日 本 国 内 で 利利 用が 拡 大 中 のAWSサービス のご 紹 介 とセキュリティの 考 え 方 2015 8 7 アマゾン データサービス ジャパン 株 式 会 社 エコシステム ソリューション 部 部 長 松 本 大 樹
Amazon?
創 業 当 時 のアマゾン ECサイト amazon.com, 1995
Amazonのビジネスの基幹システムを支える技術 = Amazon Web Services
AWSはアマゾンのビジネス課題を 解決するために 生まれた API
新 世 代 のインフラを エンタープライズの 世 界 に 持 ち 込 んだAmazon 現 在 は?
DCマイグレーション: 丸 紅 様 本 社 だけでなく 全 世 界 のグループ 会 社 も 含 めて 基 幹 システ ム/グループクラウドをAWSに 移 行行 初 期 250 台 今 後 グループ 内 2,000サーバを AWSへ DRも 自 動 化 セキュリティについては ガートナー 社 がア セスメントを 担 当 自 社 利利 用よりも 良良 い との 評 価 オンプレミスと 比 較 して 5 年年 で40%の 削 減 効 果 を 見見 込 む http://itpro.nikkeibp.co.jp/article/ncd/20140213/536457/ 8
日 本 通 運 様 " 1 年年 にわたるRFI/RFPを 経 て クラウド 基 盤 としてAWSの 採 用を 決 定 12 社 のベンダーより 選 定 " AWSプロフェッショナルサービスを 活 用して AWSを 活 用した 日 通 クラウド と してのカタログ 作 成 や プロジェクト 支 援 を 実 施 " クラウド 活 用により オンプレミスの 更更 新 と 比べて 最 大40%のコスト 削 減 効 果 " 2019 年年 に 向 けて 全 システムをパブリッククラウドに 移 行行 予 定 9
株式会社ローソン様 業務系システムのAWSへの全 面移 行行 店舗 基幹系 本部 EC 電 子商取引 系 含めて 15 17のシステムで検討もしくは 既にAWSの利利 用を開始 本番環境におけるEC2の利利 用インスタンス 仮想サーバー 数は200 500 2016 2018年年にかけて SCM サプラ イ チェーン マネジメント とCRM 顧 客関係管理理 を統合した次世代基幹系シス テムをAWS上に構築し 本部系から店舗系 までの各システムも順次AWSに移 行行する 方 針を打ち出していた
導入事例: 株式会社ファーストリテーリング様 年率20%の成長とグローバ ル展開に対応できるスケーラ ビリティー 100以上のアプリを1,300以 上のEC2インスタンスを稼働 200億/月のリクエスト ピークでは10万 request/sec 45 Gbpsのデータ流量 グループ執行役員 CIO 玉置 肇様 11 出来るだけ早い段階で基幹 システムもAWS上へ持って 行きたい http://aws.amazon.com/jp/solutions/case-studies/fast-retailing/
190 20,000
数 字 が 示す クラウド 利利 用 への 流流 れ IT 投 資 全 体 は 横 ばい ~ 減 少 傾 向 2014 年年 国 内 IT 市 場 規 模 は 14 兆 1,584 億 円 前 年年 比 成 長 率率率 0% 出 展 :IDC Japan: http://www.idcjapan.co.jp/press/current/20140130apr.html クラウド 利利 用は 右 肩 上 がり 2012 年年 ~2017 年年 の 年年 間 平 均 成 長 率率率 は27.8% 2017 年年 の 市 場 規 模 は2012 年年 比3.4 倍 の3,178 億 円 出 展 :IDC Japan: http://www.idcjapan.co.jp/press/current/20130401apr.html
Cloud Has Become The New Normal クラウドは 今 やニューノーマルに
AWS (Amazon Web Services)とは?
AWS(Amazon Web Services)の 歴 史 " 2006 年年 " 2009 年年 " 2011 年年 3 月 " 現 在 米 国 で クラウドストレージ=Amazon 1 S3 クラウド 仮 想 サーバ=Amazon EC2のサービスを 開 始 仮 想 プライベートクラウドサービス=Amazon 1 VPC RDBMSサービス=Amazon RDSを 開 始 世 界 で5 番 目のリージョンとして 1 日 本 に 東 京 リージョン(データセンタ 群 )を 開 設 世 界 10か 所 のデータセンター 群 と 50 拠 点 を 超 えるエッジロケーション 1 網 で 30を 超 えるサービスを 提 供 中 16
世 界 中 に 広 がるAWSの 拠 点 11 のリージョン(データセンター 群 ) 1. US EAST (Virginia) 2. US WEST (N. California) 3. US WEST 2 (Oregon) 4. EU WEST (Ireland) 5. JAPAN (Tokyo) 6. South America (Sao Paulo) 7. ASP 1 (Singapore) 8. ASP 2 (Sydney) 9. GovCloud 10. BJS 1 (Beijing China) limited preview 11. EU (Frankfurt) <NEW> データ 保 管 先 を 明 示 的 に 指 定 できます 17
100 万 を 超 える アクティブユーザー 2008 2009 2010 2011 2012 2013 2014 Active customer is defined as a non-amazon customer with AWS account usage activity in the past month, including the free tier
お 客 様 のフィードバックに 基 づく イノベーションのペース 累累 計 で900 近 いサービスと 新 機 能 の 紹 介 40 以 上 のメジャーなサービス 発 表 通 算 47 回 を 超 える 価 格 改 定 +24 Amazon EBS Amazon CloudFront +48 Elastic Load Balancing Auto Scaling Amazon VPC Amazon RDS +61 Amazon SNS AWS Identity & Access Management Amazon Route 53 2008 2009 2010 2011 +82 Amazon SES AWS Elastic Beanstalk AWS CloudFormation Amazon ElastiCache AWS Direct Connect GovCloud +159 AWS Storage Gateway Amazon Dynamo DB Amazon CloudSearch Amazon SWF Amazon Glacier Amazon Redshift AWS Data Pipeline 2012 +280 Amazon Elastic Transcoder AWS OpsWorks Amazon CloudHSM Amazon AppStream Amazon CloudTrail Amazon WorkSpaces Amazon Kinesis 2013 +516 2014 Frankfurt Region AWS Directory Service Amazon Cognito Amazon Mobile Analytics Amazon Zocalo Amazon EC2 New Instances T2 R3
AWSが提供する40以上のサービス Support Professional Services Partner Ecosystem Training & Certification Virtual Desktop Analytics Hadoop Real-time Streaming Data Identity Management Compute (VMs, Auto-scaling & Load Balancing) Account Management Sharing & Collaboration App Services Developer Tools & Operations Queuing & Notifications Transcoding Deployment Resource Templates Workflow Email DevOps Containers Security & Pricing Reports Technical & Business Support Business Email Enterprise Applications Mobile Services Identity Sync Data Warehouse Data Pipelines Solutions Architects App Streaming Access Control Storage (Object, Block and Archival) Regions http://aws.amazon.com/jp/products/ Application Lifecycle Management Search Resource & Usage Auditing CDN Availability Zones Mobile Analytics Event-driven Computing Push Notifications Key Management & Storage Monitoring & Logs Databases Networking (Relational, NoSQL, Caching) (VPC, DX, DNS) Points of Presence Platform Services Administration & Security Core Services Infrastructure
Amazon EC2には 常に最新のインテルアーキテクチャーを採 用 Intel AES-NI パフォーマンスを犠牲にすることなく暗号化が可能 Intel AVX HPC ワークロードの 高並列列処理理で パフォーマンスが 飛躍的に向上 Intel Turbo Boost Technology コンピューティング速度度のクロックレートを引き上げ
コンサルテング パートナー (SI/MSP etc) : 101 テクノロジーパートナー (ISV/SaaS etc) : 123 日本電気株式会社 株式会社 サイバー コ ミュニケーショ ンズ ジェイズコミュニ ケーションズ株式 会社 日本電気株式会社 Direct Connect Partner
規 模 の 経 済 オンラインストレージ Amazon S3の 規 模 と 価 格 推 移 3 兆 個 以 上 S3の 価 格 推 移 20%DOWN 20%DOWN 13%DOWN 5%DOWN 28%DOWN 65%DOWN
Gartner Magic Quadrant for Cloud Infrastructure as a Service, Worldwide Gartner Magic Quadrant for Cloud Infrastructure as a Service, Worldwide, Lydia Leong, Douglas Toombs, Bob Gill, May 18, 2015. This Magic Quadrant graphic was published by Gartner, Inc. as part of a larger research note and should be evaluated in the context of the entire report. The Gartner report is available at http://aws.amazon.com/resources/analyst-reports/. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
セキュリティは 大 丈 夫? 本 当 に 大 丈 夫? やっぱり 不不 安 25
セキュリティは 大 丈 夫?(セキュリティの 考 え 方) =シェアード レスポンシビリティ モデル( 共 有 責 任 モデル) Webサイト/アプリケーション これまでと 同 様 の セキュリティを お 客 様 SI 様 で 実 現 = Your Apps インフラ 高レベルの セキュリティをAWSが 提 供 < 第 三 者 認 証 DC 電 源 専 用 線 ネットワーク 冗 長 化 26
セキュリティは 大 丈 夫? ( 物 理理 セキュリティ) Amazonは 数 年年 間 にわたり 大 規 模 なデータセンターを 構 築 重 要 な 特 性 : 場 所 の 秘 匿匿 性 周 囲 の 厳 重 なセキュリティ 物 理理 アクセスの 厳 密 なコントロール 2 要 素 認 証 を2 回 以 上 で 管 理理 者 がアクセス 完 全 管 理理 された 必 要 性 に 基 づくアクセス 全 てのアクセスは 記 録 され 監 査 対 象 となる 職 務 の 分 離離 物 理理 アクセス 可 能 な 従 業 員 は 論論 理理 権 限 にアクセス 不不 可 27 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ AWSのセキュリティとコンプライアンス http://www.slideshare.net/amazonwebservicesjapan/aws- 23722701
セキュリティは 大 丈 夫? (ネットワーク) Distributed Denial of Service (DDoS) 対 策 : 効 果 的 かつ 標 準 的 な 緩 和 対 策 を 実 施 中 間 者 攻 撃 対 策 : 全 エンドポイントはSSLによって 保 護 起 動 時 に 新 しいEC2ホストキーを 生 成 IPなりすまし 対 策 : ホストOSレベルで 全 て 遮 断 許 可 されていないポートスキャニング 対 策 : AWSサービス 利利 用 規 約 違 反 に 該 当 検 出 され 停 止され ブロックされる インバウンドのポートはデフォルトでブロックされているため 事 実 上 無 効 パケットの 盗 聴 対 策 : プロミスキャスモードは 不不 許 可 ハイパーバイザ レベルで 防 御 28 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ AWSのセキュリティとコンプライアンス http://www.slideshare.net/amazonwebservicesjapan/aws- 23722701
セキュリティは 大丈夫 データセキュリティ データを配置する物理理的なリージョンはお客様が指定 AWSは 法令令遵守等やむをえない場合を除き お客様のデー タを指定されたリージョンからお客様への通告なしに移動し ない 顧客データが 権限のない 人々に流流出しないようにするスト レージ 廃棄プロセスを保持 DoD 5220.22- M 米国国防総省省 方式 3回の書き込みでの消去を実施 固定値 補数 乱数 NIST 800-88 メディアサニタイズのための ガイドライン) 情報処分に対する体制 運営やライフサイクルに関するガイドライン 情報処分に対しする組織的に取り組み 上記の 手順を 用い ハードウェアデバイスが廃棄できない場合 デバイスは業界標準の慣 行行に従って 消磁するか 物理理的に 破壊する 29 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ AWSのセキュリティとコンプライアンス http://www.slideshare.net/amazonwebservicesjapan/aws- 23722701
セキュリティは 大 丈 夫?( 第 三 者 認 証 ) 高 度度 な 第 三 者 認 証 を 多 数 取 得 しています 30 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ AWSのセキュリティとコンプライアンス http://www.slideshare.net/amazonwebservicesjapan/aws- 23722701
セキュリティは 大 丈 夫?(グローバルインフラ) GovCloud (US ITAR Region) US West (Northern California) US West (Oregon) US East (Northern Virginia) South America (Sao Paulo) EU EU Asia Asia (Ireland) (Frankfurt) Pacific Pacific (Singapore) (Tokyo) Asia Pacific (Sydney) China (Beijing) AWS Regions AWS Edge Locations 2015/04 時 点 詳 細 http://aws.amazon.com/jp/about- aws/global- infrastructure/ 31
AWS GovCloud (US) 米 国 政 府 関 連 業 者 のみが 利 用 可 能 国 際 武 器 取 引 規 制 (ITAR)の 要 求 に 基 づき 米 国 市 民 のみがアクセスできる 環 境 を 提 供
Pace of Innovation : Security vs ALL as of 11/13/2014
VPC Security Group VPC 環 境 ではインターネットからのトラフィック(Inbound) をブロックするだけでなく EC2からのトラフィック (Outbound)を 制 限 する 事 も 可 能 です ステートフル Port 80 (HTTP) EC2 Instance Security Group Port 22 (SSH)
AWS 上 にプライベートのアドレス 空 間 を 作 成 し お 客 様 のインフラをAWS 上 に 延 長する VPN 接 続 専 用 線 リージョン EC2 VPC 内 に 分 離離 し たサブネットを 自 由 に 作 成 イントラ VPC プライベート サブネット パブリック サブネット ゲート ウェイ Internet VPN DX
VPC Peering 機 能 Web Server VPC 10.0.0.0/16 Pcx-12345 Web Server VPC 11.0.0.0/16 Destination Target 10.0.0.0/16 Local 11.0.0.0/16 pcx-12345 Destination Target 11.0.0.0/16 Local 10.0.0.0/16 pcx-12345
VPC Peering 構 成 例例 構 成 例例 についてはドキュメントを 参 照 http://docs.aws.amazon.com/amazonvpc/latest/peeringguide/peering-scenarios.html
金金 融 機 関 向 け Amazon Web Services 対 応 セキュリティリファレンス 2013 年年 10 月 FISC 安 全 対 策 基 準 ( 第 8 追 補 版 )へのAWSの 準 拠 状 況 を 調 査 した 資 料料 をSI/ ISV 8 社 が 共 同 で 調 査 して 一 般 公 開 AWSと 利利 用 者 で 責 任 分 担 することで FISC 安 対 基 準 を 満 たせるとの 見見 解 を 一 般 公 開 金 融 機 関 等 コンピュータシステムの 安 全 対 策 基 準 に 対 するAWSの 対 応 状 況 リスト http://aws.amazon.com/jp/aws- jp- fisclist/ 安 心 安 全 かつ 機 動 性 の 高 い 金 融 サービスの 実 現 金 融 事 業 者 ( 銀 行 証 券 保 険 等 ) FISC 安 全 対 策 基 準 設 備 :138 項 目 運 用 :115 項 目 技 術 : 53 項 目 クラウドを 活 用 したシステム 各 金 融 事 業 者 のセキュリティ 指 針 監 査 指 針 各 基 準 に 対 応 Amazon Web Services 対 応 セキュリティリファレンス サマリー 版 詳 細 版 システム 構 築 運 用 支 援 SCSK ISID NRI TIS MKI TrendMicro CAC 調 査 対 応 案 検 討 セキュリティ 対 応 調 査 協 力 作 成 / Amazon Web 更 新 Services
業 務 システムマイグレーション:ソニー 銀 行行 様 銀 行行 業 務 システム 社 内 業 務 システム 一 般 向 けシステムの 基 盤 としてAWS を 利利 用 ドキュメント 管 理理 管 理理 会 計 リスク 管 理理 などのシステムを 順 次 AWSへ セキュリティについて 詳 細 に 確 認 後 採 用を 決 定 クラウドセキュリティの 正 しい 理理 解 FISC 安 全 対 策 基 準 への 適 合 性 確 認 ソニー 銀 行行 独 自のシステムリスク 分 析 5 年年 で 約 37%のコスト 削 減 メリット 得 られた 導 入 効 果 拡 張 性 HW 保 守 対 応 HW 障 害 対 応 ライセンス 非 稼 働 時 コスト ピーク 時 コスト 見見 込 拡 張 コスト 耐 障 害 性 向 上 復復 旧 時 間 短 縮 BCP 対 応 39
セキュリティは 大 丈 夫?(セキュリティの 考 え 方) =シェアード レスポンシビリティ モデル( 共 有 責 任 モデル) Webサイト/アプリケーション これまでと 同 様 の セキュリティを お 客 様 SI 様 で 実 現 = Your Apps インフラ 高レベルの セキュリティをAWSが 提 供 < 第 三 者 認 証 DC 電 源 専 用 線 ネットワーク 冗 長 化 40
Palo Alto Networks and AWS グローバルレベルにて APNのテクノロジーパートナーとして 協 業 を 開 始!
Palo Alto Networks runs on AWS AWS Marketplaceか ら 簡 単 に 起 動 可 能! 一 時 間 単 位 で 使 える ライセンス 体 系! 世 界 中 のデータセン ターに 対 応!
AWS Partner SAブログでもご紹介
ご 静 聴 ありがとうございました