KDDI 流クラウド・セキュリティ～「大企業のクラウド適応」秘伝のレシピ～

Size: px

Start display at page:

Download "KDDI 流クラウド・セキュリティ～「大企業のクラウド適応」秘伝のレシピ～"

ありさあいきょう
5 years ago
Views:

1 AWS Summit Tokyo 導事例トラック１ 17:20 18:00 (D2T4-6) KDDI流クラウドセキュリティ企業のクラウド適応秘伝のレシピ

2 紹介 KDDI 株式会社 / 技術統括本部 / プラットフォーム開発本部所属 1 橋衛 ( オオハシマモル ) アジャイル開発センターアジャイル開発 3 グループ課補佐 AWS アカウント管理統制 & アーキテクチャコンサルチームチームリーダーアプリエンジニア 12 年インフラエンジニア 4 年クラウドエンジニア 4 年 (=AWS 歴 ) 好きな AWS サービス :IAM/SNS/Lambda

3 AWS Summit Tokyo 2016 での発表 2 au Infrastructure as Code Immutable Infrastructure Operations & Monitoring

4 アジェンダ 3 n 企業におけるクラウド適応秘伝のレシピ n 情報セキュリティ対策実現事例のご紹介 n auでんきえる化アプリ n KDDI API Gateway n おわりに

5 AWS 利のはじまり Q 最初のAWSアカウント取得 2Q 調査 /PoC 本格始動 4Q 初の事業システムローンチ Q 初の実証研究案件ローンチそして 2014 年某

6 5

7 AWS によるシャドー IT の広まり 6 n 魅的で破壊的な技術の登場にはつきもの n インフラを持っている事に慣れすぎた間が安直に扱うには危険すぎる n セキュリティ監査部と連携しシャドー IT 対策に乗り出す

8 社内のシャドー IT を抑し AWS を安全に利させるにはどうすれば?

9 AWS を社内で正式に利可能にすればいい

10 企業のクラウド適応秘伝のレシピ 9 AWS の社内正式採基準改訂規定新設統制機能

11 社内基準への適合 10 KDDI システム開発セキュリティ基準 ( 仮 ) ü 200 項超に及ぶチェックリスト ü 年の電気通信設備開発で鍛え上げられた開発運の厳格なセキュリティ要件 ü 社内システムはこの基準を全てクリアするのが必須セキュリティ虎の巻

12 分解要素分解と要件の統廃合 11 対応統廃合結合 p 要件 1 p 実装 1 p 要件 2 p 実装 2 p 要件 1 p 要件 3 p 実装 3 p 要件 2 現基準 ( オンプレベース ) p 要件 4 p 要件 5 p 実装 4 p 実装 5 p 要件 3 新基準 (AWS 版 ) 新基準でも現基準のすべての要件を満たすことが可能に

13 システム開発セキュリティ基準 (AWS 版 ) 12 計 227 項に全て準拠

14 企業のクラウド適応秘伝のレシピ 13 AWS の社内正式採基準改訂規定新設統制機能

15 クラウド利規定の新設 14 Ø 全社横断的な取組みである Public クラウド利規定 ( 仮 ) の策定会議に参画 Ø 先の基準をこの規定に関連づけた Ø アジャイル開発センターもこの規定の運フローに関与 AWS は KDDI 内で公的に使える Public クラウドとして認定

16 AWS 情報セキュリティ統制運体制 ( 概略 ) 15

17 企業のクラウド適応秘伝のレシピ 16 AWS の社内正式採基準改訂規定新設統制機能

18 AWS の責任共有モデル 17

19 情報セキュリティ管理統制モデル 18 AWS CloudTrail AWS Account AWS IAM IAMユーザー管理グループ / ポリシー設計グループ / ポリシー適用基底ガバナンス導入監査証跡保全 rootアカウント管理利部アジャイル開発センター

20 root 管理監査証跡権限統制違反検知自動回復 19 AWS アカウント管理統制 ( アカウント発時 )

21 root 管理監査証跡権限統制違反検知自動回復 20 的特権ユーザー分離 / 内部犯の回避

22 root 管理監査証跡権限統制違反検知自動回復 21 的特権ユーザー分離 / 内部犯の回避 MFA 有効化

23 root 管理監査証跡権限統制違反検知自動回復 22 的監査証跡ログの保全

24 root 管理監査証跡権限統制違反検知自動回復 23 的監査証跡ログの保全 CloudTrail 有効化バケット保護 CloudTrail S3 Bucket

25 root 管理監査証跡権限統制違反検知自動回復 24 的デフォルトガバナンス適とその保護

26 root 管理監査証跡権限統制違反検知自動回復 25 的デフォルトガバナンス適とその保護 Security ReadOnly) CloudTrail CloudTrail Security All Deny SNS IAM Policy etc

27 root 管理監査証跡権限統制違反検知自動回復 26 的ガバナンス違反と想定外事象の検知

28 root 管理監査証跡権限統制違反検知自動回復 27 的ガバナンス違反と想定外事象の検知 C Full Access Read Only AGDC Access Deny

29 root 管理監査証跡権限統制違反検知自動回復 28 的ベースラインポリシーの強制適

30 root 管理監査証跡権限統制違反検知自動回復 29 的ベースラインポリシーの強制適 Full Access AGDC Read Only Access Deny

31 AWS アカウント管理統制 ( 全体像 ) 30 アジャイル開発センター User Group Role User Group Role User Group Role 利部

32 AWS アカウント管理統制 ( アカウント発後 ) 31 PoC/Dev/Stg アカウント Prd アカウント発行 In-Development In-Development Service-In In-Service 利用部門のアクセス権限 In-Development In-Service Security 統制リソース禁止禁止 IAMユーザー管理可可 IAMグループ / ロール / ポリシー可禁止システム用リソース可最小限 ( 更新は要申請 )

33 企業のクラウド適応秘伝のレシピ 32 AWS の社内正式採基準改訂規定新設統制機能

34 月 0 AWS 利状況推移 ( 費 ) Scaled400 usage! 16-4 月 17-4 月 33

35 AWS AWS 利状況推移 ( アカウント数 ) AWS 17-4 月月 Jun-15 Jul-15 Aug-15 Sep-15 Oct-15 Nov-15 Dec-15 Jan-16 Feb-16 Mar-16 Apr-16 May-16 Jun-16 Jul-16 Aug-16 Sep-16 Oct-16 Nov-16 Dec-16 Jan-17 Feb-17 Mar-17 Apr-17

36 代表的な AWS 採サービス 35 APES (API Gateway) その他 au 系コンシューマサービスにて多数採用

37 AWS 採案件にる情報セキュリティ対策実現事例のご紹介

38 au でんきえる化アプリの事例技術統括本部プラットフォーム開発本部アジャイル開発センターアジャイル運グループ廣翼

39 紹介 38 廣翼(ヒロタツバサ) KDDI株式会社技術統括本部 PF開発本部アジャイル開発センターアジャイル運 G コンシューマ系法系のサービス開発を担当好きなAWSサービス:ECS/Lambda

40 au でんきサービスの概要 39 全国で提供沖縄県部離島を除くわかりやすい料もっとおトクにアプリで電気が近に

41 au でんきえる化アプリの概要 40 電ビッグデータ活で au のお客さまの省エネをサポート!

42 au でんきえる化アプリの概要 41 アプリで電気をもっと近にアプリで便利に省エネ節電グッズを簡単にご購

43 au でんきえる化アプリにおけるクラウドセキュリティ

44 セキュリティの考慮ポイントについて 43 セキュリティの考慮ポイント重要情報へのアクセス ü 個人情報 ü 契約内容 ü アクセス制御ログイン管理 ü 社内から ü 協力会社から ü セキュアログイン監査証跡 ü AWS 操作ログ ü サーバ操作ログ ü 不正有無調査このポイントをカバーするセキュリティ機能を実現

45 セキュリティ機能の実現法 44 サーバ操作ログ各サーバへログインが必要な場合踏み台サーバ au でんきシステム通常保守の場合 CloudTrail AWS 操作ログ重要情報アクセス重要情報を含むログ CloudWatchLogs 重要情報がないログ security group IAM + MFA IAM + MFA IAM で参照可否制御 AWS Management Console 個別ユーザアカウント security group security group 協会社様スカイアーチ踏み台サーバ個別ユーザアカウント重要情報を含むログ参照可重要情報を含むログ参照可 VPN ( 暗号化 ) 重要情報を含むログ参照不可セキュリティルームセキュリティルーム緊急対応の場合

46 セキュリティ機能の実現法 45 重要情報アクセスログイン管理監査証跡重要情報を含むログ重要情報がないログアプリサーバ CloudWatchLogs 2016/04/21 14:38: INFO XF00305 API_CALLED GET /v1/pointandprepaid(pointandprepaidapi#getpointandprepai d) {requestid=app_ , sysid=xxxxxxxxxxxxx} AWS Management Console IAM で参照可否制御ログ内容の例重要情報をマスクしたログも出する

47 セキュリティ機能の実現法 46 各サーバへログインが必要な場合 au でんきシステム CloudTrail CloudWatchLogs サーバ操作ログ踏み台サーバ通常保守の場合 AWS 操作ログ重要情報を含むログ重要情報がないログ security group IAM + MFA IAM + MFA IAM で参照可否制御ログイン管理 AWS Management Console 個別ユーザアカウント security group security group 協会社様スカイアーチ踏み台サーバ個別ユーザアカウント重要情報を含むログ参照可重要情報を含むログ参照可 VPN ( 暗号化 ) 重要情報を含むログ参照不可セキュリティルームセキュリティルーム緊急対応の場合

48 セキュリティ機能の実現法 47 重要情報アクセスログイン管理監査証跡 au でんきシステム踏み台サーバログイン security group スカイアーチ様踏み台サーバ協会社様 VPN ( 暗号化 ) 重要情報を含むログ参照可重要情報を含むログ参照可緊急対応の場合セキュリティルームセキュリティルーム異なるIAMユーザロケーションに適したアクセス制限重要情報を含むログ参照不可

49 セキュリティ機能の実現法 48 監査証跡サーバ操作ログ各サーバへログインが必要な場合踏み台サーバ au でんきシステム通常保守の場合監査証跡 CloudTrail AWS 操作ログ重要情報を含むログ CloudWatchLogs 重要情報がないログ security group IAM + MFA IAM + MFA IAM で参照可否制御 AWS Management Console 個別ユーザアカウント security group security group 協会社様スカイアーチ踏み台サーバ個別ユーザアカウント重要情報を含むログ参照可重要情報を含むログ参照可 VPN ( 暗号化 ) 重要情報を含むログ参照不可セキュリティルームセキュリティルーム緊急対応の場合

50 セキュリティ機能の実現法 49 重要情報アクセスログイン管理監査証跡 S3 bucket CloudWatchLogs CloudTrail サーバ操作をファイル保存するカスタムスクリプトを仕込むサーバ操作ログ監査ログ AWS 操作ログ Linux サーバ Windows サーバ AWS Management Console & API システム内の監査証跡を漏らさず取得

51 セキュリティ機能まとめ 50 ü ü 重要情報へのアクセス重要情報をマスクしたログも出ログイン管理ロケーションに適したアクセス制御 ü 監査証跡カスタムスクリプトと CloudTrail による監査証跡取得

52 KDDI API Gateway の事例技術統括本部プラットフォーム開発本部基幹アプリケーション開発部 S/O 認証グループ林奈都

53 紹介 52 林奈都 ( ハヤシナツコ ) KDDI 株式会社技術統括本部 PF 開発本部基幹アプリケーション開発部 S/O 認証グループ課補佐経歴社内 Web 基盤システム運 au ID 認証システム開発 KDDI API Gateway 開発 6 年 1 年 2 年好きな AWS のサービス :Lambda, CloudWatch

54 本の発表のポイント 53 基本的なサービスの組合せでいセキュリティ要件を実現 AWS Microsoft AD の活でアカウントとセキュリティ設定を元管理

55 KDDI API Gateway の概要 54 KDDI の Owned Media 向けにお客様情報を提供するシステム Owned Media au Website KDDI API Gateway My au Website/ App au ID ログインで契約内容やサービスのご利状況を確認可能

56 KDDI API Gateway が提供するデータ 55 提供データ提供データ利料データ容量 au ポイント au WALLET などのご利状況契約内容スマートフォン携帯電話 au スマートパスビデオパスうたパスブックパスディズニーパスなど

57 セキュリティ要件 56 お客様情報を扱うためいセキュリティレベルが求められるログイン管理 ü 社内から ü 協会社から ü セキュアログイン重要情報の保護 ü 個情報 ü 契約内容 ü アクセス制御監査証跡 ü AWS 操作ログ ü サーバ操作ログ ü 不正有無調査

58 セキュリティ要件の実現法 57 ログイン管理重要情報の保護監査証跡

59 ログイン管理 58 課題 : ログイン環境の制限とログインユーザの管理を適切にう AWS Management Console GUI ツール Linux インスタンス

60 ログイン環境の制限 59 各リソースそれぞれに IP 制限をかけると管理が複雑になる AWS Management Console = IP Address A IP Address B IP Address C... GUI ツール = security group IP Address A IP Address B IP Address C... Linux インスタンス = security group IP Address A IP Address B IP Address C...

61 ログイン環境の制限 60 Windows 踏み台サーバを構築しログイン経路を統した踏み台踏み台の EIP のみ許可 EIP RDP 接続 Management Console 運者 Windows ( セキュリティールーム ) IP Address A IP Address B IP Address C... GUI Linux

62 ログインアカウントの管理 61 Active Directory でシステム内のアカウントを元管理 AWS Microsoft AD の導により AD の構築運の負担を軽減個アカウント共通アカウント Windows Management Console GUI Linux AWS Microsoft AD AWS マネージドの Microsoft Active Directory Management Console へのフェデレーションアクセス次のスナップショット

63 ログインアカウントの管理 62 アカウントポリシーの元管理によりシステムのセキュリティが向上した AWS Microsoft AD

64 ログイン管理の全体構成 63 Windows 踏み台サーバと AWS Microsoft AD でログイン管理を実現 EIP Management Console RDP HTTPS 運者 ( セキュリティールーム ) Windows GUI AWS Microsoft AD Linux

65 セキュリティ要件の実現法 64 ログイン管理重要情報の保護監査証跡

66 重要情報の保護 65 重要情報 = S3 バケットに保存しているアクセスログ Kinesis S3 バケットアプリサーバ

67 重要情報の保護 66 STEP1: 重要情報は運部のみアクセス可能にするアクセス可能 AWS Microsoft AD 運部運ロール開発部開発ロールアクセス不可統制部統制ロール

68 重要情報の保護 67 STEP2:Windows 踏み台サーバからのデータ持ち出しを制限する Download 運者持出し禁 Windows S3 バケット Windows 上の操作を制限起動可能なアプリケーションブラウザから接続可能なURL デバイスとリソースのリダイレクト禁 AWS Microsoft AD クラウドストレージ

69 セキュリティ要件の実現法 68 ログイン管理重要情報の保護監査証跡

70 監査証跡 69 Windows セキュリティログ Linux audit ログを Glacier で永年保存するセキュリティログ Management Console Cloud Trail 運者 Windows 次で Export アーカイブ Cloud Watch ログ S3 Glacier Linux audit ログ

71 セキュリティ要件の実現法 70 ログイン管理重要情報の保護監査証跡

72 まとめ 71 基本的なサービスの組合せでいセキュリティ要件を実現 AWS Microsoft AD の活でアカウントとセキュリティ設定を元管理

73 おわりに

74 KDDI 流クラウドセキュリティまとめ 73 n 組織的な取り組みに紐付く安全な仕組み作りが社内普及への鍵 n 情報セキュリティ対策としてのガバナンスの範囲と効かせは企業や案件システムによって様々 n 企業への新技術導にはい年が必要であることを覚悟すべし

75 Thank you for Listening!

製品概要

InterScan Web Security as a Service (IWSaaS) ご提案書トレンドマイクロ株式会社製品概要ネット利用状況の変化 Employees 多種多様な Web アプリケーション Web メールオンラインショッピングオンライントレード業務系ソフト etc 私的な SNS サイトを利用したいユーザと仕事に関係のある SNS のみを許可したい管理者 Web 2.0

KDDI 流 クラウド・セキュリティ ～「大企業のクラウド適応」 秘伝のレシピ～

KDDI 流クラウド・セキュリティ～「大企業のクラウド適応」秘伝のレシピ～