AWS環境におけるPCI-DSS準拠のポイント

AWS環境におけるPCI-DSS準拠のポイント   2024年8月5日  クラスメソッド株式会社　和田響    1

2 自己紹介和⽥響（わだひびき） • AWS事業本部コンサルティング部 • ソリューションアーキテクト •
25歳（社会⼈3年⽬） • 2023年9⽉⼊社 • 2024 Japan AWS Jr. Champions • 2024 Japan AWS All Certiﬁcations Engineers

3 2024 Japan AWS Jr. Champions とは？「Japan AWS Jr.
Champion Program」とは、AWS Partner Network (APN) 参加企業に所属し、現在社会⼈歴 1 〜 3 年⽬で AWS を積極的に学び、アクションを起こし、周囲に影響を与えている APN 若⼿エンジニアを選出しコミュニティを形成する、⽇本独⾃の認定プログラムです。【主な応募資格】社会⼈歴 : 3 年以内受賞⼈数：1企業につき2⼈まで認定資格：計3つ以上（CLF+2個以上） https://aws.amazon.com/jp/blogs/psa/2024-japan-aws-jr-champions-criteria/

4 アジェンダ • はじめに ◦ AWSとは ◦ PCI-DSSとは • 抑えておきたいポイント
◦ 責任共有モデル ◦ コンプライアンスガイド • 最後に ◦ AWS利⽤のメリット ◦ AWS利⽤時の注意点と対策（おまけ）

6 AWSとは AWSは「Amazon Web Services」の略称で、Amazon社が提供するクラウドコンピューティングサービスである。【主な特徴】幅広いサービス：コンピューティング、ストレージ、データベース、分析、機械学習など、200以上のサービスを提供しているスケーラビリティ：需要に応じて簡単にリソースを拡張‧縮⼩できる
柔軟性：必要なサービスのみを選択し、利⽤できるセキュリティ：⾼度なセキュリティ機能と認証を提供しているグローバル展開：世界中の多数のデータセンターを通じてサービスを展開できる

8 PCI-DSSとは PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員データを安全に取り扱う事を⽬的として策定された、クレジットカード業界の
セキュリティ基準。計12要件で構成されており、各要件の配下でそれぞれ詳細な項⽬が定義されているため、合計400項⽬ほどになります。 PCI DSSは定期的に更新されており、PCI DSS v3.2.1の有効期限は2024年3⽉31⽇までで、現在はPCI DSS v4.0の準拠が求められている。

9 PCI-DSS v4.0 の要件 • 安全なネットワークとシステムの構築と維持 ◦ 要件1：ネットワークセキュリティコントロールの導⼊と維持 ◦ 要件2：すべてのシステムコンポーネントにセキュアな設定を適⽤する
• アカウントデータの保護 ◦ 要件3：保存されたアカウントデータの保護 ◦ 要件4：オープンな公共ネットワークでの送信時に、強⼒な暗号化技術でカード会員データを保護する • 脆弱性管理プログラムの維持 ◦ 要件5：悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する ◦ 要件6:安全なシステムおよびソフトウェアの開発と維持 • 強固なアクセス制御の実施 ◦ 要件7：システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適⽤範囲（Need to Know）によって制限する ◦ 要件8：ユーザの識別とシステムコンポーネントへのアクセスの認証 ◦ 要件9:カード会員データへの物理アクセスを制限する • ネットワークの定期的な監視とテスト ◦ 要件10:システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること ◦ 要件11:システムおよびネットワークのセキュリティを定期的にテストする • 情報セキュリティポリシーの維持 ◦ 要件12:組織の⽅針とプログラムによって情報セキュリティをサポートする

11 責任共有モデル AWSはセキュリティの責任範囲をAWSとお客様で明確に定義している。 https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/

責任共有モデル利用者が責任を負うセキュリティ範囲 (EC2) EC2 • OSの管理 ◦ パッチ適用 ◦ Windows
Update • アプリケーションの管理 ◦ アプリケーションのアップグレード ◦ アプリケーションの設定変更 • アプリケーションの監視 ◦ EC2インスタンスの監視 ◦ ログの収集と分析 • データの管理 ◦ バックアップと復元 ◦ 暗号化 • アクセスの管理 ◦ セキュリティグループでの通信制御 ◦ NACLによる通信制御 ◦ キーペアの管理

責任共有モデル利用者が責任を負うセキュリティ範囲 (RDS) RDS • データベースの設計と運用 ◦ スキーマの設計 ◦ オブジェクトの作成と管理
◦ データのバックアップと復元 • アクセスの管理 ◦ ユーザーの作成と管理 ◦ セキュリティグループでの通信制御 ◦ NACLによる通信制御 • エンジンのアップグレード ◦ データベースエンジン(MySQL、PostgreSQL、Oracle等)ののアップグレード(内部OSのアップデートなど一部はAWSが強制する) • データの保護 ◦ データの整合性の確保 ◦ データの暗号化の設定(必要に応じて)

責任共有モデル利用者が責任を負うセキュリティ範囲 (S3) S3 • データの管理 ◦ データのライフサイクル管理(保存期間の設定など) ◦ データの分類と整理
• アクセスの管理 ◦ バケットポリシーの設定 ◦ アクセス権限の設定(ACLやIAMポリシー) ◦ 公開アクセスの制限設定 • データの暗号化設定 ◦ サーバー側の暗号化設定 ◦ クライアント側の暗号化設定 • バックアップ ◦ クロスリージョンレプリケーションの設定 ◦ バージョニングの設定

15 責任共有モデル例えばお客様がPCI DSS等の認証の取得を考えた場合、全ての要件を⾃社で管理を⾏うことは⾮常に負荷が⾼く、コストもかかる作業となります。AWSは PCI DSSを含めた様々なコンプライアンスプログラムや第三者認証に取り組んでおり、お客様は⾃らの認証の範囲からデーターセンターの物理的な統制を
除外することができます。 https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/ AWS公式ブログでもPCI DSSを例として責任共有モデルについて説明している。

16 とはいえ。。。じゃあどうしたら良いの？？

17 コンプライアンスガイドこのガイドは、お客様が PCI DSS 準拠のアプリケーションを構築し、更新されたバージョン 4.0 の要件に準拠できるようにするための概念と原則の概要で
す。【内容】 1. 共有責任モデルと PCI DSS 要件への影響 2. AWS PCI DSS レベル 1 サービスプロバイダーステータスが顧客にとって何を意味するか 3. カード会員データ環境のスコープ設定 4. 評価に必要な図 5. 要件ごとのガイダンス AWSはPCI DSS v4.0 on AWS コンプライアンスガイドを提供している https://aws.amazon.com/jp/blogs/security/pci-dss-v4-0-on-aws-compliance-guide-now-available/

18 どんなことが書いてあるのか？

19 コンプライアンスガイド要件4 顧客は、AWSがサービスオプションとして提供する強⼒な暗号化とセキュリティ制御を設定する責任があります。Amazon CloudFront、Amazon API Gateway、Elastic Load Balancerなどの外部に公開されているAWS
サービスは、TLS 1.2以上のトランスポート暗号化レベルをサポートしており、それを強制するポリシーを実装できます。顧客は、少なくともTLS 1.2 を要求するElastic Load Balancerセキュリティポリシーを選択する責任があります。セキュリティグループとネットワークACLは、安全でないプロトコルの使⽤をブロックできます。CloudFrontフィールドレベル暗号化を使⽤して、追加のセキュリティ層とHTTPSを追加し、処理全体を通じて特定のデータを保護できます。顧客は、要件4.2.1.bと4.2.1.cに準拠するために、クライアントとサーバーが強⼒なTLS暗号を... https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws-v4-102023.pdf Claude 3.5 Sonnetによる翻訳原文

21 AWS利用のメリット 1.多くのインプットが存在する ‧AWSの公式リファレンス ‧コンプライアンスガイド ‧ブログ記事 2.責任共有モデルによる開発‧運⽤コストの削減が可能 3.⼤量のサービスと頻繁のアップデートによる「こうなったら良いな」を実現

22 AWS利用のメリット 1.多くのインプットが存在するコンプライアンスガイド公式ドキュメント多くのブログ記事

23 AWS利用のメリット 2.責任共有モデルによる開発‧運⽤コストの削減が可能 https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/

24 AWS利用のメリット 3.⼤量のサービスと頻繁のアップデートによる「こうなったら良いな」を実現 • 年間 3,000 回を超えるアップデート • 直近のイケてるアップデート ◦
⼀定期間未使⽤のIAMリソースの特定が可能に ◦ GuardDutyでS3のマルウェア保護が可能に

26 AWS利用時の注意点と対策（おまけ）放っておくとコストが。。。

27 AWS利用時の注意点と対策（おまけ） AWSにおける利用費高騰の代表的な原因 1.コンピューティングリソース及びデータベースの利⽤費増加 2.取得ログの肥⼤化 3.不要なリソースの削除‧停⽌忘れ 1.RI(Reserved Instances)/SP(Savings Plans)の購⼊検討 2.適切なログ取得先の選択とライフサイクルルールの設定
3.夜間停⽌（開発環境）及びコストアラートの設定対策

28 1.RI(Reserved Instances) と SP(Savings Plans) RI/SP ≒ AWS リソースの予約購入オプション
• RI (Reserved Instances) ◦ 1年間または3年間の⻑期利⽤前提で⼤幅な割引 ◦ 特定のインスタンスタイプ、リージョン、可⽤性ゾーンに紐づく ◦ 使⽤量に関係なく、固定料⾦を⽀払う • SP (Savings Plans) ◦ 1年間または3年間の⻑期利⽤前提で⼤幅な割引 ◦ コンピューティング使⽤量（$/時）にコミットする ◦ インスタンスファミリー、リージョン、オペレーティングシステムを柔軟に変更可能 EC2 RDS Redshift ElastiCache EC2 Fargate Lambda

29 2.ログ取得先とライフサイクルルールログ保管先によって料金・ユースケースが異なる CloudWatch S3 S3 Glacier 料金データ収集：USD 0.76/GB
データ保存：USD 0.033/GB 0.025USD/GB (S3 標準) 0.0045USD/GB (S3 Glacier Flexible Retrieval) 特徴・ログデータの分析・検索が可能・異常時のアラーム設定が可能・高可用性/高耐久性・Athenaでの分析が可能・最も低コストのストレージ・アクセス頻度に応じたストレージタイプを選択可能ユースケース・アラート機能が必要・リアルタイムの監視が必要・Athenaでの分析を行う・コストを抑えたい・長期保管が目的・取り出し頻度が低い

30 2.ログ取得先とライフサイクルルール例1） EC2のOSログを取得し最初の3ヶ月は監視をし、以降は1年間は保管する必要がある例2） EC2のOSログを取得し最初の1年間までは使用する可能性があるが、以降は5年間は使用しないが保管する
必要がある

31 3.夜間停止及びコストアラート設定特に開発環境では不要なリソースの削除・停止忘れで利用費が高騰しやすい【対策案】 • LambdaやEventBridgeでリソースの自動起動・自動停止の仕組みを作る • AWS Budgetsでコストアラート設定を行う •
Cost Explorerで利用費の内訳を確認し、意図しないリソースのコスト高騰を発見する参考：Cost Explorerのコンソール

5.最後にクラスメソッドでは一緒に働くメンバを "大"募集しています！ https://careers.classmethod.jp/requirements/

AWS環境におけるPCI-DSS準拠のポイント

AWS環境におけるPCI-DSS準拠のポイント

和田響

More Decks by 和田響

Featured

Transcript