PowerPoint Presentation

Size: px

Start display at page:

Download "PowerPoint Presentation"

しょうこさくいし
5 years ago
Views:

2 アジェンダ AWSのセキュリティと責任共有モデル AWSの責任範囲とお客様の責任範囲 AWSの責任範囲グローバルインフラストラクチャーとアベイラビリティゾーンデータセンタセキュリティネットワークセキュリティ論理セキュリティデータストレージセキュリティ各種規制とコンプライアンスお客様の責任範囲お客様の責任範囲各種AWSによるマネージドセキュリティツール最新のトレンドまとめ

3 AWSのセキュリティと責任共有モデル AWSの責任範囲とお客様の責任範囲

4 Amazon Web Services (AWS) アマゾンのイノベーションからうまれたビジネス過去 10 年間で59 回の値下げ (2016 年 12 月現在 ) 世界に広がAWSのインフライノベーションのペース

5 AWSのセキュリティ方針セキュリティはAWSにおいて最優先されるべき事項セキュリティへの大規模な投資セキュリティに対する継続的な投資セキュリティ専門部隊の設置

6 AWS責任共有モデルお客様お客様自身でクラウドをコントロール可能 AWS お客様のアプリケーションコンテンツネットワークセキュリティサーバー(OS) セキュリティアクセスコントロール AWS 基本サービスコンピュート AWSがクラウドのセキュリティを担当データセキュリティ AWSグローバルインフラストラクチャストレージデータベースアベイラビリティゾーンリージョンネットワークエッジロケーション

7 AWS責任共有モデルお客様お客様自身でクラウドをコントロール可能 AWS お客様のアプリケーションコンテンツネットワークセキュリティサーバー(OS) セキュリティアクセスコントロール AWS 基本サービスコンピュートこの部分の統制に関してお客様は AWSにお任せいただけますデータセキュリティ AWSグローバルインフラストラクチャストレージデータベースアベイラビリティゾーンリージョンネットワークエッジロケーション

AWS責任共有モデル AWSの責任共有モデルについては AWSコンプライアンスWebサイトや AWSセキュリティベストプラクティスホワイトペーパーでも解説しています AWS責任共有モデル https://aws.amazon.

8 AWS責任共有モデル AWSの責任共有モデルについては AWSコンプライアンスWebサイトや AWSセキュリティベストプラクティスホワイトペーパーでも解説しています AWS責任共有モデル AWSセキュリティベストプラクティス

9 AWSの責任範囲グローバルインフラストラクチャーとアベイラビリティゾーンデータセンタセキュリティネットワークセキュリティ論理セキュリティデータストレージセキュリティ各種規制とコンプライアンス

10 AWS責任共有モデルお客様お客様自身でクラウドをコントロール可能お客様のアプリケーションコンテンツネットワークセキュリティサーバー(OS) セキュリティデータセキュリティアクセスコントロール AWS 基本サービス AWSの責任範囲コンピュート AWSグローバルインフラストラクチャストレージデータベースアベイラビリティゾーンリージョンネットワークエッジロケーション

11 AWSの責任範囲 AWSの責任範囲 AWSはお客様が使用するAWS サービスに関連した統制およびそれらの統制がどのように検証されているかをお客様にご理解頂くことを支援致します業界における認定と独立したサードパーティによる証明を取得します AWS のセキュリティと統制に関する情報をホワイトペーパーおよびウェブサイト上で公表します NDA に従いAWS のお客様に証明書レポートなどの文書を直接提供します

12 AWSグローバルインフラストラクチャー US-WEST (N. California) US-EAST (Ohio) 北カリフォルニアオハイオ EU-WEST (Ireland) アイルランド EU-CENTRAL (Frankfurt) ASIA PAC (Seoul) ソウルフランクフルトオレゴン US-WEST (Oregon) バージニア US-EAST (Virginia) Gov Cloud GOV CLOUD (US) 北京 ASIA PAC (Tokyo) Beijing 東京ムンバイ ASIA PAC (Mumbai) シンガポールサンパウロ ASIA PAC (Singapore) SOUTH AMERICA (Sao Paulo) シドニー ASIA PAC (Sydney) リージョンやアベイラビリィゾーンは随時増えていきます詳細はをご覧ください

Beijing US-EAST (Virginia) US-WEST (Oregon) アベイラビリティゾーン ASIA PAC (Singapore) SOUTH

13 アベイラビリティゾーンによる可用性 US-WEST (N. California) EU-WEST (Ireland) GOV CLOUD EU-CENTRAL (Frankfurt) ASIA PAC (Seoul) Beijing US-EAST (Virginia) US-WEST (Oregon) アベイラビリティゾーン ASIA PAC (Singapore) SOUTH AMERICA (Sao Paulo) ASIA PAC (Sydney) リージョンやアベイラビリィゾーンは随時増えていきます詳細はをご覧ください ASIA PAC (Tokyo)

アベイラビリティゾーン(AZ)について AWSのアベイラビリティゾーン(AZ) は下図の様に複数のデータセンターによって構成され耐障害性を意識した設計となっています 1データセンターあたり5万台以上のサーバ AZ AZ AZ AZ データセンター間はAWSの専用線で接続 AZ

14 アベイラビリティゾーン(AZ)について AWSのアベイラビリティゾーン(AZ) は下図の様に複数のデータセンターによって構成され耐障害性を意識した設計となっています 1データセンターあたり5万台以上のサーバ AZ AZ AZ AZ データセンター間はAWSの専用線で接続 AZ Transit 42のアベイライビリティゾーンどのリージョンにも2つ以上のAZ AZは1つ以上のDCから構成 Transit 1つのDCは2つのAZに所属しない 6つのDCを持つAZも存在 DC間は通常¼ msのレイテンシー AZ内のDC間接続は気にしなくても良い低レイテンシー/フル帯域で利用可能

15 DCレベルの障害対策 US East (Northern Virginia) Availability Zone D Availability Zone A Availability Zone B EU (Ireland) Availability Zone A Availability Zone B Availability Zone C Availability Zone C US West(Northern California) Asia Pacific (Singapore) Availability Zone A Availability Zone B EU (Frankfurt) Availability Zone A Availability Zone B Availability Zone A Asia Pacific (Tokyo) Availability Zone A Availability Zone B US West (Oregon) Availability Zone A Availability Zone B Availability Zone C Availability Zone B Asia Pacific (Sidney) Availability Zone A Availability Zone B Asia Pacific (Seoul) 複数DC設置におけるAWSのポリシー Beijing 単一のデータセンタレベル障害でもシステムは継続可能物理的に離れたデータセンター群洪水を考慮 Availability Availability Availability Availability Zone地盤が安定している場所 A Zone B Zone A Zone B 無停止電源(UPS) バックアップ電源異なる電源供給元冗長化されたTier-1ネットワークリージョンやアベイラビリィゾーンは随時増えていきます詳細はをご覧ください South America (Sao Paulo) Availability Zone A Availability Zone B US Gov Cloud Availability Zone A Availability Zone B

16 データセンターの物理セキュリティ場所の秘匿性周囲の厳重なセキュリティ監視カメラや侵入検知システム 24時間常駐の専門の保安要員による物理アクセスの厳密なコントロール完全管理された必要性に基づくアクセス 2要素認証を2回以上で管理者がアクセス全てのアクセスは記録され監査対象となる AWSコンプライアンスリスクとコンプライアンスホワイトペーパー

17 よくある質問 (データセンターセキュリティ編) Q. A. AWSのデータセンターの入退室管理について教えてください AWS はデータセンターへのアクセスのための多要素認証メカニズムおよび権限のある関係者のみが AWSデータセンターに入場するための追加のセキュリティメカニズムを利用しています権限のある関係者は施設への入場および許可された部屋への入室にはカードリーダーでバッジを使用し一意の PIN を入力する必要があります AWSはデータセンターへの長期にわたるアクセスを承認された従業員に対し写真付きの身分証を兼ねた電子アクセスカードを発行します AWSはデータセンターへのアクセスのための多要素認証メカニズムおよび権限のある関係者のみがAWSデータセンターに入場するための追加のセキュリティメカニズムを利用しています権限のある関係者は施設への入場および許可された部屋への入室にはカードリーダーでバッジを使用し一意の PIN を入力する必要があります Q. A. 監視カメラによる監視は実施していますでしょうか物理的アクセスは建物の周辺および入り口において監視カメラや侵入検知システムなどの電子的手段を用いる専門の保安要員により厳重に管理されていますサーバー設置箇所への物理アクセスポイントは AWSデータセンター物理セキュリティポリシーの規定により CCTV(Closed Circuit Television Camera)を使用して録画されています録画は90日間保存されますただし法的または契約義務により30日間に制限される場合もあります Q. A. オペレーションルーム以外からサーバにアクセスできないような対策が講じられていますでしょうか管理プレーンにアクセスする必要のある作業を担当する管理者は多要素認証を使用して専用の管理ホストにアクセスする必要があります

18 よくある質問 (データセンターセキュリティ編) Q. A. AWSのデータセンターの立地について教えてください AWSのデータセンターは環境リスクに対する物理的な保護を組み込んでいます AWSのサービスは複数の地理的リージョン内および複数のアベイラビリティーゾーンにわたってデータを保存する柔軟性をお客様に提供していますお客様は複数のリージョンやアベイラビリティゾーンを活用可能な利点を考慮し AWSの利用について設計する必要があります詳細については ISO 27001規格の附属書A ドメイン 9.1およびAWS SOC 1 Type IIレポートを参照してください Q. A. AWSのデータセンターの電気設備について教えてください個別の無停電電源装置(UPS)やオンサイトのバックアップ生成施設に加えシングルポイントの障害の可能性を減らすために別々の電力供給施設から異なる配管網を経由して個別に電力供給を行っていますこれらはすべて冗長的に複数の Tier-1 プロバイダーに接続されています顧客は AWS の使用量を計画しながら複数のリージョンやアベイラビリティーゾーンを利用する必要があります複数のアベイラビリティーゾーンにアプリケーションを配信することによって自然災害やシステム障害などほとんどの障害モードに対してその可用性を保つことができますデータセンターの電力システムは完全に冗長性をもち運用に影響を与えることなく管理が可能となっています１日24時間体制で年中無休で稼動しています施設内で重要かつ不可欠な負荷に対応するために電力障害時には無停電電源装置(UPS)がパックアップ電力を供給していますデータセンターは発電機を使用して施設全体のバックアップ電力を供給しています

19 よくある質問 (データセンターセキュリティ編) Q. A. AWSのデータセンターの空調について教えてください空調と温度サーバーその他のハードウェアの運用温度を一定に保つために空調制御が必要ですこれによって過熱を防ぎサーバー停止の可能性を減らすことができますデータセンターは大気の状態を最適なレベルに保つように設定されています作業員とシステムが温度と湿度を適切なレベルになるよう監視してコントロールしています Q. A. AWSのデータセンターの建物の耐震性について教えてください Amazonのデータセンターは最新式で革新的で建築的かつ工学的アプローチを採用しています Amazonは大規模データセンターの設計構築運用において長年の経験を有していますこの経験は AWSプラットフォームとインフラストラクチャに活かされています Q. A. AWSのデータセンターの防災設備について教えてください火災検出と鎮火自動火災検出および鎮火装置が取り付けられリスクを軽減していますこの火災検出システムは全データセンター環境機械的及び電気的インフラストラクチャースペース冷却室および発電機設備室において煙検出センサーを使用していますこれらのエリアは充水型二重連結予作動式またはガス式スプリンクラーシステムによって守られています

20 ネットワークセキュリティ Distributed Denial of Service (DDoS)対策中間者攻撃対策 IPなりすまし対策許可されていないポートスキャニング対策 AWSサービス利用規約違反に該当検出され停止されブロックされるパケットの盗聴対策プロミスキャスモードは不許可ハイパーバイザレベルで防御 AWSコンプライアンスリスクとコンプライアンスホワイトペーパー

顧客が生成したキーペアを使用 AWSコンプライアンス http://aws.amazon.

21 論理的なセキュリティハイパーバイザーホストOS 承認を受けたAWS管理者の拠点ホストからの個別のログイン特別に設計構築設定された管理ホスト多要素認証の利用全てのアクセスをロギングし監査作業完了後システムへの特権とアクセス権の削除ゲストOS EC2インスタンスお客様による完全なコントロール顧客が生成したキーペアを使用 AWSコンプライアンスリスクとコンプライアンスホワイトペーパー

従業員アカウントの管理従業員の雇用雇用前審査の一環として適用法令が認める範囲での犯罪歴の確認 Amazonリーガルによる機密保持契約書の管理従業員はアクセス権を付与される前に機密保持契約書に署名入社時研修の一環として利用規定及びAmazon業務行動倫理規定への同意アカウント管理人事管理システムのプロセスの一環として一意のユーザー IDを作成最小権限の適用

22 従業員アカウントの管理従業員の雇用雇用前審査の一環として適用法令が認める範囲での犯罪歴の確認 Amazonリーガルによる機密保持契約書の管理従業員はアクセス権を付与される前に機密保持契約書に署名入社時研修の一環として利用規定及びAmazon業務行動倫理規定への同意アカウント管理人事管理システムのプロセスの一環として一意のユーザー IDを作成最小権限の適用最小権限を越えるアクセスには適切な認証少なくとも四半期ごとのアカウントの確認 90日間アクティビティがないアカウントの自動的無効化従業員の記録が人事システムから削除されるとアクセス権も自動的に削除 AWSコンプライアンスリスクとコンプライアンスホワイトペーパー

データセキュリティデータの所有権と管理権はお客様にデータとサーバーを配置する物理的なリージョンはお客様が指定 AWS は法令遵守または政府機関の要請によりやむをえない場合を除きお客様のコンテンツを指定されたリージョンから移動しない法令または政府機関もしくは規制当局による有効かつ拘束力のある命令を遵守するために必要な場合を除きお客様のコンテンツを開示することはない

23 データセキュリティデータの所有権と管理権はお客様にデータとサーバーを配置する物理的なリージョンはお客様が指定 AWS は法令遵守または政府機関の要請によりやむをえない場合を除きお客様のコンテンツを指定されたリージョンから移動しない法令または政府機関もしくは規制当局による有効かつ拘束力のある命令を遵守するために必要な場合を除きお客様のコンテンツを開示することはないそうすることが禁止されている場合または Amazon の製品もしくはサービスの利用に関連した違法行為の存在を明確に示すものがある場合を除きお客様が開示からの保護を求められるようカスタマーコンテンツの開示に先立ってお客様に通知 AWSでは S3 EBS EC2 などほぼすべてのサービスについてお客様が独自の暗号化メカニズムを使用することを許可サーバーサイド暗号化クライアントサイド暗号化鍵の保管管理方法等 AWSデータプライバシーのよくある質問リスクとコンプライアンスホワイトペーパー

24 ストレージの廃棄プロセス顧客データが権限のない人々に流出しないようにするストレージ廃棄プロセスを保持 DoD M National Industrial Security Program Operating Manual 国立産業セキュリティプログラム作業マニュアル NIST Guidelines for Media Sanitization メディア衛生のためのガイドライン ) 上記の手順を用いハードウェアデバイスが廃棄できない場合デバイスは業界標準の慣行に従って消磁するか物理的に破壊する AWSコンプライアンスリスクとコンプライアンスホワイトペーパー

25 AWSは主要な規制/標準 / ベストプラクティスに準拠 AWSコンプライアンスリスクとコンプライアンスホワイトペーパー

金融機関向け Amazon Web Services対応セキュリティリファレンス 2013年10月 FISC安全対策基準第8追補版へのAWSの準拠状況を調査した資料を SI/ISV ８社(現在は9社)が共同で調査して一般公開 AWSと利用者で責任分担することで FISC安対基準を満たせるとの見解を一般公開 http://aws.amazon.

26 金融機関向け Amazon Web Services対応セキュリティリファレンス 2013年10月 FISC安全対策基準第8追補版へのAWSの準拠状況を調査した資料を SI/ISV ８社(現在は9社)が共同で調査して一般公開 AWSと利用者で責任分担することで FISC安対基準を満たせるとの見解を一般公開安心安全かつ機動性の高い金融サービスの実現システム構築運用金融事業者 (銀行証券保険等) クラウドを活用したシステム支援各金融事業者のセキュリティ指針監査指針 TrendMicro FISC 安全対策基準設備 138項目運用 115項目技術 53項目 SCSK ISID NRI TIS MKI Amazon Web Services対応セキュリティリファレンス各基準に対応サマリー版詳細版 CAC 調査対応案検討作成/ 更新セキュリティ対応調査協力 Amazon Web Services

27 AWSセキュリティセンターとAWSコンプライアンス aws.amazon.com/jp/security aws.amazon.com/jp/compliance セキュリティやコンプライアンスに関する多くの質問に対する回答セキュリティ Whitepaper リスクとコンプライアンス Whitepaper セキュリティプロセス概要 Whitepaper Security at Scale whitepaper シリーズ Security bulletins 侵入テスト申請フォーム Securityベストプラクティス詳しい情報のお問い合わせ先

28 コンプライアンス情報の使いどころ AWS利用者のセキュリティ評価チェックシートの回答等に利用 AWSの内部に関する統制状況は基本的にホワイトペーパーや SOC1/2 PCI等の NDAベースで提供している情報から評価公開されている情報で直接的に確認項目に回答されていないものも提供されている情報によりリスクを評価いただくことで問題がないかどうか検討または多層的なコントロールを考えることでその確認項目に関するリスクを許容できるものにできるか検討それでも許容できないリスクが残る場合はAWSにご相談を

29 リスクとコンプライアンスホワイトペーパー AWSのお客様がIT環境をサポートする既存の統制フレームワークにAWSを統合する際に役立つ情報を提供 AWS の統制の評価に関する基本的なアプローチについて説明し統制環境の統合の際に役立つ情報を提供内容リスクとコンプライアンスの概要これらの章に書かれている内容が AWSにどのような統制があり AWS統制の評価と統合どのような運用をしているかの AWSリスク及びコンプライアンスプログラム主要な情報源になります AWS の報告認定およびサードパーティによる証明コンプライアンスに関するよくある質問と AWS AWS へのお問い合わせ付録 A: CSA Consensus Assessments Initiative Questionnaire v1.1 付録 B: 米国映画協会 MPAA コンテンツセキュリティモデルに対する AWS の準拠状況付録 C: オーストラリア信号局 (ASD) のクラウドコンピューティングに関するセキュリティ上の考慮事項への AWS の準拠付録 C: 用語集

AWS Compliance 詳細情報英語のサイトの情報もご確認ください http://aws.amazon.com/compliance/?

30 AWS Compliance 詳細情報英語のサイトの情報もご確認ください各種保証プログラムや重要項目に関するFAQ 公開資料 PCI DSS ISO27001/27017/27018/9001 CSA Data Privacy/EU Data Protection SOC FedRAMP HIPAA GxP DoD Compliance Latest News ダウンロード可能な認証 AWS ISM Letter of Compliance AWS ISO 27001/27017/27018/9001 Certification Multi-Tier Cloud Security Standard Level-3 (CSP) Certification AWS SOC 3 Report

31 お客様の責任範囲お客様の責任範囲各種AWSによるマネージドセキュリティツール

お客様の責任範囲の整理 AWS IAM Network manageme nt AWS account owner (master) Security Server manageme manageme nt nt AWS CloudTrail AWSはお客様固有の要件に適合するソリューションの選択を可能にする柔軟性とお客様による統制が可能な環境を提供いたします Storage

32 お客様の責任範囲の整理 AWS IAM Network manageme nt AWS account owner (master) Security Server manageme manageme nt nt AWS CloudTrail AWSはお客様固有の要件に適合するソリューションの選択を可能にする柔軟性とお客様による統制が可能な環境を提供いたします Storage manageme nt Amazon EC2 Security Group Encryption お客様の責任範囲 Operational Check List AWS Security Best Practice Auditing Security Check List Security At Scale Governanc e In AWS ネットワーク管理論理アクセスコントロールログ管理データ保護脆弱性対策変更管理リソース監視ビジネス継続性 ETC

33 AWSのセキュリティツール機能お客様のアプリケーションコンテンツお客様の責任範囲ネットワークセキュリティサーバー(OS) セキュリティデータセキュリティアクセスコントロール AWSとAWSのパートナーは 700以上のセキュリティサービスやツール機能を提供既存の環境で実施していたことと同等もしくはそれ以上のコントロールを実現可能です

34 サーバー(OS) セキュリティ OSの選択とハードニングインスタンスサイズ OSの選択もお客様が柔軟に構成可能標準的なOSのハードニングガイドとテクニックを活用最新のセキュリティパッチの適用ユーザー管理ホストベースの防御策の適用を考慮 Whitelisting and integrity ホストベースの防御製品をプリインストール管理ソフトやSEIM等との接続設定の組み込みマルウェア IDS, IPS 脆弱性管理監査とログ取得管理者権限やユーザー管理インスタンスの開始 AMIカタログハードニングと構成必要最小限のアクセスパスワードや認証の管理 OS EC2 インスタンスの起動インスタンス構成お客様の独自インスタンス

35 Amazon Inspector 自動化されたホストのセキュリティ診断サービス診断対象のインスタンスにエージェントをインストールした後に Inspector を起動して利用する API で制御できるので開発プロセスの中に組み込むことで均質なセキュリティ診断を自動的に実行できる内容についてはルールセットにより制御が可能 (PCI DSS にも対応 )

36 ネットワークセキュリティお客様専用の仮想ネットワークを構築可能サブネットとルーティングによるセグメンテーション組み込まれたFirewall機能の利用商用製品の利用も可能 VPC オンプレ環境とのVPN 専用線接続 Peering 他VPCとPeering接続機能 CIDR : /8 CIDR : /16 インターネット NACL NACL 社内システム SG SG Public Subnet /24 Private Subnet /24 CGW VGW IPSec VPN or 専用線 Subnet /24

論理的アクセスコントロール AWS Identity and Access Management (IAM) AWSサービスとリソースへの厳格なアクセスコントロールが可能アカウントごとのユーザとグループの作成 AWSマネージメントコンソールのユーザログオンサポートセキュリティクレデンシャルアクセスキーログイン/パスワード多要素認証デバイス(オプション) Network

37 論理的アクセスコントロール AWS Identity and Access Management (IAM) AWSサービスとリソースへの厳格なアクセスコントロールが可能アカウントごとのユーザとグループの作成 AWSマネージメントコンソールのユーザログオンサポートセキュリティクレデンシャルアクセスキーログイン/パスワード多要素認証デバイス(オプション) Network management AWS APIを使ったアクセスコントロールポリシー API コールは以下のサインどちらかが必須: X.509 certificate シークレットキー幾つかのサービスではより厳格なインテグレーション S3: オブジェクト及びバケット毎のポリシー設定 AWS account owner (master) Security management Server management Storage management

利用者へのIAM権限付与の例特定のタグがついたEC2の停止/削除権限 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:startinstances", API単位でのコントロール "ec2:stopinstances", "ec2:rebootinstances" ],

38 利用者へのIAM権限付与の例特定のタグがついたEC2の停止/削除権限 { "Version": " ", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:startinstances", API単位でのコントロール "ec2:stopinstances", "ec2:rebootinstances" ], "Condition": { "StringEquals": { "ec2:resourcetag/systemname": system-name" } }, "Resource": ["*"] }, { "Effect": "Allow", "Action": ["ec2:describe*"], "Resource": ["*"] } ] } ポリシー作成を支援する機能も充実事前定義されAWSが管理してくれるAWS管理ポリシー IAMポリシーの作成ツール IAMポリシーのシミュレーションツール IAMポリシーの文法チェック

39 構成変更管理インベントリ AWSサービスのリソースに関する情報は管理コンソール上に集約され確認が可能資産情報を分類するためのタグ情報も付与可能ですこれらの情報をAPIにより取得することもできます

40 構成変更管理インベントリ AWS Configにより AWSサービスのリソースに関係する変更を時系列で表示し加えられた変更の追跡と把握を行うことが可能お互いに密接な関係にあるリソースインスタンスやサーバーに適用されたパーミッション Amazon EC2インスタンスにアタッチされた Amazon EBSボリューム Amazon EC2インスタンスに構成されたネットワークインターフェース VPCやそのサブネットに配置されたインスタンス

データセキュリティ AWSではAWSのサービス側で暗号化を行うServer Side

Encryption CSE の他に暗号鍵の保管の仕方等要件に応じた様々な方法を選択

CloudHSM CSE EBS 仮想Disk 〇〇 N/A 〇 S3 オブジェクトストレージ

〇 Oracle 〇 Redshift DWH 〇〇〇〇 ElastiCache

41 データセキュリティ AWSではAWSのサービス側で暗号化を行うServer Side Encryption SSE やクライアント側で行うClient Side Encryption CSE の他に暗号鍵の保管の仕方等要件に応じた様々な方法を選択することが可能 AWSサービス機能 SSE SSE with KMS SSE with CloudHSM CSE EBS 仮想Disk 〇〇 N/A 〇 S3 オブジェクトストレージ〇〇 N/A 〇 Glacier アーカイビング〇 N/A N/A 〇 RDS RDBMS 〇〇 Oracle 〇 Redshift DWH 〇〇〇〇 ElastiCache インメモリキャッシュ N/A N/A N/A 〇 DynamoDB NoSQL DB N/A N/A N/A 〇上記の表内のAWSサービスは一例です RDS

AWS Key Management Service AWS KMS AWSでは暗号鍵を管理する鍵管理環境を提供 Customer Master Key(s) 暗号鍵の作成管理運用サービス暗号鍵の可用性機密性を確保暗号鍵の有効化無効化ローテーションをサポート S3, EBS,

Amazon Redshift Cluster Custom Application サポートしているサービス 2016/3現在 Category Supported Services Database Redshift, RDS Storage and Content Delivery

42 AWS Key Management Service AWS KMS AWSでは暗号鍵を管理する鍵管理環境を提供 Customer Master Key(s) 暗号鍵の作成管理運用サービス暗号鍵の可用性機密性を確保暗号鍵の有効化無効化ローテーションをサポート S3, EBS, Redshift等のAWSサービスにおけるデータを暗号化 SDKとの連携でお客様の独自アプリケーションデータを暗号化低コストで使用可能 Data Key 1 Data Key 2 Data Key 3 Data Key 4 Amazon S3 Object Amazon EBS Volume Amazon Redshift Cluster Custom Application サポートしているサービス 2016/3現在 Category Supported Services Database Redshift, RDS Storage and Content Delivery S3, EBS, Import/Export, Snowball Application Services Elastic Transcoder, SES Enterprise Applications WorkMail, WorkSpaces Management Tools CloudTrail

43 AWS CloudHSM AWS サービスおよびリソースへのアクセスを安全にコントロール AWSクラウド内のお客様専用ハードウェアセキュリティモジュール(HSM)アプライアンス SafeNet LunaSA7000 暗号化キーやHSMによって実行される暗号化操作を管理情報セキュリティ国際評価基準(Common Criteria EAL4+)および米国政府規制基準 (NIST FIPS 140-2)に準拠 CloudTrailやsyslogの使用によるコンプライアンス監査サポートされているリージョン米国東部バージニア北部米国西部オレゴン米国Govクラウド欧州アイルランド欧州フランクフルトアジアパシフィックシドニーアジアパシフィック東京アジアパシフィックシンガポール SSL App HSM Client CloudHSM Virtual Private Cloud AWS VPC インスタンス

AWS Shield マネージドDDoS プロテクションサービス無償版のStandard Protectionと有償版のAdvanced Protectionを提供 Shield Standard (for everyone) ネットワークフローモニタリングによるクイック検知一般的なL3/L4レイヤーへのアタックからのプロテクション機能パケットフィルター優先度をつけたトラフィック

44 AWS Shield マネージドDDoS プロテクションサービス無償版のStandard Protectionと有償版のAdvanced Protectionを提供 Shield Standard (for everyone) ネットワークフローモニタリングによるクイック検知一般的なL3/L4レイヤーへのアタックからのプロテクション機能パケットフィルター優先度をつけたトラフィックシェーピング等の技術を使いアプリケーションへの影響を与えず攻撃を軽減全リージョンにて利用可能 Shield Advanced 大規模かつ洗礼された攻撃に対する包括的なプロテクションを実施 CloudFront, Route53, ELBにて利用可能 AWS WAFの利用費用も含まれL7レイヤーも対応アドバンスなL3/L4レイヤーへのアタックからのプロテクション機能ほぼリアルタイムでCloudwatchへ分析情報を通知 24x7 連絡可能なDDoS Response Teamによるスペシャルサポート ELB CloudFront Route53でのDDoSに対するコストプロテクションバージニアオレゴンアイルランド東京リージョンにて利用可能年契約による$3,000/月とデータ転送コスト

com/jp/waf/ CloudFront経由の外部からのアクセスの制御以下の内容でアクセスのOn/Off制御が可能ソースIPアドレスレンジ URI HTTPヘッダ HTTPメソッド

45 AWS Web Application Firewall (WAF) AWS CloudFront経由での外部からのHTTPアクセスの防御特徴ルール抵触リクエスト S3 CloudFront経由の外部からのアクセスの制御以下の内容でアクセスのOn/Off制御が可能ソースIPアドレスレンジ URI HTTPヘッダ HTTPメソッド SQL構文 XSS 価格体系 CloudFront 正当なリクエスト EC2 ACL AccessControlList ごとに５ドル/月 ACL内で設定されるルールごとに１ドル/月１００万リクエストごとに０６ドル CloudFront利用料はEC2のDL金額と同等かそれ以下となります

46 監視監督 CloudTrailでAWSのサービスに対する各種APIログを取得可能 APIを呼び出した身元 Who APIを呼び出した時間 When API呼び出し元のSource IP Where 呼び出されたAPI What APIの対象となるAWSリソース What 管理コンソールへのログインの成功失敗

47 監視監督 CloudWatch LogsでOS上の各種ログやVPC Flow LogsといったAWSのログも収集監視 Log Agent Log Agent Amazon Linux Ubuntu Log Agent Log Agent OSにはLog Agentの導入が必要です CloudWatch Logsにログをためます Kinesis CloudWatch Logs フィルターなどを使いログの監視 Windows 閾値を超えた場合はAlarm をあげます Red Hat Linux VPC Flow Log CloudWatch Metrics CloudWatch Alarm SNS

48 監視監督利用者のAWS環境をAWSのベストプラクティスを元に評価するTrusted Advisorを用いて原因が把握されていない未達のチェック項目がないか確認をしてください Notificationの設定も行うことができます 2013年よりサービス開始コスト最適化セキュリティ可用性パフォーマンスの４つのカテゴリから AWSの利用状態を評価 170万のベストプラクティス 3億ドルを超えるコスト削減を通知 2014/7/31より 47のチェック項目中 4項目をすべてのユーザに開放

49 最新のトレンドまとめ

Management Key Management Service Directory Service https://aws.amazon.

50 Security by Design (SbD) AWS アカウントの設計の規格化セキュリティ制御の自動化および監査の合理化のためのセキュリティ保証アプローチセキュリティを遡及的に監査するのではなく AWSのIT管理プロセス全体にセキュリティ制御を組み込む Identity & Access Management Key Management Service Directory Service Trusted Advisor CloudWatch Cloud HSM CloudTrail Config Rules

51 SbDのアプローチ 1. 要件を把握する 1.2 AWSに移すワークロードの識別 1.1 ステークホルダーの確認 2. セキュリティ要件の分析と文書化 2.1 セキュリティ要件の整理 3. 環境構築と自動化監視 3.1 セキュリティアーキテクチャーの構築 2.2 データ保護と統制の定義 3.2 運用の自動化 4. 検証と監査 4.1 監査と認証 2.3 セキュリティアーキテクチャーの文書化 3.3 継続的な監視 3.4 テスト

52 セキュリティ関連の運用自動化 CloudFormationを用いてセキュリティ要件を満たす設計をテンプレート化必要となるセキュリティの設定や利用インスタンスリソースをパッケージ化 Service Catalogを利用した環境の展開設計パッケージ化制限展開 CloudFormation Stack Identity & Access Management Service Catalog パーミッション Template Stack インスタンスリソース Apps Stack Products Portfolios

53 継続的な監視 Service Type Cloud Trail Use cases APIログの取得 AWS環境の操作に関するログの取得 Cloud Watch リソースログ監視 AWSサービスのリソース監視と各種ログの収集モニタリング AWS Config 変更管理 AWSサービスの変更記録とトラッキングオンデマンドの評価 EC2インスタンス内に導入されるOS アプリケーションのセキュリティ分析 Config Rules 継続的な評価変更による誤設定検知ベストプラクティスの維持脆弱性の検知 Trusted Advisor 定期的な評価コストパフォーマンス信頼性セキュリティの観点からの広範な調査 Inspector AWS Security and Compliance お客様の責任範囲をサポートするサービス群 AWSの責任範囲

54 SbDの狙い権限のないユーザーの変更を防止する強制的な機能を作成制御を確実に実行できるようにする継続的でリアルタイムな監査を実現お客様のガバナンスポリシーを技術的にスクリプト化結果としてセキュリティ要件を満たす環境の構築を自動化 Automate Governance Automate Deployments Automate Security Operations Continuous Compliance & Audit Reporting

55 まとめ責任共有モデルに基づき AWSが基盤のセキュリティ統制を実施 AWS上に構築するシステムの構成設定に関するセキュリティ統制はお客様の責任により実施 AWSはお客様を助ける様々なセキュリティ関連機能を提供更に固有のセキュリティ要件がある場合は APNパートナーの製品の利用も検討自動化やAPIによる制御といったAWSの特性をセキュリティやコンプライアンスにも活かすことで効果的な統制環境を構築

56 セキュリティコンプライアンス情報 AWS Securityページ AWS Complianceページ

2014 QBR: Campaign Marketing

2014 QBR: Campaign Marketing AWS 初心者向け Webinar AWSにおけるセキュリティとコンプライアンス 2016 / 03 / 15 アマゾンウェブサービスジャパン株式会社プロフェッショナルサービス本部高田智己ご質問を受け付け致します質問を投げることができます Adobe Connect のチャット機能を使って質問を書き込んでください書き込んだ質問は主催者にしか見えません最後の Q&A の時間で可能な限り回答させていただきます