クラウドエンジニアが本音で語る！ NTTドコモはAWSのセキュリティをこう考えた

Size: px

Start display at page:

Download "クラウドエンジニアが本音で語る！ NTTドコモはAWSのセキュリティをこう考えた"

さみねぎたや
5 years ago
Views:

1 クラウドエンジニアが本音で語る! NTT ドコモは AWS のセキュリティをこう考えた福田俊介トレンドマイクロ株式会社プロダクトマーケティング本部 Deep Security 担当守屋裕樹様株式会社 NTT ドコモイノベーション統括部クラウドソリューション担当

2 守屋裕樹株式会社NTTドコモイノベーション統括部クラウドソリューション担当職歴福田俊介職歴年現在社内外パブリッククラウド利用コンサルティングドコモグループ内向け共通基盤 Deep Securityなど開発運用トレンドマイクロ株式会社プロダクトマーケティング本部法人製品マーケティング部第000893号 2015年現在サーバ向け製品 Deep Security のプロダクトマーケティングを担当 2018年からネットワーク型IPS製品 TippingPoint も担当 Copyright 2016 Trend Micro Incorporated. All rights reserved.

3 本日のAgenda ① NTTドコモが考える AWS セキュリティ ② トレンドマイクロが考える AWS セキュリティ ③ NTTドコモがTrend Micro Deep Securityを採用した理由 ④ NTTドコモはAWSとDeep Securityをどう使っているドコモ様のスライド 3 トレンドマイクロのスライド NEXT ドコモのAWS利用

4 NTTドコモのAWS利用の特徴 2012年から本格的に利用開始サービス系を中心に約400のAWSアカウントを運用中 CCoE Cloud Center of Excellence チームの存在 4 NEXT ドコモの社内体制

5 ドコモ社内体制 AWSを利用するプロジェクトプロジェクトA プロジェクトB コンサル提供提供問い合わせフィードバックノウハウ蓄積ドコモCCoEチームフィードバック事例ノウハウ反映プロジェクトC 個別問い合わせ連携サポート契約ガイドライン/テンプレート作成共通基盤開発運用 5 NEXT ドコモが考えるセキュリティポイント

6 ユーザとしてのAWS利用のポイント責任共有モデルは全てのベース重要なのは何を守りたいかチェックリストを埋めることがセキュリティ対策ではないチェックリストで記載されている対策事項の本質を考える守るべきものを守ることがセキュリティ対策ホワイトペーパーや第三者認証レポートにて AWSの統制や対策を確認 AWS Artifactの活用 6 NEXT ユーザの責任範囲ポイントは

7 ユーザが実施すべき対策ドコモの場合ソフトウェア脆弱性管理ウイルス対策ファイアウォール IDS/IPS 改ざん検知ネットワーク管理構成管理暗号化アクセス制御権限管理可用性/バックアップ監視 etc 7 AWSの機能で対策ガイドライン化テンプレート化ユーザ独自で対策どう対策する効率的な方法は NEXT トレンドマイクロはどう考える

8 AWS セキュリティ責任共有モデルクラウド内のセキュリティに責任具体的にはクラウドのセキュリティに責任 8 NEXT ユーザの責任範囲ポイントは

9 攻撃フェーズに合わせた対策 1.事前準備 2.初期潜入 3. バックドア設置ポートスキャン情報漏えい改ざん環境確認侵入脆弱性の悪用攻撃手法 4.侵入拡大ウイルス設置脆弱性探索アクセス権奪取情報漏えい改ざんポートスキャン攻撃手法 9 脆弱性探索脆弱性の悪用ウイルス設置環境確認侵入アクセス権奪取 NEXT AWSの機能だけで完結

侵入拡大情報漏えい改ざんユーザ認証 DB暗号化脆弱性対策多層防御 IDSによる疑わしい通信の検知変更監視コマンド実行検知遮断

10 攻撃フェーズに合わせた対策防御方法 1.事前準備 2.初期潜入コンプライアンス準拠パッチ適用 3. バックドア設置ウイルス対策 IPSによる脆弱性 C&C通信検知攻撃方法から見た防御のキーワードは攻撃通信の遮断脆弱性棚卸し 4.侵入拡大情報漏えい改ざんユーザ認証 DB暗号化脆弱性対策多層防御 IDSによる疑わしい通信の検知変更監視コマンド実行検知遮断大量の認証試行検知意図しないSQL文検知防御ポートスキャン攻撃手法 10 脆弱性探索脆弱性の悪用ウイルス設置環境確認侵入アクセス権奪取 NEXT AWSの機能だけで完結

AWSの機能サービスで完結する <AWSの機能でセキュリティを保てる範囲> AWS以外のサービスを利用する範囲セキュリティ診断アクセス制御ファイアウォールユーザー認証フォレンジックデータ暗号化 IAM Amazon Inspector AWS Direct Connect Amazon VPC AWS KMS Amazon CloudFront AWS WAF security

11 AWSの機能サービスで完結する <AWSの機能でセキュリティを保てる範囲> AWS以外のサービスを利用する範囲セキュリティ診断アクセス制御ファイアウォールユーザー認証フォレンジックデータ暗号化 IAM Amazon Inspector AWS Direct Connect Amazon VPC AWS KMS Amazon CloudFront AWS WAF security group AWSのセキュリティ機能を使って対策する範囲 AWS以外のサービスを利用する範囲セキュリティ診断フォレンジックアンチマルウェア IPS/IDS,WAF インシデントレスポンス AWS Config snapshot AWSが対策を実施している範囲 <AWSが責任を持つ範囲> AWS Trusted Advisor 11 AWS Shield 法規制対応物理冗長性施設ハイパーバイザーネットワークストレージサーバ NEXT ドコモトレンドマイクロの共通認識

12 NTTドコモトレンドマイクロの共通認識 AWSセキュリティのベースキーワード責任共有モデル ①AWSの機能で実装するもの ②セキュリティ製品サービスで対策するものこの2つを分けて考えて対策するセキュリティを考える時に気を付けたことは 12 NEXT ドコモが気を付けたこと

13 セキュリティ対策で避けたいこと AWSのベストプラクティスボトルネックを排除するスケールしやすい構成にするセキュリティ対策したらボトルネックが発生しパフォーマンスが低下 13 ユーザの腕の見せどころ!! セキュリティ対策したら密結合化してスケールしづらい構成に NEXT Deep Security採用理由①

14 Trend Micro Deep Securityの採用ホストインストール型のためネットワーク型に比べボトルネックになりづらい AutoScaling対応もされておりスケールに対応している AWS APIを利用した連携クラウドアカウントなどが可能 14 NEXT Deep Security採用理由②

15 Trend Micro Deep Securityでの対策ソフトウェア脆弱性管理ウイルス対策ファイアウォール IDS/IPS 改ざん検知ネットワーク管理構成管理暗号化アクセス制御権限管理可用性/バックアップ監視 etc 15 AWSの機能だけで対策しきれない部分を幅広くDeep Securityでカバー NEXT Deep Securityとは

16 Trend Micro Deep Securityとは Deep Security Manager 物理環境仮想環境クラウド環境 Deep Security Agent Deep Security Virtual appliance Deep Security Agent サーバを多層防御する総合サーバセキュリティ対策製品 16 NEXT Deep Securityの優位性

17 Deep Security on AWS 優位性守屋様より AutoScaling対応ボトルネックになりにくいホスト型 1. セキュリティ製品のスループットに依存しない 2. 万一障害時の影響もインスタンス単位 3. 必要な時に必要なだけ使える 17 AWS Management Console Deep Security Agent 増加したAgentを自動登録同期 Deep Security Manager NEXT 機能面以外にも採用理由が

18 事例の多さ AWS上でDeep Securityを導入した事例が多い調べると導入方法や設定方法などの情報がたくさん出てくるので参考にしやすい Deep Security AWS 18 検索 NEXT どんな事例がある

19 Deep Security on AWS導入企業一例 19 社名順不同 NEXT 市場シェアNO.1

20 Other Intel Symantec 30% MARKET LEADER in server security for 7 straight years! Source: 20 IDC, Securing Copyright the 2017 Server Trend Compute Micro Inc. Evolution: Hybrid Cloud Has Transformed the Datacenter, January 2017 #US NEXT:Gartner も認めた製品

21 16 of 21 Market Guide for Cloud Workload Protection Platforms controls! Trend Micro delivers the most cloud security controls of all security vendors evaluated Published: 22 March 2017 Analyst(s): Neil MacDonald 21 Copyright 2018 Trend Micro Inc. NEXT テクニカルサポート

22 トレンドマイクロのテクニカルサポートサポート体制に満足しています & メーカーのサポート /技術力があるため安心して顧客に提供できる数回利用しているが対応が丁寧で迅速であるサポートに安心感がある 2017年2月実施 Deep Securityユーザ向け利用実態調査より抜粋有償サポートの満足度(5点満点) 満足度:93.4% 満足度:90.8% 平均:4.69 平均: スタンダードサポートの満足度(5点満点) 年にお問い合わせいただいたサポートケースでご回答いただいたアンケートから抜粋 5 NEXT オンライン資料

html Deep Securityサポートページ https://success.trendmicro.

23 Deep Security オンライン資料 Deep Securityヘルプセンター Deep Security開発チームからの情報発信も含めた全世界共通のサポート情報ページ製品の使い方(管理者ガイド)が情報の中心 Deep Securityサポートページ日本のテクニカルサポートチームが作成しているサポート情報ページ日本のお客さまからのよくある質問などを FAQ化アップグレードガイドなどの各種手順書も公開 NEXT オンライン資料について

24 確かにオンライン資料は多いけど運用者にとって十分な情報ではないことも Deep Security アラート検索ユーザやSIerが書いているブログ記事が多数ヒット実運用に則して書かれているので分かりやすいことが多い 24 NEXT ドコモのセキュリティ運用

25 セキュリティの運用背景セキュリティポリシーはプロジェクト AWSアカウント単位運用もプロジェクト AWSアカウント単位運用者A 運用者B 別の運用体制 AWSアカウントA 25 運用者C 別の運用体制 AWSアカウントB AWSアカウントC 別の運用体制 NEXT ドコモのセキュリティ運用

26 対策すべきことドコモセキュリティ基準機密情報あり Webサーバありインターネット公開ありインターネット公開なし Start 機密情報なしインターネット公開ありインターネット公開なし WebサーバなしプロジェクトA Webサーバあり Webサーバなし WebサーバありプロジェクトB Webサーバなし Webサーバあり Webサーバなし 26 対策すべきことがプロジェクトによって異なる NEXT ドコモのセキュリティ運用

27 対策の実施方法 AWSアカウントA AWSアカウントB AWSアカウントC 運用支援運用支援運用パートナー様 A社ドコモ社員C ドコモ社員B ドコモ社員A 運用パートナー様 B社運用支援運用パートナー様 C社対策の実施方法がプロジェクトによって異なる 27 NEXT ドコモから皆さまへ

28 セキュリティの運用時のポイント対策レベルに合わせた対策各対策レベルに必要な対策ができること過度な対策を強いることで効率を損なわないこと対策方法の柔軟な選択各プロジェクトの特性に合わせた対策が実施できること何を守りたいかを意識して各プロジェクトで対策 28 NEXT Deep Securityどう使っている

29 Deep Security Manager共通基盤 DSM共通基盤グローバルIPアドレスを持たない状態でも NAT経由でDSMに接続可 ELB 接続先をスケールさせるため DSM-DSA間はインターネット接続 Internet NAT Gateway EC2 EC2 EC2 EC2 プロジェクトA 29 プロジェクトB プロジェクトC NEXT ドコモ AWSの方向性

30 今後のAWS活用ーAWSはビジネスを成功させる手段ー AWSの良さであるAgilityやScalabilityなどを損なうことなく AWSを使いこなすこれまで蓄積してきたノウハウを積極的に活用し効率化や自動化していく新しい技術やサービスは積極的に取り入れる 30 NEXT ドコモのノウハウ

31 ノウハウの活用共通基盤化ガイドラインクラウド開発ガイドラインセキュリティデザインパターンインシデント対応ガイドライン IAMデザインパターンシステム移行ガイドライン 31 1年目19万円/年 2年目以降10万円 NEXT Deep Securityの方向性

32 Trend Micro Deep Securityの方向性これまで AWSの使い方セキュリティの考え方ともに時代の最先端をゆきスタンダードを作ってきたNTTドコモ様あのドコモ様にご採用いただけるレベルの製品安心製品機能安定性市場シェアオンラインの情報(ブログなど) そしてこれから製品安定安心感だけではなく更にAWSとの親和性を高くセキュリティがAWS利用促進の妨げになってはいけない AWS連携強化セキュリティ自動化の推進 32 最適化 NEXT 最後にまとめ

Security を選んだ理由 1. ホスト型 ( ソフトウェア ) のためボトルネックになりづらい 2.

33 セキュリティで気を付けるポイント本日のまとめ AWSセキュリティのベースキーワード責任共有モデル脆弱性を利用した攻撃への対策 + 多様な攻撃手法に対応する仕組み AWSだけで足りない機能はセキュリティベンダーの製品サービスを利用 NTT ドコモ様が Deep Security を選んだ理由 1. ホスト型 ( ソフトウェア ) のためボトルネックになりづらい 2. AutoScaling 対応やAPI 連携などAWSとの高い親和性 3. AWSの機能では対策しきれない範囲を広くカバー Deep Security なら AWS のセキュリティも安心! 33

クラウドネイティブにセキュリティを活用する！API を連携して実装する方法

クラウドネイティブにセキュリティを活用する！API を連携して実装する方法クラウドネイティブにセキュリティを活用する API を連携して実装する方法トレンドマイクロ株式会社セキュリティエキスパート本部プリセールスSE部シニアエンジニア岩瀬由季 AWS におけるセキュリティ責任共有モデルお客様システムお客様の責任範囲ログコンテンツオペレーティングシステムミドルウェアアプリケーションネットワークお客様責任範囲のセキュリティ対策をお手伝いサーバストレージデータベースネットワーク