2014 QBR: Campaign Marketing

Size: px

Start display at page:

Download "2014 QBR: Campaign Marketing"

おさむみやのじょう
5 years ago
Views:

1 AWS 初心者向け Webinar AWSにおけるセキュリティとコンプライアンス 2016 / 03 / 15 アマゾンウェブサービスジャパン株式会社プロフェッショナルサービス本部高田智己

2 ご質問を受け付け致します質問を投げることができます Adobe Connect のチャット機能を使って質問を書き込んでください書き込んだ質問は主催者にしか見えません最後の Q&A の時間で可能な限り回答させていただきます ①画面右下のチャットボックスに質問を書き込んでください ②吹き出しマークで送信してください

3 AWS 初心者向け Webinar のご紹介 AWS についてこれから学ぶ方むけのソリューションカットの Webinar です過去の Webinar 資料 AWS クラウドサービス活用資料集ページにて公開イベントの告知国内のイベントセミナースケジュールページにて告知オンラインセミナー枠

4 アジェンダイントロダクション AWSのセキュリティと責任共有モデル Security OF the Cloud Security IN the Cloud AWSセキュリティとAPN 最新のトレンドまとめ

5 アジェンダイントロダクション AWSのセキュリティと責任共有モデル Security OF the Cloud Security IN the Cloud AWSセキュリティとAPN 最新のトレンドまとめ

6 イントロダクション今回のAWS初心者向けWebinarでは AWSのセキュリティとコンプライアンスについて責任共有モデルの考えに基づき最新の情報を交えながらご紹介しますこの分野においてAWSが提供する情報源や使い方もご紹介しますので参考にして頂ければと思います

7 アジェンダイントロダクション AWSのセキュリティと責任共有モデル Security OF the Cloud Security IN the Cloud AWSセキュリティとAPN 最新のトレンドまとめ

バージニア北京ダブリンサンパウロソウル東京シンガポールシドニーイノベーションのペース過去9年間で51回の値下げ 2016年3月現在規模の拡大とイノベーションフランクフルトオレゴン

8 Amazon Web Services (AWS) アマゾンの 3 つのビジネス一般消費者様向けサービス世界に広がる AWS のインフラリージョンエッジローケーション Eコマース Amazon.co.jp セラー様向けサービスマーケットプレイス物流サービス提供 Amazon Services 企業様向けサービスクラウドコンピューティング Amazon Web Services カリフォルニアバージニア北京ダブリンサンパウロソウル東京シンガポールシドニーイノベーションのペース過去9年間で51回の値下げ 2016年3月現在規模の拡大とイノベーションフランクフルトオレゴン GovCloud 新規サービスのリリース施設の拡充お客様からのフィードバックを基にした改善

9 AWSのセキュリティ方針セキュリティはAWSにおいて最優先されるべき事項セキュリティへの大規模な投資セキュリティに対する継続的な投資セキュリティ専門部隊の設置

10 AWS 責任共有モデルお客様自身でクラウドをコントロール可能お客様のアプリケーションコンテンツネットワークサーバーセキュリティインベントリ構成管理アクセスコントロールデータセキュリティ AWS 基本サービス AWSがクラウドのセキュリティを担当コンピュートストレージ AWS グローバルインフラストラクチャデータベースアベイラビリティゾーンリージョンネットワークエッジロケーション

11 AWS 責任共有モデルお客様自身でクラウドをコントロール可能お客様のアプリケーションコンテンツネットワークサーバーセキュリティインベントリ構成管理アクセスコントロールデータセキュリティ AWS 基本サービスお客様はこの部分の統制に関してAWS にオフロードすることが可能コンピュートストレージ AWS グローバルインフラストラクチャデータベースアベイラビリティゾーンリージョンネットワークエッジロケーション

AWS 責任共有モデル AWSの責任共有モデルについては AWSコンプライアンスのWebサイトや AWS セキュリティベストプラクティスホワイトペーパーでも解説しています AWS責任共有モデル https://aws.amazon.

12 AWS 責任共有モデル AWSの責任共有モデルについては AWSコンプライアンスのWebサイトや AWS セキュリティベストプラクティスホワイトペーパーでも解説しています AWS責任共有モデル AWSセキュリティベストプラクティス

13 アジェンダイントロダクション AWSのセキュリティと責任共有モデル Security OF the Cloud Security IN the Cloud AWSセキュリティとAPN 最新のトレンドまとめ

14 AWS 責任共有モデルお客様お客様自身でクラウドをコントロール可能お客様のアプリケーションコンテンツネットワークセキュリティサーバー (OS) セキュリティデータセキュリティアクセスコントロール AWS 基本サービス Security OF the Cloud コンピュートストレージ AWS グローバルインフラストラクチャデータベースアベイラビリティゾーンリージョンネットワークエッジロケーション

15 Security OF the Cloud Security OF the Cloud

Cloud 業界における認定と独立したサードパーティによる証明を取得します AWS

16 Security OF the Cloud AWSはお客様が使用するAWS サービスに関連した統制およびそれらの統制がどのように検証されているかをお客様にご理解頂くことを支援致します Security OF the Cloud 業界における認定と独立したサードパーティによる証明を取得します AWS のセキュリティと統制に関する情報をホワイトペーパーおよびウェブサイトコンテンツで公表します NDA に従いAWS のお客様に証明書レポートなどの文書を直接提供します

17 AWS グローバルインフラストラクチャー US-WEST (N. California) 北カリフォルニア EU-WEST (Ireland) アイルランド GOV CLOUD Gov Cloud EU-CENTRAL (Frankfurt) フランクフルト ASIA PAC (Tokyo) ASIA PAC (Seoul) 東京ソウル北京 Beijing バージニアオレゴン US-EAST (Virginia) US-WEST (Oregon) シンガポールリージョンサンパウロ ASIA PAC (Singapore) SOUTH AMERICA (Sao Paulo) Note: 上記図はコンセプト図ですリージョンやアベイラビリィゾーンは増える可能性があります詳細はをご覧くださいシドニー ASIA PAC (Sydney)

18 アベイラビリティゾーンによる可用性 US-WEST (N. California) EU-WEST (Ireland) GOV CLOUD ASIA PAC (Tokyo) EU-CENTRAL (Frankfurt) ASIA PAC (Seoul) Beijing US-EAST (Virginia) US-WEST (Oregon) アベイラビリティゾーン ASIA PAC (Singapore) SOUTH AMERICA (Sao Paulo) Note: 上記図はコンセプト図ですリージョンやアベイラビリィゾーンは増える可能性があります詳細はをご覧ください ASIA PAC (Sydney)

DCレベルの障害対策 US East (Northern Virginia) Availability Zone D Availability Zone A Availability Zone B EU (Ireland) Availability Zone A Availability Zone C Availability Zone B EU (Frankfurt) Availability

19 DCレベルの障害対策 US East (Northern Virginia) Availability Zone D Availability Zone A Availability Zone B EU (Ireland) Availability Zone A Availability Zone C Availability Zone B EU (Frankfurt) Availability Zone A Availability Zone A Availability Zone B US West (Oregon) Availability Zone A Availability Zone C US West(Northern California) Availability Zone A Availability Zone B Asia Pacific (Tokyo) Availability Zone B Availability Zone B Asia Pacific (Singapore) Availability Zone A Availability Zone B Availability Zone B Asia Pacific (Sidney) Availability Zone A Availability Zone B South America (Sao Paulo) Availability Zone A Availability Zone B US Gov Cloud Asia Pacific (Seoul) Beijing 複数DC設置におけるAWSのポリシー物理的に離れたデータセンター群 Availability Availability Availability Availability Availability 洪水を考慮 Zone B Zone A Zone B Zone A Zone B 地盤が安定している場所無停止電源(UPS) バックアップ電源異なる電源供給元冗長化されたTier-1ネットワーク Availability Zone A Note: 上記図はコンセプト図ですリージョンやアベイラビリィゾーンは増える可能性があります詳細はをご覧ください

データセンターの物理セキュリティ場所の秘匿性周囲の厳重なセキュリティ監視カメラや侵入検知システム 24時間常駐の専門の保安要員による物理アクセスの厳密なコントロール完全管理された必要性に基づくアクセス 2要素認証を2回以上で管理者がアクセス全てのアクセスは記録され監査対象となる

20 データセンターの物理セキュリティ場所の秘匿性周囲の厳重なセキュリティ監視カメラや侵入検知システム 24時間常駐の専門の保安要員による物理アクセスの厳密なコントロール完全管理された必要性に基づくアクセス 2要素認証を2回以上で管理者がアクセス全てのアクセスは記録され監査対象となる AWSコンプライアンスリスクとコンプライアンスホワイトペーパー

21 ネットワークセキュリティ Distributed Denial of Service (DDoS)対策中間者攻撃対策 IPなりすまし対策許可されていないポートスキャニング対策 AWSサービス利用規約違反に該当検出され停止されブロックされるパケットの盗聴対策プロミスキャスモードは不許可ハイパーバイザレベルで防御 AWSコンプライアンスリスクとコンプライアンスホワイトペーパー

顧客が生成したキーペアを使用 AWSコンプライアンス http://aws.amazon.

22 論理的なセキュリティハイパーバイザーホストOS 承認を受けたAWS管理者の拠点ホストからの個別のログイン特別に設計構築設定された管理ホスト多要素認証の利用全てのアクセスをロギングし監査作業完了後システムへの特権とアクセス権の削除ゲストOS EC2インスタンスお客様による完全なコントロール顧客が生成したキーペアを使用 AWSコンプライアンスリスクとコンプライアンスホワイトペーパー

少なくとも四半期ごとのアカウントの確認 90日間アクティビティがないアカウントの自動的無効化従業員の記録が人事システムから削除されるとアクセス権も自動的に削除 AWSコンプライアンス http://aws.amazon.

23 従業員アカウントの管理従業員の雇用雇用前審査の一環として適用法令が認める範囲での犯罪歴の確認 Amazonリーガルによる機密保持契約書の管理従業員はアクセス権を付与される前に機密保持契約書に署名入社時研修の一環として利用規定及びAmazon業務行動倫理規定への同意アカウント管理人事管理システムのプロセスの一環として一意のユーザー IDを作成最小権限の適用最小権限を越えるアクセスには適切な認証少なくとも四半期ごとのアカウントの確認 90日間アクティビティがないアカウントの自動的無効化従業員の記録が人事システムから削除されるとアクセス権も自動的に削除 AWSコンプライアンスリスクとコンプライアンスホワイトペーパー

データセキュリティデータの所有権と管理権はお客様にデータとサーバーを配置する物理的なリージョンはお客様が指定 AWS は法令遵守または政府機関の要請によりやむをえない場合を除きお客様のコンテンツを指定されたリージョンから移動しない法令または政府機関もしくは規制当局による有効かつ拘束力のある命令を遵守するために必要な場合を除きお客様のコンテンツを開示することはない

24 データセキュリティデータの所有権と管理権はお客様にデータとサーバーを配置する物理的なリージョンはお客様が指定 AWS は法令遵守または政府機関の要請によりやむをえない場合を除きお客様のコンテンツを指定されたリージョンから移動しない法令または政府機関もしくは規制当局による有効かつ拘束力のある命令を遵守するために必要な場合を除きお客様のコンテンツを開示することはないそうすることが禁止されている場合または Amazon の製品もしくはサービスの利用に関連した違法行為の存在を明確に示すものがある場合を除きお客様が開示からの保護を求められるようカスタマーコンテンツの開示に先立ってお客様に通知 AWSでは S3 EBS EC2 などほぼすべてのサービスについてお客様が独自の暗号化メカニズムを使用することを許可サーバーサイド暗号化クライアントサイド暗号化鍵の保管管理方法等 AWS データプライバシーのよくある質問リスクとコンプライアンスホワイトペーパー

ストレージの廃棄プロセス顧客データが権限のない人々に流出しないようにするストレージ廃棄プロセスを保持 DoD 5220.

25 ストレージの廃棄プロセス顧客データが権限のない人々に流出しないようにするストレージ廃棄プロセスを保持 DoD M National Industrial Security Program Operating Manual 国立産業セキュリティプログラム作業マニュアル NIST Guidelines for Media Sanitization メディア衛生のためのガイドライン ) 上記の手順を用いハードウェアデバイスが廃棄できない場合デバイスは業界標準の慣行に従って消磁するか物理的に破壊する AWSコンプライアンスリスクとコンプライアンスホワイトペーパー

26 AWSは主要な規制/標準/ベストプラクティスに準拠 AWSコンプライアンス

金融機関向け Amazon Web Services 対応セキュリティリファレンス 2013年10月 FISC安全対策基準第8追補版へのAWSの準拠状況を調査した資料をSI/ISV ８社(現在は9社)が共同で調査して一般公開 AWSと利用者で責任分担することで FISC安対基準を満たせるとの見解を一般公開 http://aws.amazon.

27 金融機関向け Amazon Web Services 対応セキュリティリファレンス 2013年10月 FISC安全対策基準第8追補版へのAWSの準拠状況を調査した資料をSI/ISV ８社(現在は9社)が共同で調査して一般公開 AWSと利用者で責任分担することで FISC安対基準を満たせるとの見解を一般公開安心安全かつ機動性の高い金融サービスの実現金融事業者銀行証券保険等クラウドを活用したシステム支援各金融事業者のセキュリティ指針監査指針 FISC 安全対策基準設備 138項目運用 115項目技術 53項目 Amazon Web Services対応セキュリティリファレンス各基準に対応サマリー版詳細版作成/ 更新システム構築運用 SCSK ISID NRI TIS MKI TrendMicro CAC 調査対応案検討セキュリティ対応調査協力 Amazon Web Services

28 AWSセキュリティセンターとAWSコンプライアンス aws.amazon.com/jp/security aws.amazon.com/jp/compliance セキュリティやコンプライアンスに関する多くの質問に対する回答セキュリティWhitepaper リスクとコンプライアンス Whitepaper セキュリティプロセス概要 Whitepaper Security at Scale whitepaper シリーズ Security bulletins 侵入テスト申請フォーム Securityベストプラクティス詳しい情報のお問い合わせ先

29 コンプライアンス情報の使いどころ 29 AWS利用者のセキュリティ評価チェックシートの回答等に利用 AWSの内部に関する統制状況は基本的にホワイトペーパーや SOC1/2 PCI等のNDA ベースで提供している情報から評価公開されている情報で直接的に確認項目に回答されていないものも提供されている情報によりリスクを評価いただくことで問題がないかどうか検討または多層的なコントロールを考えることでその確認項目に関するリスクを許容できるものにできるか検討それでも許容できないリスクが残る場合はAWSにご相談を

リスクとコンプライアンスホワイトペーパー AWS のお客様が IT 環境をサポートする既存の統制フレームワークに AWS を統合する際に役立つ情報を提供 AWS の統制の評価に関する基本的なアプローチについて説明し統制環境の統合の際に役立つ情報内容これらの章に書かれている内容が AWSでどのような統制があるかどのような運用をしているかの主要な情報源になります

30 リスクとコンプライアンスホワイトペーパー AWS のお客様が IT 環境をサポートする既存の統制フレームワークに AWS を統合する際に役立つ情報を提供 AWS の統制の評価に関する基本的なアプローチについて説明し統制環境の統合の際に役立つ情報内容これらの章に書かれている内容が AWSでどのような統制があるかどのような運用をしているかの主要な情報源になりますリスクとコンプライアンスの概要 AWS統制の評価と統合 AWSリスク及びコンプライアンスプログラム AWS の報告認定およびサードパーティによる証明コンプライアンスに関するよくある質問と AWS AWS へのお問い合わせ付録 A: CSA Consensus Assessments Initiative Questionnaire v1.1 付録 B: 米国映画協会 MPAA コンテンツセキュリティモデルに対する AWS の準拠状況付録 C: オーストラリア信号局 (ASD) のクラウドコンピューティングに関するセキュリティ上の考慮事項への AWS の準拠付録 C: 用語集

AWS Compliance詳細情報英語のサイトの情報もご確認ください http://aws.amazon.com/compliance/?

31 AWS Compliance詳細情報英語のサイトの情報もご確認ください各種保証プログラムや重要項目に関するFAQ 公開資料 Compliance Latest News ダウンロード可能な認証 31 PCI DSS ISO27001/27017/27018/9001 CSA Data Privacy/EU Data Protection SOC FedRAMP HIPAA GxP DoD AWS ISM Letter of Compliance AWS ISO 27001/27017/27018/9001 Certification Multi-Tier Cloud Security Standard Level-3 (CSP) Certification AWS SOC 3 Report

32 AWS Compliance 最新情報 Consideration for Using AWS Products in GxP Systemsの発行 GxPシステムにおいてAWS製品を使用するための包括的なアプローチについてのホワイトペーパー AWS製品の基本的な技術内容とGxPに係る内容 AWSをコマーシャルクラウド製品として使用する場合に品質システムに関しての考慮事項 AWS製品をコンポーネントとしてGxPシステムを開発運用検証を行う際のシステム開発のライフサイクルに関しての考慮事項規制当局に対してシステム関連の情報を提出する可能性のあるお客様に関する規制関連業務に関しての考慮事項クラウド内のGxPアプリケーション GXP FDA Part 11 EU Annex 11

AWS Compliance 最新情報 ISO27017 ISO 認定エージェントである EY CertifyPointによるプライベート認証クラウドサービスに関係する情報セキュリティコントロールについての実装ガイダンス世界的に認められたベストプラクティスに対するAWSの継続的なコミットメントを示し AWS においてクラウドサービス特有の非常に精密なコントロールが運用されていることを実証

33 AWS Compliance 最新情報 ISO27017 ISO 認定エージェントである EY CertifyPointによるプライベート認証クラウドサービスに関係する情報セキュリティコントロールについての実装ガイダンス世界的に認められたベストプラクティスに対するAWSの継続的なコミットメントを示し AWS においてクラウドサービス特有の非常に精密なコントロールが運用されていることを実証対象サービスなど詳細はFAQのページを参照 ISO27018 ISO 認定エージェントである EY CertifyPointによるプライベート認証すべてのリージョンエッジロケーションが対象クラウド内の個人データ保護に焦点を合わせた最初の世界的な実務規範この規格に適合することで特にコンテンツのプライバシー保護を目的とした統制システムが AWS により運用されていることをお客様に実証対象サービスなど詳細はFAQのページを参照

34 アジェンダイントロダクション AWSのセキュリティと責任共有モデル Security OF the Cloud Security IN the Cloud AWSセキュリティとAPN 最新のトレンドまとめ

35 AWS 責任共有モデル Security IN the Cloud お客様のアプリケーションコンテンツネットワークサーバーセキュリティインベントリ構成管理アクセスコントロールデータセキュリティ AWS 基本サービスコンピュート AWSがクラウドのセキュリティを担当ストレージ AWS グローバルインフラストラクチャデータベースアベイラビリティゾーンリージョンネットワークエッジロケーション

36 Security IN the Cloud Security IN the Cloud

Security IN the Cloud AWS CloudTrail AWS IAM Network managem ent AWS account owner (master) Security Server managem managem ent ent AWSはお客様固有の要件に適合するソリューションの選択を可能にする柔軟性とお客様による統制が可能な環境を提供いたします

37 Security IN the Cloud AWS CloudTrail AWS IAM Network managem ent AWS account owner (master) Security Server managem managem ent ent AWSはお客様固有の要件に適合するソリューションの選択を可能にする柔軟性とお客様による統制が可能な環境を提供いたします Storage managem ent Amazon EC2 Security Group Encryption Security IN the Cloud Operational Check List AWS Security Best Practice Auditing Security Check List Security At Scale Governance In AWS ネットワーク管理論理アクセスコントロールログ管理データ保護脆弱性対策変更管理リソース監視ビジネス継続性 ETC

38 AWSのセキュリティツール機能 Security IN the Cloud お客様のアプリケーションコンテンツネットワークサーバーセキュリティインベントリ構成管理アクセスコントロールデータセキュリティ監視監督 AWSとAWSのパートナーは 700以上のセキュリティサービスやツール機能を提供既存の環境で実施していたことと同等もしくはそれ以上のコントロールを実現可能です

39 サーバー OS セキュリティ OSの選択とハードニングインスタンスサイズ OSの選択もお客様が柔軟に構成可能標準的なOSのハードニングガイドとテクニックを活用最新のセキュリティパッチの適用ユーザー管理 Whitelisting and integrity ホストベースの防御策の適用を考慮ホストベースの防御製品をプリインストール管理ソフトやSEIM等との接続設定の組み込みマルウェア IDS, IPS 脆弱性管理管理者権限やユーザー管理監査とログ取得ハードニングと構成必要最小限のアクセスパスワードや認証の管理インスタンスの開始 AMIカタログ OS EC2 インスタンスの起動インスタンス構成お客様の独自インスタンス

40 AWS Inspector 自動化されたホストのセキュリティ診断サービス診断対象のインスタンスにエージェントをインストールした後にInspectorを起動して利用する APIで制御できるので開発プロセスの中に組み込むことで均質なセキュリティ診断を自動的に実行できる内容についてはルールセットにより制御が可能 PCI DSSにも対応

インターネット CIDR : 172.16.0.0/16 NACL NACL CIDR : 10.0.0.0/8 社内システム SG SG Public Subnet 172.

41 ネットワークセキュリティお客様専用の仮想ネットワークを構築可能サブネットとルーティングによるセグメンテーション VPC 組み込まれたFirewall機能の利用商用製品の利用も可能 Peering オンプレ環境とのVPN 専用線接続他VPCとPeering接続機能インターネット CIDR : /16 NACL NACL CIDR : /8 社内システム SG SG Public Subnet /24 Private Subnet /24 VGW IPSec VPN or 専用線 CGW Subnet /24

論理的アクセスコントロール AWS Identity and Access Management

アカウントごとのユーザとグループの作成 AWSマネージメントコンソールのユーザログオンサポート

APIを使ったアクセスコントロールポリシー API コールは以下のサインどちらかが必須: X.

オブジェクト及びバケット毎のポリシー設定 Network management AWS account

42 論理的アクセスコントロール AWS Identity and Access Management (IAM) AWSサービスとリソースへの厳格なアクセスコントロールが可能アカウントごとのユーザとグループの作成 AWSマネージメントコンソールのユーザログオンサポートセキュリティクレデンシャルアクセスキーログイン/パスワード多要素認証デバイス(オプション) AWS APIを使ったアクセスコントロールポリシー API コールは以下のサインどちらかが必須: X.509 certificate シークレットキー幾つかのサービスではより厳格なインテグレーション S3: オブジェクト及びバケット毎のポリシー設定 Network management AWS account owner (master) Security management Server management Storage management 豊富な多要素認証デバイス

利用者へのIAM権限付与の例特定のタグがついたEC2の停止/削除権限 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", API単位でのコントロール "Action": [ "ec2:startinstances", "ec2:stopinstances", "ec2:rebootinstances" ],

43 利用者へのIAM権限付与の例特定のタグがついたEC2の停止/削除権限 { "Version": " ", "Statement": [ { "Effect": "Allow", API単位でのコントロール "Action": [ "ec2:startinstances", "ec2:stopinstances", "ec2:rebootinstances" ], "Condition": { "StringEquals": { "ec2:resourcetag/systemname": system-name" } }, "Resource": ["*"] }, { "Effect": "Allow", "Action": ["ec2:describe*"], "Resource": ["*"] } ] } ポリシー作成を支援する機能も充実事前定義されAWSが管理してくれるAWS管理ポリシー IAMポリシーの作成ツール IAMポリシーのシミュレーションツール IAMポリシーの文法チェック

44 構成変更管理インベントリ AWSサービスのリソースに関する情報は管理コンソール上に集約され確認が可能資産情報を分類するためのタグ情報も付与可能そうした情報をAPIにより取得することもできます

45 構成変更管理インベントリ AWS Configにより AWSサービスのリソースに関係する変更を時系列で表示し加えられた変更の追跡と把握を行うことが可能お互いに密接な関係にあるリソースインスタンスやサーバーに適用されたパーミッション Amazon EC2インスタンスにアタッチされたAmazon EBSボリューム Amazon EC2インスタンスに構成されたネットワークインターフェース VPCやそのサブネットに配置されたインスタンス

データセキュリティ AWSではAWSのサービス側で暗号化を行うServer Side

Encryption CSE の他に暗号鍵の保管の仕方等要件に応じた様々な方法を選択するこ

CloudHSM CSE EBS 仮想Disk 〇〇 N/A 〇 S3 オブジェクトストレージ

〇 Oracle 〇 Redshift DWH 〇〇〇〇 ElastiCache

46 データセキュリティ AWSではAWSのサービス側で暗号化を行うServer Side Encryption SSE やクライアント側で行う Client Side Encryption CSE の他に暗号鍵の保管の仕方等要件に応じた様々な方法を選択することが可能 AWSサービス機能 SSE SSE with KMS SSE with CloudHSM CSE EBS 仮想Disk 〇〇 N/A 〇 S3 オブジェクトストレージ〇〇 N/A 〇 Glacier アーカイビング〇 N/A N/A 〇 RDS RDBMS 〇〇 Oracle 〇 Redshift DWH 〇〇〇〇 ElastiCache インメモリキャッシュ N/A N/A N/A 〇 DynamoDB NoSQL DB N/A N/A N/A 〇上記の表内のAWSサービスは一例です RDS

47 AWS Key Management Service AWSでは暗号鍵を管理する鍵管理環境を提供暗号鍵の作成管理運用サービス暗号鍵の可用性機密性を確保暗号鍵の有効化無効化ローテーションをサポート S3, EBS, Redshift等のAWSサービスにおけるデータを暗号化 SDKとの連携でお客様の独自アプリケーションデータを暗号化低コストで使用可能 Customer Master Key(s) AWS KMS サポートしているサービス 2016/3現在 Category Supported Services Database Redshift, RDS Storage and Content Delivery S3, EBS, Import/Export, Snowball Application Services Elastic Transcoder, SES Enterprise Applications WorkMail, WorkSpaces Management Tools CloudTrail Data Key 1 Data Key 2 Data Key 3 Data Key 4 Amazon S3 Object Amazon EBS Volume Amazon Redshift Cluster Custom Application

48 AWS CloudHSM AWS サービスおよびリソースへのアクセスを安全にコントロール特徴 AWSクラウド内のお客様専用ハードウェアセキュリティモジュール HSM アプライアンス SafeNet LunaSA7000 暗号化キーやHSMによって実行される暗号化操作を管理情報セキュリティ国際評価基準 Common Criteria EAL4+ および米国政府規制基準 NIST FIPS に準拠 CloudTrailやsyslogの使用によるコンプライアンス監査サポートされているリージョン米国東部バージニア北部米国西部オレゴン米国Govクラウド欧州アイルランド欧州フランクフルトアジアパシフィックシドニーアジアパシフィック東京アジアパシフィックシンガポール App SSL CloudHSM HSM Client VPC インスタンス Virtual Private Cloud AWS

49 監視監督 CloudTrailでAWSのサービスに対する各種APIログを取得可能 APIを呼び出した身元 Who APIを呼び出した時間 When API呼び出し元のSource IP Where 呼び出されたAPI What APIの対象となるAWSリソース What 管理コンソールへのログインの成功失敗

監視監督 CloudWatch LogsでOS上の各種ログやVPC Flow LogsといったAWSのログも収集

Windows Log Agent OSにはLog Agentの導入が必要です CloudWatch Logs

場合はAlarm をあげます Red Hat Linux VPC Flow Log https://aws.

50 監視監督 CloudWatch LogsでOS上の各種ログやVPC Flow LogsといったAWSのログも収集監視 Log Agent Log Agent Amazon Linux Ubuntu Log Agent Windows Log Agent OSにはLog Agentの導入が必要です CloudWatch Logs CloudWatch Logsにログをためます Kinesis フィルターなどを使いログの監視閾値を超えた場合はAlarm をあげます Red Hat Linux VPC Flow Log CloudWatch Metrics CloudWatch Alarm SNS

51 監視監督利用者のAWS環境をAWSのベストプラクティスを元に評価するTrusted Advisorを用いて原因が把握されていない未達のチェック項目がないか確認をしてください Notificationの設定も行うことができます 2013年よりサービス開始コスト最適化セキュリティ可用性パフォーマンスの４つのカテゴリから AWSの利用状態を評価 170万のベストプラクティス 3億ドルを超えるコスト削減を通知 2014/7/31より 47のチェック項目中 4項目をすべてのユーザに開放

52 アジェンダイントロダクション AWSのセキュリティと責任共有モデル Security OF the Cloud Security IN the Cloud AWSセキュリティとAPN 最新のトレンドまとめ

53 AWSの責任共有モデル Security IN the Cloud お客様業界固有の要件を柔軟に達成可能データやインスタンスに対する統制権はお客様が保持世界中のリージョンにおいて共通の統制を維持可能セキュリティコンプライアンス = 共有責任 Security OF the Cloud 世界中のリージョンにおいて共通の統制お客様のコンプライアンススコープの範囲を軽減セキュリティコンプライアンス関連サービスの提供

AWSの責任共有モデルとAPN * APN = Amazon Web Services Partner Network Security IN the Cloud お客様業界固有の要件を柔軟に達成可能データやインスタンスに対する統制権はお客様が保持世界中のリージョンにおいて共通の統制を維持可能

54 AWSの責任共有モデルとAPN * APN = Amazon Web Services Partner Network Security IN the Cloud お客様業界固有の要件を柔軟に達成可能データやインスタンスに対する統制権はお客様が保持世界中のリージョンにおいて共通の統制を維持可能多種多様なAPNパートナーソリューションを選択可能セキュリティコンプライアンス = 共有責任 Security OF the Cloud 世界中のリージョンにおいて共通の統制目標を管理お客様のコンプライアンススコープの範囲を軽減セキュリティコンプライアンス関連サービスの提供

55 APNパートナーソリューションお客様がEC2の上で動作する必要なソフトウェアやサービスを見つけ出して購入し素早く使用開始するためのオンラインストアですお客様はすぐにデモを体験可能な設定済みのアプリケーションを含むプライベートサンドボックス環境を短時間でデプロイできますエンタープライズソリューションスタックを使用できるよう約半日分の AWS 使用料を無料にてお客様にご提供します

56 AWS Marketplace

57 AWSパートナーとのエコシステムビジネスアプリケーションアナリティクスセキュリティネットワークストレージ開発運用データ連携 AWS ESPカタログで検索

58 アジェンダイントロダクション AWSのセキュリティと責任共有モデル Security OF the Cloud Security IN the Cloud AWSセキュリティとAPN 最新のトレンドまとめ

Security by Design (SbD) AWS アカウントの設計の規格化セキュ

セキュリティを遡及的に監査するのではなく AWSのIT管理プロセス全体にセキュリティ制御を組み込む

HSM Key Management Service Directory Service

59 Security by Design (SbD) AWS アカウントの設計の規格化セキュリティ制御の自動化および監査の合理化のためのセキュリティ保証アプローチセキュリティを遡及的に監査するのではなく AWSのIT管理プロセス全体にセキュリティ制御を組み込む Identity & Access Management Trusted Advisor Cloud HSM Key Management Service Directory Service CloudWatch CloudTrail Config Rules

60 SbDのアプローチ 1. 要件を把握する 1.2 AWSに移すワークロードの識別 1.1 ステークホルダーの確認 2. セキュリティ要件の分析と文書化 3. 環境構築と自動化監視 2.1 セキュリティ要件の整理 3.1 セキュリティアーキテクチャーの構築 2.2 データ保護と統制の定義 3.2 運用の自動化 2.3 セキュリティアーキテクチャーの文書化 3.3 継続的な監視 4. 検証と監査 4.1 監査と認証 3.4 テスト

61 セキュリティ関連の運用自動化 CloudFormationを用いてセキュリティ要件を満たす設計をテンプレート化必要となるセキュリティの設定や利用インスタンスリソースをパッケージ化 Service Catalogを利用した環境の展開パッケージ化設計 CloudFormation 制限 Identity & Access Management Stack Template 展開 Service Catalog パーミッション Stack インスタンスリソース Apps Stack Products Portfolios

62 継続的な監視 Service Type Use cases Cloud Trail APIログの取得 AWS環境の操作に関するログの取得 Cloud Watch リソースログ監視 AWSサービスのリソース監視と各種ログの収集モニタリング変更管理 AWSサービスの変更記録とトラッキングオンデマンドの評価 EC2インスタンス内の導入される OS アプリケーションのセキュリティ分析 Config Rules 継続的な評価変更による誤設定検知ベストプラクティスの維持脆弱性の検知 Trusted Advisor 定期的な評価コストパフォーマンス信頼性セキュリティの観点からの広範な調査 AWS Config Inspector AWS Security and Compliance Security IN the Cloud のためのサービス群 Security OF the Cloud

結果としてセキュリティ要件を満たす環境の構築を自動化し維持する Automate Governance

63 SbDの狙い権限のないユーザーの変更を防止する強制的な機能を作成する制御を確実に実行できるようにする継続的でリアルタイムな監査を実現するお客様のガバナンスポリシーを技術的にスクリプト化する結果としてセキュリティ要件を満たす環境の構築を自動化し維持する Automate Governance Automate Deployments Automate Security Operations Continuous Compliance & Audit Reporting

64 まとめ責任共有モデルに基づき基盤のセキュリティ統制はAWSが責任を持って実施 AWS上に構築するシステムの構成設定に関するセキュリティ統制はお客様の責任により実施 AWSはお客様を助ける様々なセキュリティ関連機能を提供更に固有のセキュリティ要件がある場合はAPNパートナーの製品の利用も検討自動化やAPIによる制御といったAWSの特性をセキュリティやコンプライアンスにも活かすことで効果的な統制環境を構築

65 Security for the Cloud Security OF the Cloud Security IN the Cloud

66 セキュリティコンプライアンス情報 AWS URL AWS Securityページ AWS Complianceページ

67 Q&A

68 AWSトレーニングでは様々な学習方法をご提供していますメリット提供方法 AWS について実習や実践練習を通じて学習できる AWS を熟知したエキスパートから直接 AWS の機能について学び疑問の答えを得られる自信をもって IT ソリューションに関する決定を下せるようになる e ラーニングや動画セルフペースラボクラスルームトレーニング詳しくはをご覧ください

公式 Twitter/Facebook AWS の最新情報をお届けします @awscloud_jp 検索もしくは

69 公式 Twitter/Facebook AWS 検索もしくは最新技術情報イベント情報お役立ち情報お得なキャンペーン情報などを日々更新しています!

70 AWSの導入お問い合わせのご相談 AWSクラウド導入に関するご質問お見積り資料請求をご希望のお客様は以下のリンクよりお気軽にご相談ください AWS 問い合わせで検索してください

71 ご清聴ありがとうございました!

PowerPoint Presentation

PowerPoint Presentation AWS におけるセキュリティとコンプライアンスアマゾンウェブサービスジャパン株式会社 2016 年 12 月 19 日 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved. アジェンダ AWSのセキュリティと責任共有モデル AWSの責任範囲とお客様の責任範囲 AWSの責任範囲グローバルインフラストラクチャーとアベイラビリティゾーン