Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWS環境におけるPCI-DSS準拠のポイント
Search
和田響
August 13, 2024
550
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWS環境におけるPCI-DSS準拠のポイント
和田響
August 13, 2024
More Decks by 和田響
See All by 和田響
AWS BuilderCards セキュリティ拡張パック完全に理解した
wadahibiki
1
67
宣言型ポリシーと観る新しい景色
wadahibiki
0
360
AWS BuilderCards アップデート解説
wadahibiki
0
1k
いざラスベガスへ! 〜re:Invent で必要だったもの・要らなかったもの〜
wadahibiki
0
1k
AWS Security Hub から AWSのベストプラクティスを学びたい
wadahibiki
0
1k
Trusted Advisorとちゃんと向き合いたい
wadahibiki
0
570
知られざるクラスメソッドの働き方 〜入社5ヶ月目から見るクラスメソッド〜
wadahibiki
0
3.8k
Featured
See All Featured
HDC tutorial
michielstock
2
720
The Director’s Chair: Orchestrating AI for Truly Effective Learning
tmiket
1
200
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.5k
Leo the Paperboy
mayatellez
7
1.9k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
330
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.2k
Test your architecture with Archunit
thirion
1
2.3k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
11
950
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
49
10k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
6k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
tomoyanonymous
2
870
Transcript
AWS環境におけるPCI-DSS準拠のポイント 2024年8月5日 クラスメソッド株式会社 和田響 1
2 自己紹介 和⽥ 響(わだ ひびき) • AWS事業本部コンサルティング部 • ソリューションアーキテクト •
25歳(社会⼈3年⽬) • 2023年9⽉⼊社 • 2024 Japan AWS Jr. Champions • 2024 Japan AWS All Certifications Engineers
3 2024 Japan AWS Jr. Champions とは? 「Japan AWS Jr.
Champion Program」とは、AWS Partner Network (APN) 参加企 業に所属し、現在社会⼈歴 1 〜 3 年⽬で AWS を積極的に学び、アクションを起こ し、周囲に影響を与えている APN 若⼿エンジニアを選出しコミュニティを形成す る、⽇本独⾃の認定プログラムです。 【主な応募資格】 社会⼈歴 : 3 年以内 受賞⼈数:1企業につき2⼈まで 認定資格:計3つ以上(CLF+2個以上) https://aws.amazon.com/jp/blogs/psa/2024-japan-aws-jr-champions-criteria/
4 アジェンダ • はじめに ◦ AWSとは ◦ PCI-DSSとは • 抑えておきたいポイント
◦ 責任共有モデル ◦ コンプライアンスガイド • 最後に ◦ AWS利⽤のメリット ◦ AWS利⽤時の注意点と対策(おまけ)
5 アジェンダ • はじめに ◦ AWSとは ◦ PCI-DSSとは • 抑えておきたいポイント
◦ 責任共有モデル ◦ コンプライアンスガイド • 最後に ◦ AWS利⽤のメリット ◦ AWS利⽤時の注意点と対策(おまけ)
6 AWSとは AWSは「Amazon Web Services」の略称で、Amazon社が提供するクラウドコン ピューティングサービスである。 【主な特徴】 幅広いサービス :コンピューティング、ストレージ、データベース、分析、 機械学習など、200以上のサービスを提供している スケーラビリティ:需要に応じて簡単にリソースを拡張‧縮⼩できる
柔軟性 :必要なサービスのみを選択し、利⽤できる セキュリティ :⾼度なセキュリティ機能と認証を提供している グローバル展開 :世界中の多数のデータセンターを通じてサービスを展開できる
7 アジェンダ • はじめに ◦ AWSとは ◦ PCI-DSSとは • 抑えておきたいポイント
◦ 責任共有モデル ◦ コンプライアンスガイド • 最後に ◦ AWS利⽤のメリット ◦ AWS利⽤時の注意点と対策(おまけ)
8 PCI-DSSとは PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード 会員データを安全に取り扱う事を⽬的として策定された、クレジットカード業界の
セキュリティ基準。計12要件で構成されており、各要件の配下でそれぞれ詳細な項 ⽬が定義されているため、合計400項⽬ほどになります。 PCI DSSは定期的に更新されており、PCI DSS v3.2.1の有効期限は2024年3⽉31⽇ま でで、現在はPCI DSS v4.0の準拠が求められている。
9 PCI-DSS v4.0 の要件 • 安全なネットワークとシステムの構築と維持 ◦ 要件1:ネットワークセキュリティコントロールの導⼊と維持 ◦ 要件2:すべてのシステムコンポーネントにセキュアな設定を適⽤する
• アカウントデータの保護 ◦ 要件3:保存されたアカウントデータの保護 ◦ 要件4:オープンな公共ネットワークでの送信時に、強⼒な暗号化技術でカード会員データを保護する • 脆弱性管理プログラムの維持 ◦ 要件5:悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する ◦ 要件6:安全なシステムおよびソフトウェアの開発と維持 • 強固なアクセス制御の実施 ◦ 要件7:システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適⽤範囲(Need to Know)によって制限する ◦ 要件8:ユーザの識別とシステムコンポーネントへのアクセスの認証 ◦ 要件9:カード会員データへの物理アクセスを制限する • ネットワークの定期的な監視とテスト ◦ 要件10:システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること ◦ 要件11:システムおよびネットワークのセキュリティを定期的にテストする • 情報セキュリティポリシーの維持 ◦ 要件12:組織の⽅針とプログラムによって情報セキュリティをサポートする
10 アジェンダ • はじめに ◦ AWSとは ◦ PCI-DSSとは • 抑えておきたいポイント
◦ 責任共有モデル ◦ コンプライアンスガイド • 最後に ◦ AWS利⽤のメリット ◦ AWS利⽤時の注意点と対策(おまけ)
11 責任共有モデル AWSはセキュリティの責任範囲をAWSとお客様で明確に定義している。 https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/
責任共有モデル 利用者が責任を負うセキュリティ範囲 (EC2) EC2 • OSの管理 ◦ パッチ適用 ◦ Windows
Update • アプリケーションの管理 ◦ アプリケーションのアップグレード ◦ アプリケーションの設定変更 • アプリケーションの監視 ◦ EC2インスタンスの監視 ◦ ログの収集と分析 • データの管理 ◦ バックアップと復元 ◦ 暗号化 • アクセスの管理 ◦ セキュリティグループでの通信制御 ◦ NACLによる通信制御 ◦ キーペアの管理
責任共有モデル 利用者が責任を負うセキュリティ範囲 (RDS) RDS • データベースの設計と運用 ◦ スキーマの設計 ◦ オブジェクトの作成と管理
◦ データのバックアップと復元 • アクセスの管理 ◦ ユーザーの作成と管理 ◦ セキュリティグループでの通信制御 ◦ NACLによる通信制御 • エンジンのアップグレード ◦ データベースエンジン(MySQL、PostgreSQL、Oracle等)ののアップ グレード(内部OSのアップデートなど一部はAWSが強制する) • データの保護 ◦ データの整合性の確保 ◦ データの暗号化の設定(必要に応じて)
責任共有モデル 利用者が責任を負うセキュリティ範囲 (S3) S3 • データの管理 ◦ データのライフサイクル管理(保存期間の設定など) ◦ データの分類と整理
• アクセスの管理 ◦ バケットポリシーの設定 ◦ アクセス権限の設定(ACLやIAMポリシー) ◦ 公開アクセスの制限設定 • データの暗号化設定 ◦ サーバー側の暗号化設定 ◦ クライアント側の暗号化設定 • バックアップ ◦ クロスリージョンレプリケーションの設定 ◦ バージョニングの設定
15 責任共有モデル 例えばお客様がPCI DSS等の認証の取得を考えた場 合、全ての要件を⾃社で管理を⾏うことは⾮常に負 荷が⾼く、コストもかかる作業となります。AWSは PCI DSSを含めた様々なコンプライアンスプログラ ムや第三者認証に取り組んでおり、お客様は⾃らの 認証の範囲からデーターセンターの物理的な統制を
除外することができます。 https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/ AWS公式ブログでもPCI DSSを例として責任共有モデルについて説明している。
16 とはいえ。。。 じゃあどうしたら良いの??
17 コンプライアンスガイド このガイドは、お客様が PCI DSS 準拠のアプリケー ションを構築し、更新されたバージョン 4.0 の要件 に準拠できるようにするための概念と原則の概要で
す。 【内容】 1. 共有責任モデルと PCI DSS 要件への影響 2. AWS PCI DSS レベル 1 サービスプロバイダース テータスが顧客にとって何を意味するか 3. カード会員データ環境のスコープ設定 4. 評価に必要な図 5. 要件ごとのガイダンス AWSはPCI DSS v4.0 on AWS コンプライアンスガイドを提供している https://aws.amazon.com/jp/blogs/security/pci-dss-v4-0-on-aws-compliance-guide-now-available/
18 どんなことが書いてあるのか?
19 コンプライアンスガイド 要件4 顧客は、AWSがサービスオプションとして提供する強⼒な暗号化とセキュ リティ制御を設定する責任があります。Amazon CloudFront、Amazon API Gateway、Elastic Load Balancerなどの外部に公開されているAWS
サービスは、TLS 1.2以上のトランスポート暗号化レベルをサポートしてお り、それを強制するポリシーを実装できます。顧客は、少なくともTLS 1.2 を要求するElastic Load Balancerセキュリティポリシーを選択する責任が あります。セキュリティグループとネットワークACLは、安全でないプロ トコルの使⽤をブロックできます。CloudFrontフィールドレベル暗号化を 使⽤して、追加のセキュリティ層とHTTPSを追加し、処理全体を通じて特 定のデータを保護できます。 顧客は、要件4.2.1.bと4.2.1.cに準拠するために、クライアントとサーバー が強⼒なTLS暗号を... https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws-v4-102023.pdf Claude 3.5 Sonnetによる翻訳 原文
20 アジェンダ • はじめに ◦ AWSとは ◦ PCI-DSSとは • 抑えておきたいポイント
◦ 責任共有モデル ◦ コンプライアンスガイド • 最後に ◦ AWS利⽤のメリット ◦ AWS利⽤時の注意点と対策(おまけ)
21 AWS利用のメリット 1.多くのインプットが存在する ‧AWSの公式リファレンス ‧コンプライアンスガイド ‧ブログ記事 2.責任共有モデルによる開発‧運⽤コストの削減が可能 3.⼤量のサービスと頻繁のアップデートによる「こうなったら良いな」を実現
22 AWS利用のメリット 1.多くのインプットが存在する コンプライアンスガイド 公式ドキュメント 多くのブログ記事
23 AWS利用のメリット 2.責任共有モデルによる開発‧運⽤コストの削減が可能 https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/
24 AWS利用のメリット 3.⼤量のサービスと頻繁のアップデートによる「こうなったら良いな」を実現 • 年間 3,000 回を超えるアップデート • 直近のイケてるアップデート ◦
⼀定期間未使⽤のIAMリソースの 特定が可能に ◦ GuardDutyでS3のマルウェア保護 が可能に
25 アジェンダ • はじめに ◦ AWSとは ◦ PCI-DSSとは • 抑えておきたいポイント
◦ 責任共有モデル ◦ コンプライアンスガイド • 最後に ◦ AWS利⽤のメリット ◦ AWS利⽤時の注意点と対策(おまけ)
26 AWS利用時の注意点と対策(おまけ) 放っておくとコストが。。。
27 AWS利用時の注意点と対策(おまけ) AWSにおける利用費高騰の代表的な原因 1.コンピューティングリソース及びデータベースの利⽤費増加 2.取得ログの肥⼤化 3.不要なリソースの削除‧停⽌忘れ 1.RI(Reserved Instances)/SP(Savings Plans)の購⼊検討 2.適切なログ取得先の選択とライフサイクルルールの設定
3.夜間停⽌(開発環境)及びコストアラートの設定 対策
28 1.RI(Reserved Instances) と SP(Savings Plans) RI/SP ≒ AWS リソースの予約購入オプション
• RI (Reserved Instances) ◦ 1年間または3年間の⻑期利⽤前提で⼤幅な割引 ◦ 特定のインスタンスタイプ、リージョン、可⽤性ゾーンに紐 づく ◦ 使⽤量に関係なく、固定料⾦を⽀払う • SP (Savings Plans) ◦ 1年間または3年間の⻑期利⽤前提で⼤幅な割引 ◦ コンピューティング使⽤量($/時)にコミットする ◦ インスタンスファミリー、リージョン、オペレーティングシ ステムを柔軟に変更可能 EC2 RDS Redshift ElastiCache EC2 Fargate Lambda
29 2.ログ取得先とライフサイクルルール ログ保管先によって料金・ユースケースが異なる CloudWatch S3 S3 Glacier 料金 データ収集:USD 0.76/GB
データ保存:USD 0.033/GB 0.025USD/GB (S3 標準) 0.0045USD/GB (S3 Glacier Flexible Retrieval) 特徴 ・ログデータの分析・検索が可能 ・異常時のアラーム設定が可能 ・高可用性/高耐久性 ・Athenaでの分析が可能 ・最も低コストのストレージ ・アクセス頻度に応じたストレージタ イプを選択可能 ユースケース ・アラート機能が必要 ・リアルタイムの監視が必要 ・Athenaでの分析を行う ・コストを抑えたい ・長期保管が目的 ・取り出し頻度が低い
30 2.ログ取得先とライフサイクルルール 例1) EC2のOSログを取得し最初の3ヶ月は監視 をし、以降は1年間は保管 する必要がある 例2) EC2のOSログを取得し最初の1年間までは使用する可能性があるが 、以降は5年間は使用しないが保管 する
必要がある
31 3.夜間停止及びコストアラート設定 特に開発環境では不要なリソースの削除・停止忘れで利用費が高騰しやすい 【対策案】 • LambdaやEventBridgeでリソースの自動起動・自動停止の仕組みを作る • AWS Budgetsでコストアラート設定を行う •
Cost Explorerで利用費の内訳を確認し、意図しないリソースのコスト高騰を発見する 参考:Cost Explorerのコンソール
5.最後に クラスメソッドでは一緒に働くメンバを "大"募集しています! https://careers.classmethod.jp/requirements/
33