踏み台、NAT、Proxy などによる不要な通信の制御 構成の変更は厳重に管理（権限の分割）

25. © 2021, Amazon Web Services, Inc. or its Affiliates. セキュリティグループ

    EC2インスタンス Port 22 (SSH) Port 80 (HTTP) Port 25 (SMTP) Port 21 (FTP) セキュリティグループ 「OSより外側」を保護するインスタンスの仮想ファイアウォール 要件1.3が要求するステートフルインスペクションを提供

26. © 2021, Amazon Web Services, Inc. or its Affiliates. ネットワークACL

    ルート テーブル インターネット ゲートウェイ バーチャルプライベート ゲートウェイ 仮想ルータ ルート テーブル Subnet 172.31.0.0/24 Subnet 172.31.0.0/24 VPC (CIDR : 172.31.0.0/16 ) セキュリティ グループ ネットワーク ACL ネットワークACLはステートレスな処理のため要件1.3を満たさないが、 サブネット単位のアクセス制御に有⽤

27. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    Network Firewall VPCのサブネットに配置するゾーナルなマネージドファイアウォールサービス Firewall subnet Firewall endpoint Public Subnet NAT Gateway Private Subnet EC2 Internet gateway • スケーラブル • 45Gbps超 • マネージド AWS Network Firewall

28. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    Private Link VPC subnet Instance 10.1.2.3 Security Group 10.1.2.1 AWS Private Link は⼀⽅向のシステム間連携をシンプルにする （異なる VPC、異なるアカウントに対応） VPC subnet Instance Network Load Balancer Instance

29. © 2021, Amazon Web Services, Inc. or its Affiliates. Private

    Link型VPCエンドポイント VPC subnet Instance Amazon DNS ec2.ap-northeast- 1.amazonaws.com ↓ 10.1.2.3 10.1.2.3 Security Group 10.1.2.1 CDE から AWS の提供するサービスのエンドポイントへ通信を⾏うために、 Private Link 型 VPC エンドポイントはよい選択肢

30. © 2021, Amazon Web Services, Inc. or its Affiliates. PrivateLink

    for Amazon S3 Gateway endpoints for Amazon S3 Interface endpoints for Amazon S3 構成 VPCからS3の経路 Amazon network経由 Amazon network経由 S3へのエンドポイント S3 public IPアドレスを利⽤ エンドポイント固有のprivate IPアドレスを利⽤ オンプレ/他リージョンから のアクセス Gatewayエンドポイント経由でS3にアクセスできる のは当該VPC内のアプリのみ 当該VPCにアクセス可能なオンプレ/他リージョン内 のアプリからInterfaceエンドポイント経由でS3にア クセス可 Security group 未対応 アタッチ可能 マルチAZ対応 VPC単位で1つ作成 AZごとにエンドポイントを作成 料⾦ 無償 有償 VPC Gateway Endpoint for S3 VPC Interface Endpoint for S3 AWS PrivateLink S3 S3 52.219.x.x 10.0.0.x

31. © 2021, Amazon Web Services, Inc. or its Affiliates. 要件2:システムパスワードおよび他のセキュリティ

    パラメータにベンダ提供のデフォルト値を使⽤しない AWSリソースではほぼデフォルト変更のチューニン グは必要ない（基本Denyや権限無し） OS,ミドルウェア,アプリケーションなど、 構成要素すべてに対し、標準化を検討する テンプレート化、カスタムAMIなどに基づき 管理する必要あり

32. © 2021, Amazon Web Services, Inc. or its Affiliates. 要件3:保存されるカード会員データを保護する

    保存される環境にあわせて暗号化⼿法を選択 鍵を保護するための⼿順を⽂書化し、実施 KMSは鍵管理の運⽤を考える上では良い選択肢

33. © 2021, Amazon Web Services, Inc. or its Affiliates. 鍵管理インフラストラクチャ(KMI)

    KMI は⼀般に２つの機能から構成される︓ • 鍵の保管 … 平⽂の鍵を安全に保護し保存する機能 • 鍵の管理 … 鍵⾃体の作成や破棄、アクセス管理する機能 PCI DSS に準拠した2つのサービス、いずれを選択しても準拠可能 KMI(Key Management Infrastructure)とは、暗号鍵の保管、 鍵のアクセス制御等、鍵⾃⾝のセキュリティを管理する基盤 AWS Key Management Service AWS CloudHSM

34. © 2021, Amazon Web Services, Inc. or its Affiliates. Amazon

    RDS DB インスタンスの暗号化 Amazon RDS が暗号化された EBS ボリュームをユーザーの代わりに作成 し、データベースを保存、インスタンスとスナップショットを暗号化 • DBインスタンス、⾃動バックアップ、リードレプリカ、スナップショットが対象 • AES-256暗号化アルゴリズムを使⽤しながらパフォーマンス影響を最⼩限に抑える • データアクセスと復号の認証を透過的に処理（クライアントアプリケーションの変 更は不要） • AWS KMSで鍵管理が可能 • リードレプリカも同じ鍵で暗号化される • インスタンス作成時にのみ設定可能 • スナップショットのコピーを暗号化して リストアすることは可能 • 暗号化されたDBインスタンスを変更して 暗号化を無効にすることはできない https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/Overview.Encryption.html

35. © 2021, Amazon Web Services, Inc. or its Affiliates. 要件4:オープンな公共ネットワーク経由でカード会

    員データを伝送する場合、暗号化する 通信暗号化の対象は オープンな公共ネットワーク SSLおよび初期のTLSは不可

36. © 2021, Amazon Web Services, Inc. or its Affiliates. 要件5:すべてのシステムをマルウェアから保護し、

    ウイルス対策ソフトウェアまたはプログラムを定期 的に更新する マルウェア保護は原則としてAWSの責任範囲外 影響を受けるシステムとしてOSをどのように評価す るか ホストベースのソリューションなどの活⽤

37. © 2021, Amazon Web Services, Inc. or its Affiliates. 要件6:安全性の⾼いシステムとアプリケーションを

    開発し、保守する 抽象度の⾼いサービスでは 利⽤者は脆弱性管理の必要はない 稼働をとめられない環境では、 デプロイサイクルとアーキテクチャを⾒直すよい機会 AWS WAFは既知の攻撃からの保護に利⽤可能

38. © 2021, Amazon Web Services, Inc. or its Affiliates. 脆弱性マネジメント

    お客様の統制領域は お客様の責任 AWSの統制領域は AWSの責任 6.2 すべてのシステムコンポーネントとソフトウェアに、ベンダ提供のセキュ リティパッチがインストールされ、既知の脆弱性から保護されている。重要な セキュリティパッチは、リリース後 1 カ⽉以内にインストールする。 6.1 セキュリティ脆弱性情報の信頼できる社外提供元を使ってセキュリティの 脆弱性を特定し、新たに発⾒されたセキュリティの脆弱性にリスクのランク （「⾼」、「中」、「低」など）を割り当てるプロセスを確⽴する。

39. © 2021, Amazon Web Services, Inc. or its Affiliates. マネージドサービス利⽤による運⽤負荷の軽減

    Power, HVAC, net Rack & stack Server maintenance OS patches DB s/w patches Database backups Scaling High availability DB s/w installs OS installation App optimization Power, HVAC, net Rack & stack Server maintenance OS patches DB s/w patches Database backups Scaling High availability DB s/w installs OS installation App optimization Power, HVAC, net Rack & stack Server maintenance OS patches DB s/w patches Database backups Scaling High availability DB s/w installs OS installation App optimization オンプレミス On EC2 RDS お客様 たとえば、データベース管理のフルマネージド化 抽象度の⾼いサービスの パッチ適⽤はAWSの責任 インフラストラクチャサービスのパッチ適⽤はお客 様の責任

40. © 2021, Amazon Web Services, Inc. or its Affiliates. ⼀般公開されている

    Web アプリケーションの保護 Webベースの攻撃を⾃動的に検 出・防⽌する技術的な解決策 （Webアプリケーションファイア ウォールなど）をインストールす る。 Webアプリケーションのセキュリ ティ脆弱性を⼿動/⾃動で評価す るツールまたは⼿法によって、少 なくとも年 1 回および何らかの 変更を加えた後にレビューする PCI DSS 準拠において WAF の導⼊は必須ではないが、 年1回の脆弱性診断実施との⽐較によって導⼊されるケースが多い OR 6.6 ⼀般公開されているWebアプリケーションで、継続的に新たな脅威や脆弱 性に対処し、これらのアプリケーションが、次のいずれかの⽅法によって、 既知の攻撃から保護されていることを確実にする。

41. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    WAF マネージドサービスによる防御 • CloudFront や API Gateway、ELBに関連づけ ることで、Webアプリケーションを攻撃から 保護する機能を提供 • リクエスト URI、クエリ⽂字列、HTTPヘッ ダ、HTTP メソッドや IP アドレスを判定条 件(Conditions)として設定できる • 条件に応じて許可・拒否・カウントを選択 • ルール定義を Marketplace にてパートナーか ら購⼊することも可能 https://aws.amazon.com/jp/waf/

42. © 2021, Amazon Web Services, Inc. or its Affiliates. 要件7:カード会員データへのアクセスを、業務上必

    要な範囲に制限する 業務上必要なアクセス（特権の管理） 各システムコンポーネントに対するアクセス （機能の変更など）もあわせて制限 AWSレイヤは直接のデータアクセスを⾏わないが、 IAMでリソースアクセスを制限し、統制を実現

43. © 2021, Amazon Web Services, Inc. or its Affiliates. 要件8:システムコンポーネントへのアクセスを確認・

    許可する ユーザアクセスの管理（特権および⼀般） より広いアクセスをAWSリソースとして管理するた めにはIDフェデレーションを活⽤ シークレットの保護やローテーションには、 AWS Secrets Managerが利⽤可能

44. © 2021, Amazon Web Services, Inc. or its Affiliates. アクセス統制、特権管理

    • AWS サービスとリソースは、IAM ポリシーをはじめとする各種ポ リシーで制御（IAM ポリシー、サービスコントロールポリシー、バ ケットポリシーなど） • 特権管理の考え⽅はオンプレミスと変わらない、EC2 インスタンス に対しては既存の特権管理の仕組みを持ち込むことも⼀つの⽅法 • ゲートウェイ型やエージェント型の特権ID管理ツールなど • ID フェデレーションや、IAM 認証によるリソースへのアクセス、 AWS Secrets Manager は、⼀元管理により運⽤性を⾼める選択肢

45. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    Identity and Access Management (IAM) AWS アカウント内にユーザとグループ、 ロールを作成 細かなポリシーによるアクセス制御 認証情報管理 • ログイン/パスワード(含むアクセスキー) • 多要素認証デバイス AWS マネジメントコンソールのログオン • SAML 等によるフェデレーションサポート AWS 内の論理的アクセスコントロールを担うサービス AWS サービスとリソースへの厳格なアクセス・コントロールが可能 ユーザー [Dave] ロール[EC2-App] ユーザー[Susan] ユーザー[Alice] グループ [Admins] AWSアカウント (ルートユーザー) IAMポリシー [Account-admins] ポリシー [Limited-admins] ポリシー [EC2-access] ロールの 引き受け EC2 インスタンス

46. © 2021, Amazon Web Services, Inc. or its Affiliates. ID

    フェデレーションによるユーザーアクセス • IAM ユーザー管理からの脱却 • 認証は ID プロバイダー側に依存、独⾃の認証機能を拡張可能 企業データセンター ID ストア ID プロバイダー 信頼 SAML 2.0 または OpenID Connect コンソール、AWS CLI、API を介してアクセス 外部のユーザーアイデンティティに AWS リソースを使⽤するアクセス許可を付与できる

47. © 2021, Amazon Web Services, Inc. or its Affiliates. IAM

    認証による RDS へのアクセス データベースユーザーと IAM ユーザー/ロールを 関連付けし、AWSリソースにアタッチ 以下の DB エンジン、バージョンで利⽤可能 • MySQL︓5.6.34以降、5.7.16以降、8.0.16以降 • PostgreSQL︓9.515以降、9.6.11 以降、10.6 以降、 ver11、ver12 • Aurora MySQL：1.10以降、ver2 • Aurora PostgreSQL：1.3以降、ver2、ver3 https://aws.amazon.com/jp/about-aws/whats-new/2017/04/manage-access-to-your-rds-for-mysql-and-amazon-aurora-databases-using-aws-iam/ http://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/UsingWithRDS.IAMDBAuth.html#UsingWithRDS.IAMDBAuth.Connecting パスワードの代わりに IAM が⽣成する⼀時的な認証トークンを使⽤ データベース側でのパスワード管理が不要になる

48. © 2021, Amazon Web Services, Inc. or its Affiliates. IAM

    認証によるサーバへのシェルアクセス • マネジメントコンソールおよびCLIからアクセス • Linux は bash、Windows は PowerShellが利⽤可能 • アクセス可能なインスタンスをIAM Policyで指定可能 • 操作ログを CloudWatch Logs や S3 に保存 • SSM Agentの導⼊とエンドポイントへの通信が必要 https://aws.amazon.com/jp/blogs/news/new-session-manager/ AWS Systems Manager の機能である Session Manager を⽤いて 通信ポートを開放せずサーバへのシェルアクセスが可能

49. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    Secrets Manager シークレットを 安全に保管 粒度の細かい ポリシーで アクセス管理 シークレットを ⼀元的に保護し 監査できる シークレットを ⾃動的に ローテーション データベースへの認証情報や API キーなど シークレットのライフサイクルマネージメント

50. © 2021, Amazon Web Services, Inc. or its Affiliates. 要件9:カード会員データへの物理アクセスを制限する

    カード会員データ環境（CDE)に直接アクセスできる 物理環境がなければAWSの統制に依存可能 オンプレミスの統制はこれまでと変わらない

51. © 2021, Amazon Web Services, Inc. or its Affiliates. 要件10:ネットワークリソースおよびカード会員デー

    タへのすべてのアクセスを追跡および監視する 既存運⽤を含めたモニタリングの検討が鍵 監視対象の明確化やログの統合などを考慮

52. © 2021, Amazon Web Services, Inc. or its Affiliates. ログ記録戦略を⽴てる

    01 すべてのログファイル を、容易にアクセスで きる 安全で⼀元管理された リポジトリに保存する 02 03 すべてのログをすぐ に分析しない場合で も、できるだけログ 記録を取る ログをできるだけ ⻑い間保存して、 ⻑期的な分析に 利⽤する

53. © 2021, Amazon Web Services, Inc. or its Affiliates. ライフサイクルと保存場所

    規制のコンプライアンス要件に対応した ログのアーカイブとバックアップを構成 S3への直接保存をサポートするサービスもある Amazon CloudWatch Logs Amazon S3 バケット Amazon Glacier ボールト CloudWatch Logsへ出⼒ 短期間 中⻑期間 ⻑期間 たとえば 〜14⽇ 〜90⽇ 〜2年 AWSサービス群 etc…

54. © 2021, Amazon Web Services, Inc. or its Affiliates. AWS

    CloudTrail - AWSに対する操作(API)監査ログ S3 バケット ログ分析アプリ(AWSパートナー提供など) AWSマネジメント コンソール (オプション) SNSトピック AWS SDK アプリケーション AWS CLI S3へのログ配置を通知 (オプション) ログストリー ム 指定ロググループへ • AWS ユーザの操作をロギング • ユーザのアクティビティをAPIレベルでトラッキング • ロギングデータは S3 に保存される • ログファイルは暗号化され、gz 形式でS3 に保存 • CloudTrail ⾃体は無料 • 全てのアカウントで有効にすることを推奨

55. © 2021, Amazon Web Services, Inc. or its Affiliates. VPC

    Flow Logs • VPC内通信のヘッダ情報 • ENI/Subnet/VPC単位で有効化 AWS account Source IP Destination IP Source port Destination port Interface Protocol Packets Bytes Start/end time Accept or reject

56. © 2021, Amazon Web Services, Inc. or its Affiliates. SIEM

    on Amazon Elasticsearch Service https://aws.amazon.com/jp/blogs/news/siem-on-amazon-elasticsearch-service/

57. © 2021, Amazon Web Services, Inc. or its Affiliates. SIEM

    on Amazon ES のアーキテクチャ

58. © 2021, Amazon Web Services, Inc. or its Affiliates. ダッシュボードの例

    ログをセキュリティ分析の観点から 時系列、地理情報などで視覚化 AWS CloudTrail Amazon GuardDuty

59. © 2021, Amazon Web Services, Inc. or its Affiliates. 要件11:セキュリティシステムおよびプロセスを定期

    的にテストする 診断の実施には条件がある 内部からの診断にはPre-Authorizedな 脆弱性スキャナの利⽤も選択肢のひとつ 侵⼊検知はサードパーティ製品を利⽤

60. © 2021, Amazon Web Services, Inc. or its Affiliates. 要件12:すべての担当者の情報セキュリティに対する

    ポリシーを維持する ISO27001ベースで⽂書化を整備すると要件を満たす ことは容易 リスクアセスメントの⼿法はMUSTは無い AWSのサービスやセキュリティを定期的に評価する ことは必須

61. © 2021, Amazon Web Services, Inc. or its Affiliates. まとめ

62. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. SaaS ワークロードのセキュリティ向上の基本⽅針 • マネージドサービス活⽤による運⽤の効率化、⼈間の⼿による 運⽤を減らす • 既存の⼿法、サードパーティ製品の採⽤も選択肢の⼀つ • AWS における実績は多数あるため、リソースの参照を

63. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 参照リソース１ Center for Internet Security (CIS) Benchmark for AWS https://www.cisecurity.org/cis-benchmarks/ CIS Benchmarks for EC2 instance types https://www.cisecurity.org/cis-benchmarks/ AWS Security Best Practices https://d1.awsstatic.com/whitepapers/ja_JP/Security/AWS_Security_Best_Practices.pdf AWS Security Checklist https://d1.awsstatic.com/whitepapers/Security/AWS_Security_Checklist.pdf AWS Well-Architected Framework: Security Pillar https://d1.awsstatic.com/whitepapers/architecture/AWS-Security-Pillar.pdf

64. © 2021, Amazon Web Services, Inc. or its Affiliates. All

    rights reserved. 参照リソース２ AWS での PCI DSS コンプライアンスの標準化アーキテクチャ https://aws.amazon.com/jp/about-aws/whats-new/2016/05/pci-dss-standardized-architecture-on- the-aws-cloud-quick-start-reference-deployment/ Architecting for PCI DSS Segmentation and Scoping on AWS https://d1.awsstatic.com/whitepapers/pci-dss-scoping-on-aws.pdf PCI Compliance in AWS Technical Workbook https://d1.awsstatic.com/whitepapers/compliance/AWS_Anitian_Workbook_PCI_Cloud_Complianc e.pdf AWS PCI Compliance Packages Artifactよりダウンロード

65. © 2021, Amazon Web Services, Inc. or its Affiliates. Thank

    you !! Shinichi Hama track3jyo