More Related Content Similar to AWS初心者向けWebinar AWSにおけるセキュリティとコンプライアンス (20) More from Amazon Web Services Japan (20) AWS初心者向けWebinar AWSにおけるセキュリティとコンプライアンス1. 2016 / 03 / 15
アマゾン ウェブ サービス ジャパン 株式会社
プロフェッショナルサービス本部
高田 智己
【 AWS 初心者向け Webinar 】
AWSにおけるセキュリティとコンプライアンス
3. AWS 初心者向け Webinar のご紹介
• AWS についてこれから学ぶ方むけの
ソリューションカットの Webinar です
• 過去の Webinar 資料
– AWS クラウドサービス活用資料集ページにて公開
http://aws.amazon.com/jp/aws-jp-introduction/
• イベントの告知
– 国内のイベント・セミナースケジュールページにて告知
http://aws.amazon.com/jp/about-aws/events/
(オンラインセミナー枠)
8. Amazon Web Services (AWS)
アマゾンの 3 つのビジネス
一般消費者様
向けサービス
セラー様向け
サービス
企業様向け
サービス
Eコマース
(Amazon.co.jp)
マーケットプレイス
物流サービス提供
(Amazon Services)
クラウド
コンピューティング
(Amazon Web Services)
イノベーションのペース
24 48 61 82
159
280
516
722
2008 2009 2010 2011 2012 2013 2014 2015
新規サービスのリリース
施設の拡充
お客様からのフィードバックを
基にした改善
世界に広がる AWS のインフラ
カリフォルニア
ダブリン
シンガポール
東京
オレゴン
バージニア
サンパウロ
リージョン
エッジローケーション
GovCloud
シドニー
フランクフルト
過去9年間で51回の値下げ
(2016年3月現在)
規模の拡大と
イノベーション
ソウル
北京
10. AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWS
グローバル
インフラストラクチャ リージョン
アベイラビリティ
ゾーン エッジ
ロケーション
ネットワーク
サーバー
セキュリティ
インベントリ
・構成管理
お客様のアプリケーション・コンテンツ
お客様自身で
クラウドを
コントロール可能
AWSが
クラウドの
セキュリティを
担当
データ
セキュリティ
アクセス
コントロール
AWS 責任共有モデル
11. AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWS
グローバル
インフラストラクチャ リージョン
アベイラビリティ
ゾーン エッジ
ロケーション
ネットワーク
サーバー
セキュリティ
インベントリ
・構成管理
お客様のアプリケーション・コンテンツ
お客様自身で
クラウドを
コントロール可能
お客様はこの部分の
統制に関してAWS
にオフロードするこ
とが可能。
データ
セキュリティ
アクセス
コントロール
AWS 責任共有モデル
14. AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWS
グローバル
インフラストラクチャ リージョン
アベイラビリティ
ゾーン エッジ
ロケーション
ネットワーク
セキュリティ
サーバー
(OS)
セキュリティ
お客様のアプリケーション・コンテンツ
お客様自身で
クラウドを
コントロール可能
お客様
データ
セキュリティ
アクセス
コントロール
AWS 責任共有モデル
Security
“OF”
the Cloud
16. Security
“OF”
the Cloud
Security “OF” the Cloud
業界における認定と独立したサードパーティによる証明を取
得します
AWS のセキュリティと統制に関する情報をホワイトペーパー
およびウェブサイトコンテンツで公表します
NDA に従いAWS のお客様に証明書、レポートなどの文書を
直接提供します
AWSは、お客様が使用するAWS サービスに関連した
統制、 およびそれらの統制がどのように検証されて
いるかをお客様にご理解頂くことを支援致します。
17. リージョン
US-WEST (N. California)
EU-WEST (Ireland)
ASIA PAC (Tokyo)
ASIA PAC (Singapore)
US-WEST (Oregon)
SOUTH AMERICA (Sao Paulo)
US-EAST (Virginia)
GOV CLOUD
ASIA PAC (Sydney)
シンガポール
シドニー
東京
アイルランド
サンパウロ
北カリフォルニア
オレゴン
バージニア
Gov Cloud
フランクフルト
EU-CENTRAL (Frankfurt)
北京
Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。
詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください
ASIA PAC (Seoul)
ソウル
Beijing
AWS グローバルインフラストラクチャー
18. アベイラビリティゾーン
アベイラビリティ・ゾーンによる可用性
US-WEST (N. California) EU-WEST (Ireland)
ASIA PAC (Tokyo)
ASIA PAC (Singapore)
US-WEST (Oregon)
SOUTH AMERICA (Sao Paulo)
US-EAST (Virginia)
GOV CLOUD
ASIA PAC (Sydney)
EU-CENTRAL (Frankfurt)
Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。
詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください
ASIA PAC (Seoul)
Beijing
19. DCレベルの障害対策
EU (Ireland)
Availability
Zone A
Availability
Zone C
Availability
Zone B
Asia Pacific (Tokyo)
Availability
Zone A
Availability
Zone B
US West (Oregon)
Availability
Zone A
Availability
Zone B
US West(Northern California)
Availability
Zone A
Availability
Zone B
Asia Pacific (Singapore)
Availability
Zone A
Availability
Zone B
Asia Pacific (Sidney)
Availability
Zone A
Availability
Zone B
South America (Sao Paulo)
Availability
Zone A
Availability
Zone B
US East (Northern Virginia)
Availability
Zone D
Availability
Zone C
Availability
Zone B
Availability
Zone A
EU (Frankfurt)
Availability
Zone A
Availability
Zone B
Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。詳細は
http://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください
Availability
Zone B
Asia Pacific (Seoul)
Availability
Zone A
Availability
Zone B
Beijing
Availability
Zone A
Availability
Zone B
US Gov Cloud
Availability
Zone A
Availability
Zone B
複数DC設置におけるAWSのポリシー
• 物理的に離れたデータセンター群
• 洪水を考慮
• 地盤が安定している場所
• 無停止電源(UPS)、バックアップ電源、異なる電源供給元
• 冗長化されたTier-1ネットワーク
20. • 場所の秘匿性
• 周囲の厳重なセキュリティ
• 監視カメラや侵入検知システム、24時間常駐の専門の保安要員によ
る物理アクセスの厳密なコントロール
• 完全管理された、必要性に基づくアクセス
• 2要素認証を2回以上で管理者がアクセス
• 全てのアクセスは記録され、監査対象となる
データセンターの物理セキュリティ
AWSコンプライアンス http://aws.amazon.com/jp/compliance/
リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
21. • Distributed Denial of Service (DDoS)対策
• 中間者攻撃対策
• IPなりすまし対策
• 許可されていないポートスキャニング対策
– AWSサービス利用規約違反に該当
– 検出され、停止され、ブロックされる
• パケットの盗聴対策
– プロミスキャスモードは不許可
– ハイパーバイザ―レベルで防御
ネットワークセキュリティ
AWSコンプライアンス http://aws.amazon.com/jp/compliance/
リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
22. • ハイパーバイザー(ホストOS)
– 承認を受けたAWS管理者の拠点ホストからの個別のログイン
– 特別に設計、構築、設定された管理ホスト
– 多要素認証の利用
– 全てのアクセスをロギングし監査
– 作業完了後システムへの特権とアクセス権の削除
• ゲストOS(EC2インスタンス)
– お客様による完全なコントロール
– 顧客が生成したキーペアを使用
論理的なセキュリティ
AWSコンプライアンス http://aws.amazon.com/jp/compliance/
リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
23. • 従業員の雇用
– 雇用前審査の一環として適用法令が認める範囲での犯罪歴の確認
– Amazonリーガルによる機密保持契約書の管理
– 従業員はアクセス権を付与される前に機密保持契約書に署名
– 入社時研修の一環として利用規定及びAmazon業務行動倫理規定
への同意
従業員・アカウントの管理
• アカウント管理
• 人事管理システムのプロセスの一環として、一意のユーザー IDを作成
• 最小権限の適用。最小権限を越えるアクセスには適切な認証。
• 少なくとも四半期ごとのアカウントの確認
• 90日間アクティビティがないアカウントの自動的無効化
• 従業員の記録が人事システムから削除されると、アクセス権も自動的に削除
AWSコンプライアンス http://aws.amazon.com/jp/compliance/
リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
24. • データの所有権と管理権はお客様に。
• データとサーバーを配置する物理的なリージョンはお客様が指定。
• AWS は、法令遵守または政府機関の要請によりやむをえない場合を除き、お客様のコンテンツ
を指定されたリージョンから移動しない。
• 法令、または政府機関もしくは規制当局による有効かつ拘束力のある命令を遵守するために必要
な場合を除き、お客様のコンテンツを開示することはない。
• そうすることが禁止されている場合または Amazon の製品もしくはサービスの利用に関連した
違法行為の存在を明確に示すものがある場合を除き、お客様が開示からの保護を求められるよう
カスタマーコンテンツの開示に先立ってお客様に通知。
• AWSでは、S3、EBS、EC2 など、ほぼすべてのサービスについて、お客様が独自の暗号化メカ
ニズムを使用することを許可。(サーバーサイド暗号化、クライアントサイド暗号化、鍵の保
管・管理方法等)
データセキュリティ
AWS データプライバシーのよくある質問 http://aws.amazon.com/jp/compliance/data-privacy-faq/
リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
25. • 上記の手順を用い ハードウェアデバイスが廃
棄できない場合、 デバイスは業界標準の慣行
に従って、消磁するか、物理的に破壊する
ストレージの廃棄プロセス
• 顧客データが 権限のない人々に流出しないようにするストレージ廃棄プロセスを保持
• DoD 5220.22-M(「National Industrial Security Program Operating
Manual(国立産業セキュリティプログラム作業マニュアル)」)
• NIST 800-88(「Guidelines for Media Sanitization(メディア衛生のための
ガイドライン)」)
AWSコンプライアンス http://aws.amazon.com/jp/compliance/
リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf
27. 金融機関向け『Amazon Web Services』対応
セキュリティリファレンス
• 2013年10月、FISC安全対策基準(第8追補版)へのAWSの準拠状況を調査した資料をSI/ISV
8社(現在は9社)が共同で調査して一般公開
• AWSと利用者で責任分担することで、FISC安対基準を満たせるとの見解を一般公開
http://aws.amazon.com/jp/aws-jp-fisclist/
サマリー
版
詳細版
Amazon Web Services対応
セキュリティリファレンス
FISC
安全対策基準
設備:138項目
運用:115項目
技術: 53項目 各基準に
対応 Amazon Web Services
システム構築・運用
調査・対応案検討
各金融事業者のセキュリティ指針・監査指針
クラウドを活用したシステム
安心・安全かつ、機動性の高い金融サービスの実現
金融事業者(銀行、証券、保険等)
セキュリティ対応
調査協力
作成/
更新
支援
SCSK
ISID
NRI
MKI
TrendMicro
TIS
CAC
30. リスクとコンプライアンス ホワイトペーパー
• AWS のお客様が IT 環境をサポートする既存の統制フレームワークに AWS を統合する際
に役立つ情報を提供
• AWS の統制の評価に関する基本的なアプローチについて説明し、統制環境の統合の際に
役立つ情報
• 内容
• リスクとコンプライアンスの概要
• AWS統制の評価と統合
• AWSリスク及びコンプライアンスプログラム
• AWS の報告、認定、およびサードパーティによる証明
• コンプライアンスに関するよくある質問と AWS
• AWS へのお問い合わせ
• 付録 A: CSA Consensus Assessments Initiative Questionnaire v1.1
• 付録 B: 米国映画協会(MPAA)コンテンツセキュリティモデルに対する AWS の準拠状況
• 付録 C: オーストラリア信号局 (ASD) のクラウドコンピューティングに関するセキュリティ上の考慮事項への
AWS の準拠
• 付録 C: 用語集
これらの章に書かれている内容が
AWSでどのような統制があるか、
どのような運用をしているかの主要
な情報源になります。
31. AWS Compliance詳細情報
• 英語のサイトの情報もご確認ください。
http://aws.amazon.com/compliance/?nc2=h_ls
• 各種保証プログラムや重要項目に関するFAQ、公開資料
• PCI DSS
• ISO27001/27017/27018/9001
• CSA
• Data Privacy/EU Data Protection
• SOC
• FedRAMP
• HIPAA
• GxP
• DoD
• Compliance Latest News
• ダウンロード可能な認証
• AWS ISM Letter of Compliance
• AWS ISO 27001/27017/27018/9001 Certification
• Multi-Tier Cloud Security Standard Level-3 (CSP) Certification
• AWS SOC 3 Report
31
32. AWS Compliance 最新情報
• Consideration for Using AWS Products in GxP Systemsの発行
• GxPシステムにおいてAWS製品を使用するための包括的なアプローチについてのホワイトペーパー
• AWS製品の基本的な技術内容とGxPに係る内容
• AWSをコマーシャルクラウド製品として使用する場合に、品質システムに関しての考慮事項
• AWS製品をコンポーネントとしてGxPシステムを開発、運用、検証を行う際のシステム開発のライフサイク
ルに関しての考慮事項
• 規制当局に対してシステム関連の情報を提出する可能性のあるお客様に関する規制関連業務に関しての考慮
事項
• クラウド内のGxPアプリケーション
https://aws.amazon.com/jp/health/life-sciences/gxp/
• GXP FDA Part 11 EU Annex 11
https://aws.amazon.com/jp/compliance/gxp-part-11-annex-11/
33. AWS Compliance 最新情報
• ISO27017
• ISO 認定エージェントである EY CertifyPointによるプライベート認証
• クラウドサービスに関係する情報セキュリティコントロールについての実装ガイダンス
• 世界的に認められたベストプラクティスに対するAWSの継続的なコミットメントを示し、AWS においてクラウド
サービス特有の非常に精密なコントロールが運用されていることを実証
• 対象サービスなど詳細はFAQのページを参照
https://aws.amazon.com/jp/compliance/iso-27017-faqs/
• ISO27018
• ISO 認定エージェントである EY CertifyPointによるプライベート認証
• すべてのリージョン、エッジロケーションが対象
• クラウド内の個人データ保護に焦点を合わせた最初の世界的な実務規範
• この規格に適合することで、特にコンテンツのプライバシー保護を目的とした統制システムが AWS により運用さ
れていることをお客様に実証
• 対象サービスなど詳細はFAQのページを参照
https://aws.amazon.com/jp/compliance/iso-27018-faqs/
35. AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWS
グローバル
インフラストラクチャ リージョン
アベイラビリティ
ゾーン エッジ
ロケーション
お客様のアプリケーション・コンテンツ
AWSが
クラウドの
セキュリティを
担当
AWS 責任共有モデル
Security
“IN”
the Cloud ネットワーク
サーバー
セキュリティ
インベントリ
・構成管理
データ
セキュリティ
アクセス
コントロール
39. サーバー(OS)・セキュリティ
インスタンス
の開始 EC2
AMIカタログ インスタンスの起動 お客様の独自インスタンス
ハードニングと構成
監査とログ取得
脆弱性管理
マルウェア、IDS, IPS
Whitelisting and integrity
ユーザー管理
OS
インスタンス
構成
OSの選択とハードニング
• インスタンスサイズ、OSの選択もお客様が柔軟に構成可能
• 標準的なOSのハードニングガイドとテクニックを活用
• 最新のセキュリティパッチの適用
ホストベースの防御策の適用を考慮
• ホストベースの防御製品をプリインストール
• 管理ソフトやSEIM等との接続設定の組み込み
管理者権限やユーザー管理
• 必要最小限のアクセス
• パスワードや認証の管理
42. 論理的アクセスコントロール
AWS Identity and Access Management (IAM)
AWSサービスとリソースへの厳格なアクセス・コントロールが可能
• アカウントごとのユーザとグループの作成
• AWSマネージメントコンソールのユーザログオンサポート
• セキュリティクレデンシャル
– アクセスキー
– ログイン/パスワード
– 多要素認証デバイス(オプション)
• AWS APIを使ったアクセスコントロールポリシー
• API コールは以下のサインどちらかが必須:
– X.509 certificate
– シークレットキー
• 幾つかのサービスではより厳格なインテグレーション
– S3: オブジェクト及びバケット毎のポリシー設定
AWS account
owner (master)
Network
management
Security
management
Server
management
Storage
management
豊富な多要素認証デバイス
43. • ポリシー作成を支援する機能も充実
• 事前定義されAWSが管理してくれるAWS管理ポリシー
• IAMポリシーの作成ツール
• IAMポリシーのシミュレーションツール
• IAMポリシーの文法チェック
利用者へのIAM権限付与の例
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/SystemName": “system-name"
}
},
"Resource": ["*"]
},
{
"Effect": "Allow",
"Action": ["ec2:Describe*"],
"Resource": ["*"]
}
]
}
特定のタグがついたEC2の停止/削除権限
API単位でのコントロール
46. データセキュリティ
AWSサービス 機能 SSE SSE with
KMS
SSE with
CloudHSM
CSE
EBS 仮想Disk 〇 〇 N/A 〇
S3 オブジェクトストレージ 〇 〇 N/A 〇
Glacier アーカイビング 〇 N/A N/A 〇
RDS RDBMS 〇 〇 Oracle 〇
Redshift DWH 〇 〇 〇 〇
ElastiCache インメモリキャッシュ N/A N/A N/A 〇
DynamoDB NoSQL DB N/A N/A N/A 〇
AWSではAWSのサービス側で暗号化を行うServer Side Encryption(SSE)や、クライアント側で行う
Client Side Encryption(CSE)の他に、暗号鍵の保管の仕方等、要件に応じた様々な方法を選択するこ
とが可能
RDS
上記の表内のAWSサービスは一例です
47. AWS Key Management Service
AWSでは暗号鍵を管理する鍵管理環境を提供
• 暗号鍵の作成、管理、運用サービス
– 暗号鍵の可用性、機密性を確保
– 暗号鍵の有効化・無効化、ローテーションをサポート
– S3, EBS, Redshift等のAWSサービスにおけるデータを暗号化
– SDKとの連携でお客様の独自アプリケーションデータを暗号化
– 低コストで使用可能
• サポートしているサービス(2016/3現在)
Customer Master
Key(s)
Data Key 1
Amazon
S3
Object
Amazon
EBS
Volume
Amazon
Redshift
Cluster
Data Key 2 Data Key 3 Data Key 4
Custom
Application
AWS KMS
Category Supported Services
Database Redshift , RDS
Storage and Content Delivery S3 , EBS , Import/Export , Snowball
Application Services Elastic Transcoder , SES
Enterprise Applications WorkMail , WorkSpaces
Management Tools CloudTrail
48. AWS CloudHSM
• 特徴
– AWSクラウド内のお客様専用ハードウェアセキュリティモジュール(HSM)アプライアンス
(SafeNet LunaSA7000)
– 暗号化キーやHSMによって実行される暗号化操作を管理
– 情報セキュリティ国際評価基準(Common Criteria EAL4+)および米国政府規制基準(NIST
FIPS 140-2)に準拠
– CloudTrailやsyslogの使用によるコンプライアンス監査
AWS サービスおよびリソースへのアクセスを安全にコントロール
AWS
Virtual Private Cloud
CloudHSM VPC
インスタンス
SSL
App
HSM
Client
【サポートされているリージョン】
・米国東部(バージニア北部)
・米国西部(オレゴン)
・米国Govクラウド
・欧州(アイルランド)
・欧州(フランクフルト)
・アジアパシフィック(シドニー)
・アジアパシフィック(東京)
・アジアパシフィック(シンガポール)
50. CloudWatch
Metrics
Amazon Linux Ubuntu
Windows Red Hat Linux
CloudWatch
Logs
CloudWatch
Alarm
SNS
Log Agent Log Agent
Log Agent Log Agent
VPC Flow Log
Kinesis
監視・監督
OSにはLog
Agentの導入が
必要です
CloudWatch
Logsにログを
ためます
フィルター
などを使い
ログの監視
閾値を超えた
場合はAlarm
をあげます
CloudWatch LogsでOS上の各種ログやVPC Flow LogsといったAWSのログも収集・監視
https://aws.amazon.com/jp/cloudwatch/
59. Security by Design (SbD)
• AWS アカウントの設計の規格化、セキュ
リティ制御の自動化、および監査の合理化
のためのセキュリティ保証アプローチ
• セキュリティを遡及的に監査するのではな
く、AWSのIT管理プロセス全体にセキュ
リティ制御を組み込む
Identity & Access
Management
CloudTrail
CloudWatch
Config Rules
Trusted Advisor
Cloud HSMKey Management
Service
Directory Service
https://aws.amazon.com/jp/compliance/security-by-design/
62. 継続的な監視
AWS Security and Compliance Security OF the Cloud
Security IN the Cloud
のためのサービス群
Service Type Use cases
APIログの取得 AWS環境の操作に関するログの取得
リソース・ログ監視
AWSサービスのリソース監視と各種
ログの収集・モニタリング
変更管理
AWSサービスの変更記録とトラッキ
ング
オンデマンドの評価
EC2インスタンス内の導入される
OS・アプリケーションのセキュリ
ティ分析
継続的な評価
変更による誤設定検知、ベストプラ
クティスの維持、脆弱性の検知
定期的な評価
コスト、パフォーマンス、信頼性、
セキュリティの観点からの広範な調
査
Inspector
Config
Rules
Trusted
Advisor
AWS
Config
Cloud
Trail
Cloud
Watch
66. • AWS URL
– AWS Securityページ
• http://aws.amazon.com/jp/security
– AWS Complianceページ
• http://aws.amazon.com/jp/compliance
セキュリティ・コンプライアンス情報