”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版）

日本アイ・ビー・エム株式会社
クラウド事業統括
IBMクラウドマイスター
安田忍
”もと”中の人が語り尽くす
SoftLayerセキュリティー
(2016年10月13日更新）

2
自己紹介
話す
ひと
日本IBM クラウド・マイスター
安田忍
①データベース(DB2/Oracle等)のスペシャリスト
②IBMにおいて、長らくミドルウェア製品のデリバリ
ーを経験
③SoftLayerを使ったクラウド設計屋さん
好きな
SoftLayer
のサービス
無料のデータセンター間グローバ
ルネットワーク
Twitter:@testnin2 (shinobilayer)
http://qiita.com/testnin2

3
今日お話すること（目次）
• SoftLayer概要
• クラウドにおけるセキュリティの考え方
• 物理セキュリティ
• 人的、組織的なセキュリティー
• ネットワークセキュリティー
• その他のセキュリティツールやサービス
• まとめ
• （参考情報）

4
• SoftLayer概要
• まとめ

5
SoftLayer - A global hosting leader
企業サーバーホスティング分野のリーディング・プロバイダー
SoftLayerは、テキサス州ダラスを本拠地として2005年設立されました。米国に加え、
2011年よりアジア、欧州にデータセンターとネットワーク接続ポイントを展開。140カ国
にわたる25,000*以上の先進的なお客様にご利用いただいてきました。*2014年初時点
2013年のSoftLayer買収により、IBM はお客様がクラウドのスピードと柔軟性を活用
できるように、パフォーマンス、コントロール、セキュリティ、およびグローバル・リーチ
に優れ、かつオープンなIaaS を提供いたします。
これにより、SoftLayer/IBMは世界最大クラスのホスティング・プロバイダーとなってい
ます。
企業理念
イノベーション, エンパワーメント, オートメーション, インテグレーション

6
SoftLayer – 5つの特長
物理サーバーも利用可能
グローバル・ネットワーク
トリプルネットワークアーキテクチャーと物理ネット
ワーク
従来のプロバイダーとは一線を画した「妥協なきクラウド」をご提供します。
Direct Link Collocation
豊富で透明性の高いサービス

7
特長1：物理サーバーも利用可能
最新の物理サーバーを専有利用
通常のクラウド・サービスが提供する仮想サー
バーに加え、物理サーバーを専有で提供。1ヶ月ま
たは1時間単位の短期契約で利用可能。
セキュリティーとパフォーマンス
専有サーバーは他ユーザーと共存しないため、より
高いセキュリティー要件の用途に向きます。ハイパ
ーバイザーのオーバーヘッドを避け、サーバーの
性能をフルに活用可能。ソフトウェアのライセンス
料金も仮想環境に比べて節約できる可能性がありま
す。Intel HT/AES-NIなどのBIOS構成変更も可能
です。
HPCに適した環境
最新世代のTesla K80やM60が利用可能。また、
Power8もDAL09で提供を開始しています。
もちろん、共用の仮想サーバーも、専有の仮
想サーバーもあります！
仮想サーバーでもデータセンターによっては、
56 core/242 GBメモリまで選択可能です。

8
特長2: グローバル・ネットワーク
高速バックボーン・ネットワーク
通常のクラウド・サービスではDC間ネット
ワークを別途用意しなければならないのに対し、
SoftLayerで10Gbps x N の回線を標準提供。
安価なネットワーク転送料金
プライベートネットワークを使えば、データセ
ンター間の送受信が無料で使い放題！
■プライベートネットワーク：
・受信無料/送信無料（データセンター間通信も無料！）
■パブリックネットワーク：
・受信無料
・250GBまで送信無料（月額仮想サーバー）
・500GBまで送信無料（月額物理サーバー）
・20TBまで送信無料（Vyatta Gateway Appliance)

9
特長3: トリプルネットワークアーキテクチャー
と物理ネットワーク
物理的に分離されたネットワーク・アーキテクチャ
- インターネットに面したパブリックネットワーク
- 利用者のサーバーのみ互いに通信可能なプライベートネットワーク
- IPMIやKVMコンソールのための管理ネットワーク
利用者ごとに割り当てられた専用VLAN
- 仮想化されていない高速な物理ネットワークを利用。
-利用者ごとに割り当てられた専用VLAN。物理サーバーも仮想サーバーも区別な
く同一VLAN上に配置可能。
- VLANタギング（IEEE 802.1Q)も利用可能。
- 通信高速化や高可用性のために、LACPやJumbo Frameも利用可能。
- VLAN内では、マルチキャスト通信にも対応。
- 複数のVLANを組み合わせることでゾーニング構成も可能。

10
特長4: Direct Link Collocation
Direct Link Collocationが実現するハイブリッドクラウド
- 東京データセンター内のお客様コロケーションエリアから、SoftLayerに構内接続可能
（Direct Link Collocation) 。
- 専用ストレージやネットワーク機器をコロケーション領域に配置したり、お客様拠点と専用
線で接続することで、クラウド化できないシステムとの柔軟かつセキュアなハイブリッド構成
を実現。
- もちろん、SoftLayerのPOP経由で専用線接続するDirect Link NSPや、Equinix社のCloud
Exchange経由で接続するDirect Link Cloudも選択可能。
NWキ
ャリア
お客様コロケーションエリア SoftLayer PoD
東京データセンター
お客様持ち込み機器
Direct Link Collocation
お客様によって自由にカスタマイズ可能な領域 SoftLayerが管理する物理領域
イン
ター
ネット

11
特長5：豊富で透明性の高いサービス
世界で明快な料金体系
グローバルで標準化されたサービス・メニューと従
量部分を最小化した分かりやすい課金方式。
充実したAPIによる自動化の推進
ほとんどの機能をプログラムからも利用可能。運用
ワークロードとヒューマンエラーを最小化。
使いやすいポータルとモバイル対応
見やすく設計されたカスタマー・ポータルにより、
効率的な運用が可能。スマートフォン、タブレット
に対応。
無料のサポート
24/365で問い合わせ可能なチケットと、日本語対応
もしているチャット・電話サポート。どれだけ問い
合わせしても無料。
積極的な情報公開
SOC2 Type2レポートを中心とした、第三者監査機
関による監査レポートの公開や、N/W接続/トラ
フィック状況などをポータルで可視化。

12
（参考）データセンターの透明性
【字幕】SoftLayer DAL05 Data Center Tour
https://www.youtube.com/watch?v=I4OdiKpX86A
【字幕】IBM SoftLayer のデータセンターとその中の仕組みをご紹介！
https://www.youtube.com/watch?v=9DOTsPqeMjY
SoftLayerへのサーバールームへの立ち入りは禁
じられていますが、代わりに各種外部認定を取得
し、データセンター内部の動画を公開しています。

13
（参考）物理サーバーの透明性
Customer Portalから見たIPMIのセンサー情報物理サーバーのIPMIコンソール
利用者が物理サー
バーのIPMIコンソール
を利用できるので、OS
持込も含めて非常に柔
軟な構成が可能です。
温度情報
ファンの回転数

14
（参考）ネットワーク情報の透明性
各NWキャリアとのBandwidth帯域
Looking Glass(http://lg.softlayer.com/)
Speed Meter
(http://www.softlayer.com/data-centers)
KnowledgeLayer
(https://knowledgelayer.softlayer.com/procedure/
direct-link-connectivity-options)

15
米ラスベガスで開催中のイベント「IBM InterConnect 2016」において戦略的提携を発表しました。
・インターネットVPNや豊富な専用線接続
サービス。
・東京POP経由で東京DCに接続するので
あれば、転送量による課金は発生しない！
・物理サーバーを利用することで慣れ親しんだVMWareをその
ままSoftLayer上でも利用可能。
・データセンター間NWはどれだけ使っても無料！
シームレスなネットワーク
共通の管理機能
プラットフォーム互換性
NSX, vMotion, vRealize, Replication, etc...
オンプレミスのVMware環境を最大限活用した
ハイブリッドクラウド環境実現が可能に！
オンプレミス環境 SoftLayer
（参考）VMware on SoftLayer

16
（続き）VMware on SoftLayer
vMotion, vSphere HA, vSphere Data Protection等の機能はもちろん、NSXと
Long Distance vMotionを組み合わせた海外DCへのライブマイグレーションや、
VSANを使用した専有ストレージの利用が可能です。
vMotion vSphere HA
vMotion 再起動
vSphere Data Protection
バックアップ
リストア
vCenter Server
Long Distance
vMotion
vCenter Server
NSX NSX
NSX + Long Distance vMotion
SSD
Virtual SAN
VM VMVMVM VM VM
HDD

17
• SoftLayer概要
• まとめ

18
セキュリティは、依然としてクラウド導入
の最大の課題と位置づけられています。
1. 2013, IDC US Cloud Security Survey
2. Sept 2013, Information Week Cloud Security and Risk Survey
3. Verizon 2014 Data Breach Investigations Report
73%
の企業で、クラウド
がITポリシーまた
はセキュリティー
ポリシーの範囲外
で使用されていま
した1
50%
の企業が、不正な
アクセスや機密情
報の漏洩に対して
懸念を抱いていま
す2
75%
のセキュリティ侵害
が、その発見に数日、
数週間、または数ヶ
月を要しています3
http://www.ibm.com/smarterplanet/us/en/innovation_explanations/article/nataraj_nagaratnam.html
クラウド・サービ
スへの無制限の
アクセス
制御の及ばない
データやアプリ
ケーション
セキュリティー侵
害による損害

19
情報セキュリティ10大脅威＋α 2015
1位. インターネットバンキングやクレジットカード情報の不正利用
2位. 内部不正による情報漏えい
3位. 標的型攻撃による諜報活動
4位. ウェブサービスへの不正ログイン
5位. ウェブサービスからの顧客情報の窃取
6位. ハッカー集団によるサイバーテロ
7位. ウェブサイトの改ざん
8位. インターネット基盤技術の悪用
9位. 脆弱性公表に伴う攻撃
10位. 悪意のあるスマートフォンアプリ
11位. ウィルスを使った詐欺・恐喝
12位. サービス妨害
13位. 無線LANの無断使用・盗聴
14位. ネット上の誹謗・中傷・いじめ
15位. 悪意のあるアプリを使った遠隔操作
16位. 利用者情報の不適切な取り扱いによる信用失墜
17位. 不適切な情報公開
18位. 不正請求詐欺
・
・
・ https://www.ipa.go.jp/security/vuln/10threats2015.html
あれ、クラウドだから
危ないんだっ
け？？？結局自社
サイトでも同じ検討
が必要なような・・・

20
情報セキュリティ10大脅威＋α 2016
1位. インターネットバンキングやクレジットカード情報の不正利用
2位. 標的型攻撃による諜報活動
3位. ランサムウェアを使った詐欺・恐喝
4位. ウェブサービスからの顧客情報の窃取
5位. ウェブサービスへの不正ログイン
6位. ウェブサイトの改ざん
7位. 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ
8位. 内部不正による情報漏えいとそれに伴う業務停止
9位. 巧妙・悪質化するワンクリック詐称
10位. 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
11位. サービス妨害攻撃によるサービスの停止
12位. インターネットの広告機能を悪用した攻撃
13位. 匿名によるネット上の誹謗・中傷
14位. 職業倫理欠如による不適切な情報公開
15位. インターネットサービス利用に伴う意図しない情報漏えい
16位. 過失による情報漏えい
17位. IoTに関連する機器の脆弱性の顕在化
18位. 情報モラル不足に伴う犯罪の低年齢化
19位. 無線LANの無断使用・盗聴
https://www.ipa.go.jp/security/vuln/10threats2016.html
モバイル、IoT、ク
ライアント側のセ
キュリティー対策も
必要

21
クラウドにおける
セキュリティー実装のステップ
クラウド業者と
利用者間の責
任範囲の境
界を理解する。
クラウド業者の
責任内容と取
り組みを理解す
る。
・セキュリティーは
SoftLayerと利用者
の共同作業です。
・SoftLayerが脅威の
全てから保護するこ
とを保障している訳
ではありません。
利用者が負うべき責任部分
に対して、クラウド業者
提供の製品・サービス
や3rd Party提供の
製品・サービス持ち込
みを組み合わせて実装・運
用する。
・SoftLayerの責任
範囲は利用者が操
作できないデータセ
ンターや共用機器等
です。
・運用は極力自動化
して人手を介さない
ようにしています。
・OSやアプリケー
ションやデータは、
利用者の責任で保
護する必要がありま
す。
・消失に備えたバッ
クアップもユーザー
責任です。
① ② ③

22
クラウドにおける一般的な情報公開の考え方
• SoftLayerのNW機器の
機種を教えて欲しい！
• 私の会社だけには
SoftLayerのデータセンタ
ーへの見学を許可して欲し
い！
オンプレミスと違って、全ての情報を公開する訳ではないことに注意。
• SoftLayerは共通のインフラに則ったクラウドであ
り、そのために高度な自動化と競争力のある価格
提供を実現しています。NW機器をお客様ごとに個
別にカスタマイズしていません。
• 情報公開によるリスクがあるため、内部仕様につい
てNDAを結んでいても情報提供できないものもあり
ます。
• データセンター見学は可能ですが、SoftLayerの
サーバールームへの立ち入りは許可していません。
１社にでも立ち入りの例外を許可すると、セキュリ
ティーの前提が崩れるため、例外は設けていません。
仮に入室できても、目印が付いている訳ではないの
で、どれが自分が利用しているサーバーか分かりませ
ん。
• 各種第三者機関の認定を受けていますので、その
レポートや各種公開情報を参考にして下さい。

23
SoftLayerと利用者の責任分界点
オファリング項目
責任項目
物理サーバー（専有）仮想サーバー（専有）仮想サーバー（共有）
データセンター管理 SoftLayer SoftLayer SoftLayer
プロビ
ビジョ
ジョニ
ニン
グ
サーバー利用者: 要求
SoftLayer（自動）: 実行
利用者: 要求
利用者: 要求
OS 利用者: 要求
利用者: 要求
利用者: 要求
運用・
用・管
管理
ハードウェア利用者: 監視やHW交換要求 SoftLayer SoftLayer
ハイパーバイ
ザー
（もしハイパーバイザーを導
を導入する場合は利用者）
SoftLayer SoftLayer
OS 利用者利用者利用者
アプリケーショ
ションやデータ
利用者利用者利用者
基本的な考え方としては、
- 利用者が操作できる領域は利用者責任
- 利用者が操作できない領域はSoftLayer責任
利用者が決めるこ
とはできず、
SoftLayerが定め
ているサービス内
容やSLAを受容
する必要がある。
SoftLayerは関与
しないため、利用
者が構築・運用す
る必要がある。

24
セキュリティ管理策の全体図
不正利用
なりすまし
不正アクセス
不正侵入
ウィルス/マル
ウェア
（検疫・駆除）
改ざん
書き換え
盗聴情報疎漏サービス妨
害
人
的
組
織
的
セキュリティ
全般
情報セキュリティポリシー（リスク分析・セキュリティ基本方針・対策基準・実施手順）
対策ベンチマーク/情報セキュリティマネジメントシステム（ISMS)の導入/情報漏洩防止強化対策
セキュリティ診断/侵入テスト/監査（内部・外部）/教育
技
術
的
ネットワー
ク・セキュリ
ティ
侵入検知システム(IDS)/侵入防止システム（IPS) 通信暗号化
(IPSec/IP-VPN)
DoS/DDoS
対応（フィ
ルタリン
グ）
ファイアウォール（パケット・フィルタリング）
デジタル署名アクセス制御/デバイス認証無線LAN（認証・暗号
化）
Fake AP
サーバー・セ
キュリティ
ユーザ認証アクセス制御/権限管理バックアッ
プ
負荷分散
OS Firewall
セキュリティ・パッチ（適用・逐次更新）・セキュアーなWeb開発ログ管理メール・
MSGスキャ
ン
DoS/DDoS
対応（NDS、
パケット制
限）
Trusted OS/Secure OS ウィルス駆除改ざん検知・
防止
DBMS暗号
化・ファイ
ル暗号化
物
理
的
環
境
的
セキュアな環
境・施設・オ
フィス
セキュア・ゾーニング、セキュア・オフィス・施設・設備・什器
（入退出管理、監視カメラ、バイオメトリクス認証/盗難・紛失防止備品）
http://www.ipa.go.jp/security/manager/protect/pdca/risk.htmlよりクライアント・セキュリティ部分を削除して一部改変

25
SoftLayerでの実装例
不正利用
なりすまし
不正アクセス
不正侵入
ウィルス/マル
ウェア
改ざん
書き換え
害
人
的
組
織
的
セキュリティ
全般
技
術
的
ネットワー
ク・セキュリ
ティ
(IPSec/IP-VPN)
DoS/DDoS
対応（フィ
ルタリン
グ）
化）
Fake AP
サーバー・セ
キュリティ
プ
負荷分散
OS Firewall
MSGスキャ
ン
DoS/DDoS
対応（NDS、
パケット制
限）
防止
DBMS暗号
化・ファイ
ル暗号化
物
理
的
環
境
的
セキュアな環
境・施設・オ
フィス
SoftLayerで無償実装可能
SoftLayerで購入可能（一部制限あり）
IBMや3rd Partyの例
Private NW/SSL VPN
/PPTP VPN
IPSec VPN/Direct Link
Cisco Guard
Arbor
Peakflow
NetScaler Platinum
Edition
Fortigate Appliance + Fortiguard NGFW add on
VLAN/VyattaによるゾーニングSSL証明書
SoftLayerデータセンター内では無線LANは使用し
ていないので対象外
SSH秘密鍵認証
パスワード定期変更
iptables/Firewalld
OS権限設定, sudo, PAM構成
Local LB,
NetScaler
eVault, Idera
IBM
InfoSphere
Guardium
IBM ESMS
Deep
Security
OSの各種ア
クセスログ、
監査ログ
Q-Rader
Private NW内に存在するパッチサーバー
SE Linux
不要なサービスの停止
Deep Security
McAfee
VirusScan
Tripwire
Intel TXT
SOC2などの
各種第三
者認証
物理サーバー、
仮想専有サー
バー、仮想サー
バー
サーバー削
除時のデータ
消去
Hardware Firewall/Fortigate Appliance/Vyatta/VMware NSX(Micro Segmentation)
Nessus Security診断
Tier3以上の
データセンター
設備
NIST 800-53
frameworkを基
準としたセキュリティ
運用ルール
McAfee
Host
Intrusion
Protection
AltaVault
iptables
Firewalld
日本国内デー
タセンター
Customer Portalの権限設定
Deep Security Deep
Security
Deep Security
Guardium Guardium
生態認証、監
視カメラ、入退
室管理
Web ARGUS
HSM
IBM クラウド・セキュリティ－・アセスメント・サービス
IBM セキュリティー技術標準策定サービス
IBM CSIRT研修サービス
IBM エマージェンシー・レスポンス支援サービス
コロケーションサービス＋NWアプライアンス持込み+SOC監視
FFR yarai
クラウド型リバースプロキシ

26
SoftLayerでの実装例
専用線接続
NW Firewall
アカウントごとに明確に分離され
た専用のPublic
VLAN/Private VLAN
インターネットに出て行かなくても良い、
SoftLayer提供のパッチサーバー
OS Firewall、
AntiVirus, Anti-
Spireware, IPS、
WAF, 改ざん検知、暗
号化、アクセス制御、ロ
グ管理
第三者認定を受けた強固
な物理セキュリティー
SSL-VPN,
PPTP-VPN
SSL-Offload
DDOS防御
（DC防御）
無償のNWセキュリ
ティー診断機能
外部セキュリ
ティーサービス
(ESMS,
MSS for
Securityな
ど）
IPSec-VPN
複数VLAN＋Vyatta
専有の物理サー
バー、専有・共有
の仮想サーバー

27
• SoftLayer概要
• まとめ

28
不正利用
なりすまし
不正アクセス
不正侵入
ウィルス
改ざん
書き換え
害
人
的
組
織
的
セキュリティ
全般
技
術
的
ネットワー
ク・セキュリ
ティ
(IPSec/IP-VPN)
DoS/DDoS
対応（フィ
ルタリン
グ）
化）
Fake AP
サーバー・セ
キュリティ
プ
負荷分散
OS Firewall
MSGスキャ
ン
DoS/DDoS
対応（NDS、
パケット制
限）
防止
DBMS暗号
化・ファイ
ル暗号化
物
理
的
環
境
的
セキュアな環
境・施設・オ
フィス

29
データセンターの物理アーキテクチャー
参考： http://www.softlayer.com/data-centers
全てのデータセンターで、”最低限”下記の仕組みを提供する施設を採用
• n+1 UPS Battery Backup Units
• n+1 Backup Power Generators
• n+1 Cooling Infrastructure
• Pre-Action Dry Pipe Fire Suppression
• Multi-Level Access Control

30
SoftLayerの提供品質 - SoftLayerの
データセンター基準
• 99.995% の稼動率
• 年間のダウン時間 .04 時間
• 二つの独立な電源と冷却方法
• 完全な冗長性 (2N+1)
• 電源維持時間が96時間
• 99.982% の稼働率
• 年間のダウン時間 1.6時間
• 99.749% の稼働率
• 年間のダウン時間 22.0
時間
• 99.671% の稼働率
• 年間のダウン時間 28.8
時間
• 二つの独立な電源と冷却方法
• 電源のなんらかの冗長性
• 1つの電源と冷却方法
• 冗長性なし
• 複数の電源と冷却方法
• 復旧対応 (N+1)
• 電源維持時間が72時間
Tier 4
Tier 3
Tier 2
Tier 1
SoftLayerのデータセンター選定の基準は、Tier3以上です。

31
データセンターとサーバールームのセキュリティ（１）
データセンター
アクセスコントロールがあり、24時間監視された施設を利用している。
生体認証セキュリティが、データセンター全体で利用されている。
デジタルセキュリティビデオによる監視がされている。
公道 DC敷地 DCフロ
ント
DC共同
エリア
エレ
ベー
ター
セキュ
アゲー
ト
サー
バー
ルーム
サー
バー
警備員によ
る出入り口
監視
受付チェック入館チェックエレベーター
：権限のな
いフロアには
止まらない
共付れ（テ
ールゲート
）禁止
入室チェック次ページ参
照

32
データセンターとサーバールームのセキュリティ（２）
サーバールーム
公開エリアに面した出入り口は1つも存在しない。
出入り口のドアには、施設を特定できるような表示は出ていない。
24時間/365日、スタッフが常駐している。
デジタルセキュリティビデオによる監視がされている。
SoftLayerの従業員とエスコートされた契約者と訪問者に厳格に制限されている。
ハードウエアは、バーコードのみでID管理している。サーバー自身には、お客様
を特定できるような印を付けていない。

33
データセンター運用上のセキュリティ
SoftLayerのセキュリティ管理は、NIST 800-53 frameworkをベースとし
たUS政府標準に従う。
SOC2 Type2に従い、第三者監査機関により運用まで含めて監査を受けている。
エンジニアや技術者は、業界標準ポリシーと行動に対して教育が実施され、毎年監
査されている。
災害対策とビジネス継続性のために、SoftLayerを支えるコアシステムは地理的に
分散された冗長性を持っている。
US国防省によって認可されたドライブ消去ソフトウェア（Defense (DoD)
5220.22-m standards）を使うことで、全ての過去データは新規にプロビジョニ
ングされた専有サーバーのローカルディスクから削除されている。削除に失敗した
ディスクは物理的に破壊される。

34
廃棄時のディスク破壊
中央に穴が開いている
プラッターが曲がってボード
からはみ出ている
 参考
– http://blog.theplanet.com/2014/softlayer-security-questions-and-answers
– http://blog.theplanet.com/2010/redrum

35
データセンターセキュリティーと監査
お客様A用のケージ+ラック
お客様B用のケージ+ラック
お客様C用のラック（ケージなし）
お客様A
お客様B
お客様C
オンプレミス or ホスティングクラウド
お客様A
お客様B
お客様C
•他のお客様もサーバールームに立ち入り可能。サー
バー直前まで、他の利用者も物理的に立ち入れてしま
うため、ケージやラックの施錠等による保護が必須。
•外部認証も限定的（一般的には自社内の監査部門に
よる評価）。自社内での甘い評価になるリスクがあり、
監査期間もまばら。（3ヶ月に一度、年に１度、等）
•作業ミスを防止する手段が手順書作成や技術員の教
育といった俗人的な対応に限定される（自動化されて
いない）。
•独立した第三者の監査業者のみ立ち入りを許可。お客
様ごとの入室は許可しない。
•第三者による監査業者が継続的に監査を実施（SOC2な
どの外部監査業者による認証取得）。
•NWプロビジョニングもサーバープロビジョニングもすべ
て自動化されており、データセンター内の作業員も個々
の利用者のサーバーを特定できない。サーバーには、利
用者を特定付ける情報は付与されていない。
•生態認証を初めとしたアクセス制御、ビデオ監視だけで
なく、必ず誰かが常駐。
APIによる自動化作業に
よってネットワークプロビ
ジョニングやサーバープ
ロビジョニングを行い、属
人的な作業を排されるこ
とによる効率性と確実性
、安全性が担保される。
サーバールーム
サーバールーム
サーバー
ルーム管
理者
クラウド業者作業員
立ち入りを許可しない

36
SoftLayer内での作業管理（１）
 SoftLayerの作業員は、与えられた業務の規定によって明確に役割分担されています。また、作
業員が業務内容を遂行する上で、必要最小限のアクセス権限のみ付与されます。
分類項目
作業担当者
システム
技術担当者
サービスデスク
担当者
自動化
ツール
業務
分担
業務内容各データセンター
のHW機器の構
築・保守作業
システム・NW基
盤の構築・運用・
保守
サービス利用者
への営業支援、
技術支援
サービス提供作
業の自動化
作業場所各データセンターオペレーション
センター
オペレーション
センター
オペレーション
センター
作業方法手作業遠隔作業（二要
素認証あり）
遠隔作業（二要
素認証あり）
Internal
Management
System
ア
ク
セ
ス
権
限
D
C
DC サーバー室入室 ○ × × ×
DC ラックアクセス
（サーバー筐体、配線）
○ × × ×
共
用
資
源
共用NW機器構成変更
（スイッチ、ルーター） ×
△（自動化ツー
ルで修正できな
い場合）
× ○
仮想サーバー環境運用
（Hypervisor） ×
△（自動化ツー
ルで修正できな
い場合）
× ○
利
用
者
OS導入、パスワード設定 × × × ○
利用者サーバーアクセス
× ×
△（利用者から
の依頼時）
○

37
SoftLayer内での作業管理（２）
よくある疑問答え
SoftLayerの社員のセキュリティ教育はどう
なっているのか？
SoftLayerのDCを管理しているのはSoftLayer社員です。
IBMと同様のBusiness Conduct Guidelineに従い、IBMのセキュリティ
研修も毎年受講していることは、第三者の監査機関からも報告されて
います（SOC2)。
SoftLayer社員は誰でもDCに入れるのか？ DCに入れるメンバーは、（典型的には）各DCごとに17人～23人の
Server Build Tech(SBT)のみです。
DC内のメンバーに自分達のサーバーを特
定付けされてしまうのではないか？
SoftLayerはクラウドであり、ホスティングではありません。サーバーに
は、サーバー名やお客様を特定付けるような情報は付与されておら
ず、バーコードのみで管理しています。
USBメモリやCD-ROMドライブを使ったコ
ピーがされてしまうのではないか？
SoftLayerの運用ポリシーとして、左記の機材を使ったメンテナンスを
実施していません。
クラッシュカートを使って直接サーバーにア
クセスして操作されてしまうのではないか？
SoftLayerの運用ポリシーとして、左記の機材を使った修正や問題解
析を実施していません。
スイッチ上の空きポートにケーブルを挿され
ることで、接続できてしまうことはないのか？
VLANはアカウントごとに割り振られ、サーバーがプロビジョニングさ
れた際に初めて構成されます。逆に言うと、プロビジョニングが実施さ
れるまではスイッチ上のVLANは構成されていませんので、適当な空
きポートにケーブルを挿しても接続されません。
HDDを引き抜かれてしまうことはないのか？ HDDを正規のプロセスに従わずに引き抜くようなことがあれば、IPMI
監視に引っかかり、即時に通知されます。
キャンセル後のサーバーのHDDを引き抜い
てデータがコピーされてしまうのではない
か？
サーバーキャンセルが実施されると、ドライブ消去ソフトウェア
（Defense (DoD) 5220.22-m standards）によって、自動的にデータは
消去されます。削除に失敗したディスクは物理的に破壊されます。

38
テナント分離（サーバー）
物理サーバー
OS
MW
アプリ
物理サーバー
OS
MW
アプリ
独自Hypervisor
OS
MW
アプリ
OS
MW
アプリ
物理サーバー
OS
MW
アプリ
XenServer
OS
MW
アプリ
OS
MW
アプリ
物理サーバー
OS
MW
アプリ
XenServer
OS
MW
アプリ
OS
MW
アプリ
SoftLayerは以下の３タイプのサーバーを提供
物理サーバー
• 物理サーバー上に
OSを直接導入して
も、自社専有の
Hypervisorを別
途導入しても良い。
仮想専有サーバー
• 他社仮想サーバーが
同一物理サーバー上
で稼動しないことを保
障
• Hypervisorは
SoftLayer管理
仮想共有サーバー
• 他社仮想サーバーが
同一物理サーバー上
で稼動する可能性が
ある
• Hypervisorは
SoftLayer管理
自社
自社自社自社自社自社他社他社
※SoftLayerの仮想サーバーのHypervisorはXenServerで稼動しており、Xenの未知の脆弱性対応のために緊
急メンテナンスを行うことがある。詳細は以下リンクを参考。
SoftLayerのXen脆弱性に伴う再起動：FAQとHint & Tips
http://qiita.com/testnin2/items/cafed2d98d18102be84a

39
テナント分離（ストレージ）
SoftLayerはデフォルトで以下のストレージを提供。
ユーザーが独自に実装することで、以下のストレージタイプも作成可能
シングルテナント
（自社専有）
マルチテナント
（他社と共有）
物理サーバーのLocal Disk ✔
仮想サーバーのLocal ✔
仮想サーバーのSAN ✔
仮想サーバーのPortable Storage ✔
Block and File Storage(Endurance
Storage/Performance Storage)
✔
Object Storage ✔
（自社専有）
VMware Virtual SAN(VMwareソリューション） ✔
QuantaStor/NetApp ONTAP Select(SDSソリューショ
ン）
✔
NetApp Private Storage（コロケーション領域にHWスト
レージを配置＋Direct Link）
✔

40
テナント分離（ネットワーク）
（自社専有）
SoftLayer内部の物理ルーター（FCRやBCRなど） ✔
Shared Firewall/Shared Load Balancer ✔
Dedicated Firewall/Dedicated Load Balancer ✔
スイッチ(ラック間の集約用） ✔
ラックおよびスイッチ（トップオブラック） ✔
ラックおよびスイッチ（トップオブラック）
※Virtual Data Center（専用ラック）オプション利用時
✔
Vyatta Gateway Server(仮想ルーター・アプライアンス） ✔
NetScaler VPX/MPX（ロードバランサー・アプライアンス） ✔
Public VLAN/Private VLAN ✔
物理NIC （物理サーバー利用時） ✔
物理NIC （仮想専有サーバー利用時） ✔
物理NIC （仮想共有サーバー利用時） ✔
（論理NICは専有）

41
SoftLayer外部認証(1)
名称説明
SOC1/SOC2/SOC3 - AICPAによって設けられた運用基準（セキュリティ、可用性、処理の一貫性、機密保持、
プライバシー）に対する第三者機関による監査。
- 時点評価(Type1)ではなく、期間評価(Type2)での評価。
- SOC1/SOC2結果はCustomer portalからリクエストすることで入手可能
- SOC3:http://static.softlayer.com/sites/default/files/assets/page/softlay
er_soc_3_final_report_10_2016.pdf
ISO27001:2013 - 情報資産を様々な脅威から守り、リスクを軽減させるための情報セキュリティマネジメントシス
テムに必要とされる世界的なセキュリティースタンダード。
http://static.softlayer.com/sites/default/files/assets/page/softlayer_iso
_27001_041516.pdf
ISO27017:2015 - クラウドサービスプロバイダーおよびクラウド利用者の両方の視点に基づいた、クラウドサービス
の実装や情報セキュリティコントロールに関するガイドライン。第三者機関によって監査。
http://static.softlayer.com/sites/default/files/assets/page/softlayer_iso
27017.pdf
ISO27018:2014 - ISO29100のプライバシー原則に従ったパブリッククラウド環境のためのPII(Personally
Identifiable Information)を保護するためのガイドライン。ISO27002を土台にしてい
る。
http://static.softlayer.com/sites/default/files/assets/page/softlayer-iso-
27018.pdf
Cloud Security Alliance - 非営利法人が提唱しているクラウド利用時のセキュリティーに関するベストプラクティスに対し
ての応答集
- CSA STARレジストリーからセルフ・アセスメント結果を入手可能
https://cloudsecurityalliance.org/star-registrant/softlayer/

42
SoftLayer外部認証(2)
名称説明
PCI-DSS - クレジットカード業界のセキュリティ基準。お客様ワークロードについては必要に応じて個別
に認証取得が必要であり、SoftLayerはそのための支援が可能。プライベートクラウド
（シングルテナントの仮想サーバー）や、物理サーバーがPCIワークロードをホストするのに
適している。
HIPPA - 「医療保険の相互運用性と説明責任に関する法律」。お客様ワークロードについては必
要に応じて個別に認証取得が必要であり、SoftLayerはそのための支援が可能。プライ
ベートクラウド（シングルテナントの仮想サーバー）や、物理サーバーがPCIワークロードを
ホストするのに適している。
EU Model Clauses - 欧州経済地域 (EEA) から発信するデータを EEA 以外の国に転送するために、セーフ
ハーバー原則の代わりに欧州委員会と欧州連合 (EU) のデータ保護機関に承認された
形式で提供。
（参考リンク）
http://www.softlayer.com/compliance
http://www.softlayer.com/government
http://www.softlayer.com/government-security

43
（参考）CSAセルフアサイメント結果
クラウドに関する調査質問 SoftLayerによる回答

44
FISC安全対策基準への対応
 お客様がクラウドサービスを活用するに当たり、リスク評価
の参考にしていただくために、SoftLayerに関して『金融機
関等コンピュータシステムの安全対策基準解説書』(FISC安
対基準）をベンチマークし安全評価を実施。
（参考）評価結果は、こちらからダウンロードできます。
http://www.ibm.com/cloud-computing/jp/ja/softlayer_fisc.html

45
• SoftLayer概要
• まとめ

46
不正利用
なりすまし
不正アクセス
不正侵入
ウィルス
改ざん
書き換え
害
人
的
組
織
的
セキュリティ
般
技
術
的
ネットワー
セキュリティ
(IPSec/IP-VPN)
DoS/DDoS
対応（フィ
ルタリン
グ）
化）
Fake AP
サーバー・セ
キュリティ
プ
負荷分散
OS Firewall
MSGスキャ
ン
DoS/DDoS
対応（NDS、
パケット制
限）
防止
DBMS暗号
化・ファイ
ル暗号化
物
理
的
環
境
的
セキュアな環
境・施設・オ
フィス

47
SoftLayerのユーザー構造
権限
デバイス
権限
デバイス
割り当て
割り当て
権限
デバイス
権限
デバイス
マスター
ユーザー
M
子ユーザー
A
孫ユーザー
Invoice
事業部A 事業部B
子ユーザー
B
孫ユーザー
パスワードリセット・ユーザー毎に、
権限とアクセス可
能なデバイスを設
定可能です。
・親ユーザーにな
い権限、デバイス
へのアクセスは、
子ユーザーには
許可できません
・１つのSoftLayer契約に対し
てマスタユーザーが1つだけ発
行されます。
・マスタユーザーを親ユーザー
として、複数階層のサブユー
ザーの作成が可能です。
・課金の請求は、マスタユーザ
ーに対してのみ発生します。
・パスワードリセットが出来る
のはマスターユーザーのみで
す。
Portalへのログオンは、二種類のクレデンシャルを組み合わた二要素認証が利用できます。
システム管理用のVPN接続は、ポータルと異なるパスワードを設定できます。

48
カスタマーポータルのセキュリティ(1)
 ログイン時に、password以外の追加の質問(Security Question)を組み合わせ可能
– 例）好きなartistは誰ですか？
– パスワードリセットをポータル経由で実施するために必須
参考リンク：http://qiita.com/testnin2/items/9e2fd480731071152afb
+
+
 ログイン時に二要素認証を組み合わせ可能（Google Authenticator, Symantec Identity
Protection, Phone-based authentication）

49
カスタマーポータルのセキュリティ(2)
 password
– 短いパスワード長の禁止（8 to 20文字）
– 大文字・小文字が両方含まれること
– 最低１文字は数字を含むこと
– 最低１文字は右記の記号を含むこと _-|@.,?/!~#$%^&*(){}[]=
– Expire期限の設定（30日/45日/60日/90日/120日/無期限）
 ユーザーごとの操作権限
– 70を越える権限（Support/Devices/Network/Security/Services/Account)
– ベアメタルサーバー、仮想サーバーへのアクセス制御
 ポータルへのログイン成功履歴、ログイン不成功履歴などの監査ログの自動取得（APIでも
実装可能）
 60日以上Customer PortalにもVPNにもアクセスしなかったユーザーは自動的にInactive状
態に遷移
 IPアドレス制限
– 例）特定のIPレンジからでないとカスタマーポータルにアクセスできないように構成可
能。
 Private NWからもアクセスが可能。
– https://control.softlayer.com (Public)
– https://control.service.softlayer.com (Private)

50
（参考）人的組織的対策について
Computer Security Incident Response
Team（CSIRT）とは
インターネット上で何らかの問題（主にセキュ
リティー上の問題）が起きていないかどうか監
視すると共に、万が一問題が発生した場合に
その原因解析や影響範囲の調査を行う組織
の総称（起源は米国カーネギーメロン大学内
に設置されたCERT/CC）。
個別導入
計画の
作成
(製品レベ
ルまで落と
しこんだも
の)
１章．セキュリティ技術標準の使い方
- 新規システム構築時
- 既存システム改変時
- ・・・
２章．前提となる考え方
- システムモデル
- 情報資産価値の区分
- ネットワークのゾーニング
- ・・・
３章．セキュリティ機能
- セキュリティ機能マトリックス
- セキュリティ対策マトリックスの見方
- ・・・
４章．実装案
- 識別と認証
- アクセス制御
- 暗号化
- ・・・
目次
「セキュリティー技術標準」策定結果ご報告書
Red Yellow Green Blue
外部ネットワーク内部ネットワーク
Blueゾーンの特定サーバからの
直接アクセスを許可。
GreenゾーンもしくはBlueゾーン
から特定のサーバに対しての直接
アクセスを許可。
Yellowゾーンからの直接アク
セスのみ許可。 Greenゾーン
もしくはBlueゾーンからの直
接アクセスは禁止。
内
部
→
外
部
Redゾーンからの直接アクセス
は禁止。Greenゾーンもしくは
Yellowゾーンからのアクセスの
み許可。
は禁止。Yellowゾーンからのア
クセスのみ許可。
Redゾーンから特定のサーバに対
しての直接アクセスを許可。
外
部
→
内
部
Blueゾーンの特定サーバからの
直接アクセスを許可。
GreenゾーンもしくはBlueゾーン
から特定のサーバに対しての直接
アクセスを許可。
Yellowゾーンからの直接アク
セスのみ許可。 Greenゾーン
もしくはBlueゾーンからの直
接アクセスは禁止。
内
部
→
外
部
は禁止。Greenゾーンもしくは
Yellowゾーンからのアクセスの
み許可。
は禁止。Yellowゾーンからのア
クセスのみ許可。
Redゾーンから特定のサーバに対
しての直接アクセスを許可。
外
部
→
内
部
外部から直接内部システムを攻
撃される危険性があるため、Red
ゾーンからの直接アクセスは
Yellowゾーンのみ許可する
戻りパケットを悪用して外部から直
接内部システムを攻撃される危険
性があるため、Yellowゾーン以外
からの外部ネットワークへの直接ア
クセスは禁止する
：ゾーン間の通信の方向：ゾーン間の通信の方向
ネットワークゾーン間のアクセスルール
セキュリティ
対策機能名
概要
利用者の識別
と認証
情報資産のアクセス主体（人やコンピュータ、プログラム）を適切な識別子（アクセス主体を識別する
ためのID情報）で識別し、その識別子の利用者の真正性を、認証キー（アクセス主体と認証者のみ
が共有する情報）をもとに確認する。
システム
アクセス制御
システムやネットワークに対する不正なアクセスを防止する為に、システムやネットワーク機器への
アクセスを利用者（アクセス主体）の識別子情報（アクセスID情報）とアクセス権限情報に基づき適
切に制御する。
データ
アクセス制御
データに対する不正なアクセスを防止する為に、データへのアクセスを利用者（アクセス主体）の識
別子情報（アクセスID情報）とアクセス権限情報に基づき適切に制御する。
ネットワーク
アクセス制御
ネットワークやシステムに対する不正なアクセスを防止する為に、ネットワーク及びシステムへのア
クセスを利用者（アクセス主体）の識別子情報（アクセスID情報）とアクセス権限情報に基づき適切
に制御する。
～
～
～
～
セキュリティ機能名
内容
該当セキュリティ機能の概要
実装箇所
該当セキュリティ機能の実装対象となるシステムコンポーネント
の種別情報
実装案
各システムコンポーネントごとの実装案
実装上の考慮点
セキュリティ対策を実装する際に考慮すべき点
運用上の考慮点
セキュリティ対策を運用する際に必要となる運用手順や対応手
順、決定すべき体制などを記述
～各セキュリティ機能項目ごとに上記内容を記述～
各セキュリティ機能に関する記述内容の項目
総合評価
Ｇａｐ分析評価結果サマリー　×と△のみ　「対策必須項目」と「必須ではないが原則対策実施項目」のみセレクト
OA使用PC
APLサーバ GWサーバ RDPサーバ
ジョブ管理
サーバ
バックアップ
サーバ
システム管理
サーバ
DBサーバクライアントPC
SNA GWサー
バ
CTIサーバ Sagentサーバ
バックアップド
メインサーバ
DBサーバ
MatchＭａｉｌ
サーバ
音声応答装置
オペレータ端
末
全銀送信端末 Webサーバ
メールサーバ
１
メールサーバ2
ファイルサー
バ
伝送サーバコンソール
テープバック
アップ
DBサーバ外部公開バックボーン
重要ネットワー
ク
URLフィルタリ
ング機器
GWウィルス対
策機器
OA使用PC
＃２＃２＃２＃２＃２－Ａ＃２＃２－Ａ＃３－Ａ＃２＃２＃２＃２＃２－Ｂ＃２－Ｂ＃２－Ｂ＃３＃３－Ａ＃４＃４＃４＃２－Ｂ＃６－Ｂ＃６＃２－Ａ＃２－Ａ＃００＃０＃０００＃４＃４＃３
1 「利用者の識別と認証」 △ △ △ △ △ △ △ △ △ △ × × × × △ △ △
2 「システムアクセス制御」 △ △ △ △ △ × △ △ △ × × × × × × ×
3 「データアクセス制御」 × × × × × ×
4 「ネットワークアクセス制御」 × × × × × △ △ △
5 「不正入出力データ排除」 △
6 「送受信制限」
7 「クライアントデータ不正持ち出し制限」 △ × ×
8 「否認防止」
9 「ウィルス対策製品の導入と設定」 × × × × × × × × × × × × × × × × △
10 「ＧＷ型ウィルス対策製品の導入と設定」
11 「ハードニング」 △ × × × × × × × × × × ×
12 「セキュリティパッチの適用」 △ △ △ △ △ △ △ △ × × × × × × × × × △ △
13 「セキュリティルール違反クライアント接続排除」
14 「持ち込みクライアント接続排除」
15 「保管データ保護」 × × × × × × × △ × ×
16 「転送データ保護」 × × × × × × × △ △ × × × × ×
17 「データ冗長化」
18 「システム冗長化」 × △ △ × △ △ △ △ △
19 「ネットワーク冗長化」
20 「利用者認証ログ取得」 × × × × × × × × × × × × × × × × × △ △ △ △ △ △
21 「システム認可ログ」 △ △ △ △ △ △ × × × × × × × × × × × × × × × × × × × △ △ △ △ △ △
22 「データ認可ログ」 × × × × × × × × × × ×
23 「ネットワーク通信ログ取得」 △ × △ △ △ × × × × × × × × × × × × × × × × × △ △ △ △ △
24 「保管データ改竄検知」 △ × ×
25 「転送データ改竄検知」 × × × × × △ × × × × ×
26 「システム侵入検知」
27 「ネットワーク侵入検知」
28 「システム異常検知」 × × × × × × × △ △
29 「ネットワーク異常検知」
30 「システムバックアップ」 △ △ △ △ △ △ △ × × × × × × × × × △ △
31 「データバックアップ」 × △ △ △ × × × ×
32 「転送データ再送」
コンポーネント名
モデル名
DACS コールセンターシステム社外向け Web ネットワーク機器システム名称
実
既存システ
ムのGap
分析
セキュリテ
ィー整備計
画(案)の作
成
実装レベルのセ
キュリティー技術
標準策定
実
装
セキュリティー
 予算  パフォーマンス
 キャパシティーe.t.c
ポリシー Gap分析初期整備計画導入計画実装
IBM セキュリティー技術標準策定支援サービス
IBM CSIRT研修

51
（続き）
■ 幅広くワンストップで対応：プラットフォームや製品ベンダーによらず幅広くご支援。
■ お客様環境を踏まえたご支援：事前連携強化による的確・迅速な有事対応支援。
■ 電話での一次サポート：現地駆け付けだけでなく電話でのご支援も提供。
IBM エマージェンシー・レスポンス支援サービス (ERS)
高度な専門スキルが必要なセキュリティ・インシデント対応に、プロフェッショナルを派遣してご支援
フォレンジック調査支援

52
• SoftLayer概要
• まとめ

53
不正利用
なりすまし
不正アクセス
不正侵入
ウィルス
改ざん
書き換え
害
人
的
組
織
的
セキュリティ
全般
技
術
的
ネットワー
ク・セキュリ
ティ
(IPSec/IP-VPN)
DoS/DDoS
対応（フィ
ルタリン
グ）
化）
Fake AP
サーバー・セ
キュリティ
プ
負荷分散
OS Firewall
MSGスキャ
ン
DoS/DDoS
対応（NDS、
パケット制
限）
防止
DBMS暗号
化・ファイ
ル暗号化
物
理
的
環
境
的
セキュアな環
境・施設・オ
フィス

54
Cloud型リバースプロキシを使って
SoftLayerに入ってくる前に防御
Imperva
Incapsula ,
CDNetworks,
Akamaiなど
Web アプリケー
ションファイアウ
ォール
DDoS
Protection
コンテンツ
デリバリ
ネットワーク
（CDN)
ロード
バランサー&
GSBL
正規
ユーザー
• Webサイトへのトラフィックを、SoftLayerにアクセスする前にクラウド型リーバスプロキシシステムを
経由するようにルーティングすることで、不正なアクセスを排除しSoftLayer上のサーバーへの直
接攻撃を防ぐことが可能になります。
• 一般的に、送信元IPやCountry情報やHTTPパラメーターを元にしたフィルタリングも可能です。
クラウド型リバースプロキシを
通らずにSoftLayerに入って
くる経路は許可しない
SoftLayer上
のワークロード

55
SoftLayerが実装しているDDoS防御
SoftLayer の DDoS対応
• ある特定のサーバー攻撃を受けることによってSoftLayer上のNW機
器のリソースが逼迫し、攻撃を受けていない他のIPアドレスまでも
利用できなくなることを防ぐことが目的
• SoftLayerによる共通サービスであるため、利用者ごとのカスタマイ
ズは不可
• Cisco Guard/Arbor Peakflow/ Arbor ATLAS Global Traffic
Analyzer/Radwareなどを使って、PoPを通過するトラフィックを監視
し、DDoSのパケットを検知した際に対策を実施
• モニタリングは24/365体制にてNOCで集中監視
インターネット
DDOS
対策機器
閾値監視
SoftLayer
DDOS
対策機器
DDoS攻撃の検知がされたら、何が起こるか？
◆第一フェーズ
• 攻撃を検知すると、攻撃対象へのトラフィックをDDOS対策機器へ
転送し、一定期間そのIPアドレスへの経路を完全に無効化（null
route)
• DDoSアタックが終了すると、トラフィックは通常のルートに戻る
◆第二フェーズ
• 攻撃が継続しトラフィックが増大するなどして、更なる保護が必要
だとNOCで判断されると、問題が解決されたとみなされるまで、そ
のIPアドレスへの経路を無効化（null route)
対象IPへの経
路を無効化
SoftLayer
正常時
DDoS検知時

56
SoftLayer PoP
Equinix社データセンター
東京データセンター
SoftLayer PoD
お客様コロケ
ーションエリア
SoftLayer接続パターン
Equinix
Cloud
Exchange
お客様コロケーションエリア
任意のクライアン
ト-サーバー型
VPN
SSL VPN,
PPTP VPN
拠点間
IPSec VPN
任意の拠点間VPN
アカウントごとのNW
Vyattaやユーザー持込
のVPN Software
SoftLayerネットワーク
IBM幕張データセンター
SoftLayer VPNサー
ビス（管理用途）
Direct Link NSP
お客様のコロケーションエリアなので、機器（ホスト、
UNIX、セキュリティー機器、HWアプライアンス、スト
レージ機器、回線など）の配置が可能！
Internet
専用線
専用線
専用線
専用線
他社クラウド
と接続
Direct Link Cloud
Direct Link
Collocation
CMS SLi
他リージョンの
SoftLayer
PoPSoftLayer
Global WAN
他リージョンの
SoftLayer
PoD

57
SoftLayer VPNサービス
利点
– SoftLayer管理のため、利用者が別途VPNサーバーを構築・運用する必要がない。
– Public NWを使っていないので、Outbound Bandwidthに対しても課金されない。
– Public NWを使わずにアクセスできるので、セキュアな通信が可能。
– SSL VPN/PPTP VPNは、手動で特定のVLAN上のサブネットのみにアクセス許可を
与えることが可能。
• つまり、VPN経由でも直接一般サーバーにアクセスすることを防止し、踏み台サーバー経由でア
クセスすることを強制する仕組みが可能。
踏み台サ
ーバー

58
(続き）
注意点：
– SoftLayer提供のVPNサービスは管理用途（SSH接続やRDP接続）を目的として
いる。よって、SoftLayerへのファイル転送には向いていない。
SoftLayer管理のNW Zone
アカウント毎に割り当て
られたNW Zone
①
②
回避策1:
– 独自に、VyattaなどでVPNを構築する（ただし、Public NW経由になるので、
Outbound Bandwidthが発生する。
回避策2:
– Object Storageにインターネット経由でファイルをSFTPやpython-swiftなどで
uploadし、Object StorageからはPrivate NW経由でダウンロードする。（サーバー
側に割り当てられたPublic NWは使用しない）
参考URL:
http://qiita.com/testnin2/items/
64f934f61bcaf7ac2572

59
SSH/RDPアクセスのための
Firewall構成
Public NW
を完全に閉じ
て、専用線や
VPNなどを
使って
Private NW
経由でアクセ
スする
パスワードは
十分に複雑で
ある（Linux
では秘密鍵暗
号化方式が使
えるならそち
らが望まし
い）
Firewallで
不要なポート
はすべて閉じ
ている
Firewallで
接続元IPア
ドレスを制限
している
SSHやRDP
にWell-
known
port番号を
使用しない
アクセス履歴
を定期的に確
認する
方法１ ✔ ✔ ✔
方法２ ✔ ✔ ✔ ✔
方法３ ✔ ✔ ✔ ✔
– SoftLayerのサーバーは、初期注文時にはFirewallが構成されていない。
– Firewallは、開いているポートに対する攻撃を緩和することはできない。
– Firewallは（できればVyatta Gateway ApplianceとOSのように）多重で構成する。
– 最低でも以下のどれかの方式を採用する。これ以上の対策ができることが望ましい。

60
ファイアーウオールの選択基準
特徴
OS
ファイアウォール
ハードウェア
（共用型）
ハードウェア
（専用型）
Fortigate
Security
Appliance
Vyatta
Gateway
Appliance
適用範囲
OS（パブリックIP、プラ
イベートIP）
サーバーの
Primary IPアドレス
１個（ポータブルIP
は不可）
パブリック
VLAN x1個
パブリック
VLAN x1個
パブリックVLAN x N
プライベートVLAN x
N
共用／専用専用(OS) 共用(HW機器) 専用(HW機器) 専用(HW機器) 専用（物理サーバ）
HA構成 n/a コールドスタンバイ可能可能可能
保護対象
Inbound/
Outbound
Inboundのみ Inboundのみ
Inbound/
Outbound
Inbound/
Outbound
性能
サーバー能力に依存
するが、負荷は微少
10Mbps〜
2000Mbps
〜1Gbps 〜1Gbps
〜10Gbps
(NICリンク速度に依
存）
その他の特徴
・OSにバンドルされるFW
または別途購入
・ログを取得するために
は、定期的に
Customer Portalで
ダウンロードするか、
APIを使う必要がある
・ログを取得するために
は、定期的に
Customer Portalで
ダウンロードするか、
APIを使う必要がある
・高価
・FortiGuard AV,
NGFW, Web
Filteringのオプション
あり
・運用が自己責任
・Syslog転送や
timezone変更など
ができない、シグネ
チャーの更新タイミン
グが制御できない等の
制限あり
・高価
・IPSec
VPN/GRE/NAT/V
LANトランク/ルーティ
ングなど、豊富なルー
ター機能を利用可能
であり、ゾーニングに利
用可能
・プライベートVLANも
保護可能
・高価
１つのVLANに対してどれか１つのFWしか適用できない
一般にVyatta Gateway ApplianceとOSファイアウォールを兼用することを推奨

61
（参考）ファイアーウォール構成
Vyatta(Router + Firewall)
Inboundパケットは、Hardware
FirewallやFortigate Firewallが
ユーザーVLANに入ってくる前
で保護
Vyatta Gateway Applianceは対
象のVLANを紐付けて、Vyatta
自身がユーザーVLANに入って
くる前で保護
①あるPublic VLANは、Vyatta/Hardware Firewall/Fortigateのどれか１つで保護する。
FWを兼用できない。（既に紐付け済みのVLANに対してFWの注文ができない）
Hardware Firewall or
Fortigate Security Appliance
②Vyatta Gateway Appliance自体をHardware FirewallやFortigate で保護することはで
きない
VyattaのVLANに対してFirewall
機器を注文しようとすると、”The
selected VLAN is a transit
VLAN and therefore ineligible
for a dedicated firewall.”という
エラーメッセージがでる。
このサーバーのdefault
gatewayはVyatta
このサーバーのdefault
gatewayはFirewall機器

62
ロードバランサーの選択基準
特徴
Nginxや
mod_proxyなど
のOSSやソフトウェ
ア持込み
ローカル
ロードバランサー
（共用型）
ローカル
ロードバランサー
（専用型）
Citrix
NetScaler
VPX/MPX
適用範囲パブリック、プライベートパブリックのみ(1IPのみ）パブリックのみパブリック、プライベート
共用／専用
専用(OS) 共用(HW機器) 専用（HW機器） VPX: 専用仮想サーバー
MPX: 専用HWアプライアンス
HA構成可能コールドスタンバイ可能可能
配置場所
ユーザーVLAN Hardware Firewallより
更に前段にありNATするた
め、特定サイトからの接続を
防ぐFW構成が不可のた
め、Webサーバー側での
保護が必要（次ページ参
照）。
Hardware Firewallより
更に前段にありNATするた
め、特定サイトからの接続を
防ぐFW構成が不可のため、
Webサーバー側での保護
が必要（次ページ参照）。
ユーザーVLAN
性能情報
採用製品・サーバーリソー
スに依存
最新情報はhttp://www.softlayer.com/tco/pdf/Compare_LoadBalancers_us-en.pdfを参照
SSLオフロード
採用製品・サーバーリソー
スに依存
ありあり v10.5 Build 57.7から
TLS1.1. TLS1.2に対応
AutoScale機能と
の連携
なしありありなし
その他の特徴
・自前でライセンス購入・
導入が必要
・ただし、ライセンス持込
によって、購入元から日
本語でのサポートが受け
られる
比較的安価・高価・高価
・NetScaler VPXを利用するにしても、代理店経由で
購入したライセンス持込みタイプにした方がベターかも
。

63
（参考）
送信元IP
送信先
IP(Load
Balancer
のVIP)
データ
送信先
IP(Load
Balancer
のIP)
送信先
IP(割り振
り先IP）
データ
Local Load Balancer Hardware
Firewall
Load Balancer
(OSS, NetScalerなど）
Hardware
Firewall
ローカルロードバランサーのケース
OSS/NetScalerなどのケース
SNAT/DNAT
Webサーバー側でHTTPヘッダ(X-FOWARD-FOR)を見てアクセス制御＋ロギ
ングの設定は必須！
（参考リンク）：http://qiita.com/testnin2/items/037e1337a1d9b5f13231）
Firewallから見ると、すべてLoad
Balancerからパケットが来たよう
に見えてしまうため、接続元IPを
使って制限ができない。
Webサーバーから見ると、す
べてLoad Balancerからパケッ
トが来たように見えてしまう

64
NWゾーニング構成例１
SoftLayer
Backend Service
Endurance
Storage
Performance
Storage
NTP Patch
• Publicからの接続は全く行わないというある意味割
り切った方法
• SSL VPN/PPTP VPNを利用。ただし、これらは運用
用途を意図した接続であり、ファイル転送などの高
速接続には適していないことに注意
• 専用線を使ってもよい
「インターネット隔離」パターン
お客様拠点(LAN）
イン
ター
ネット
Load Balancer

65
NWゾーニング構成例2-1
SoftLayer
Backend Service
Endurance
Storage
Performance
Storage
NTP Patch
イン
ター
ネット Local
Load
Balancer
Hardware
Firewall
• 共用型のLocal Load BalancerやHardware Firewallを利用することで価格を
抑える。
• Local Load BalancerでSNAT/DNATが実行されるので、FirewallはLocal
Load Balancerからしか来ない。そのため、「特定のIP rangeからしかWebアク
セスできないようにブロックする」といった構成は、HTTPヘッダ（X-Foward-
For）を使ってWebサーバ側で制御する必要がある。
• Hardware FirewallはInboundのみ制御可能。Outboundは不可。可用性に制
約あり。
「最小構成でお安く」パターン

66
NWゾーニング構成例2-2
SoftLayer
Backend Service
Endurance
Storage
Performance
Storage
NTP Patch
イン
ター
ネット Hardware
Firewall
• 単一ゾーン
• 共用型のLocal Load BalancerやHardware Firewallを利用することで
価格を抑える。
• Hardware FirewallはInboundのみ制御可能。Outboundは不可。可用
性に制約あり。
「最小構成でお安く」パターン
Load Balancer

67
NWゾーニング構成例3
Routing Zone
DMZ Zone
Web/AP Zone
SoftLayer
Backend Service
Endurance
Storage
Performance
Storage
NTP Patch
Load Balancer
イン
ター
ネッ
ト
VPN GW
IPSec VPN
DB Zone
• Vyattaがボトルネックになりや
すいので、10GbpsのNICを採
用し、冗長化することを推奨。
• VyattaからDNATでPrivate
NW経由でLoad Balancerに
転送するのも１つの方法。
• DMZ ZoneとWeb/AP Zoneは
同一Zoneとして、両者の間の
アクセスはVyattaを経由させな
いようにするのも１つの方法。
「定番構成」パターン
（まずはこれを基本に考える）

68
DMZ Zone
Web/AP Zone
SoftLayer
Backend Service
Endurance
Storage
Performance
Storage
NTP Patch
Load Balancer
イン
ター
ネッ
ト
DB Zone
「Fortigate/Hardware FW」パ
ターン
Routing Zone
• SoftLayer上でのForigateや
Hardware Firewallの運用上
の制約を理解した上で利用
したい場合に使用。
• VyattaはPrivate VLAN間の
通信制御やVPN接続のみに
利用している。
Fortigate Security
Applianceや
Hardware FW
VPN GW
IPSec VPN

69
Vyatta Zone
SoftLayer
Backend Service
Endurance
Storage
Performance
Storage
NTP Patch
イン
ター
ネッ
ト
vSwtich
VLAN=
1101
VLAN=
1103
VLAN=
1102
vCe
nter
VM2
VM3
VM4
SoftLayerのサポートに依頼して、
Native VLAN1101に所属する持つ
NICに対して、 VLAN1102/1103を
Trunkしてもらう（NICを増設する訳
ではない）。
VLAN1102/1103を購入し、
VyattaにVLAN Interfaceを構
成する。
VMWare利用時のパターン
vSwtich
VLAN=
1101
VLAN=
1103
VLAN=
1102
VM6
VM7
VM8

70
Vyatta Zone
イン
ター
ネッ
ト
VMWare NSX利用時のパターン
VMwareNSX
VMWare NSXを利用する利点
• VXLANによる仮想ネットワークによって、マルチテナント環境（開発環境、検証環境）を同一物理サーバー上で幾つで
も作成可能。もちろん複数サイトにまたがったL2延伸や物理ネットワークとのVLAN-VXLAN bridgeも可能。
• 分散ルーターによって、セグメントをまたぐ通信であっても、毎回上位ルーターを経由するヘアピン通信を防ぐことが可能。
• 分散ファイアーウォールによるマイクロセグメンテーション（vNICごとにFWルールを設定できる）が使える。
• ロードバランサーやSSL-VPNもVMware NSXのライセンスがあれば利用可能。
SoftLayer
Backend Service

71
（参考）VMware NSXのマイクロセグメンテーション
VMVM VM
VMVM VM
境界型FWで
内部拡散を防
ぐ事は困難
標的型攻撃
など
従来のセキュリティー対策
• ネットワーク・セグメントの境界に設置した
境界型ファイアウォールで保護
• 標的型攻撃や内部犯行などで一度内部に侵入
された場合、内部拡散を防ぐことが困難
• 各VM単位でファイアウォールを設置すること
で内部拡散を防止することも可能だが、OS上
で稼動するソフトウェア・ファイアウォール
は、感染により無力化されてしまう恐れがあ
り、また、個別に設定・管理を行う必要があ
るため運用コストの観点から実現が困難
NSX
分散
ルーター
分散
ファイア
ウォール
vSphere
セグメント A セグメント B
ESXi
セグメント単位で
はなくVM単位で
通信制御が可能
WebWeb DBDB
NSXによるセキュリティー対策
• VM単位でファイアウォールを設定するマイク
ロ・セグメンテーションを実現
• IPアドレス単位ではなくvCenterのオブジェク
ト単位（仮想マシン、クラスター、リソース
プール等）で指定することが可能
• 個々のハイパーバイザーで分散処理を行うため、
容易にスケールアウトが可能
• ルール設定はNSXから一元管理できるため、運
用負荷を低減
• サードパーティー製品（例:トレンドマイクロ社
Deep Security）と連携させる事で、マルウェ
アやウイルスへの感染が検知されたVMを、自
動的にネットワークから隔離することも可能

72
Nessus脆弱性スキャン
SoftLayerで無償提供の脆弱性スキャナーを使って、気付かなかったサーバーの弱点を分析し、
セキュリティを向上するための糸口を検出します。
•SoftLayerポータル画面から、サーバーを指定して脆弱性スキャンを実行するだけ。
•脆弱性レポート結果に、対応策が提示されています。
•脆弱性を試験するプログラム（プラグイン）は、SoftLayer側で管理され、最新の状態
となっています。
脆弱性
レポート
脆弱性スキャナー

74
SSL証明書参考:
https://www.geotrust.co.jp/ssl_guideline/compare/ovdv.html
http://serverkurabe.com/ssl-matome/
https://www.symantec.com/ja/jp/page.jsp?id=compare-ssl-
certificates
個人用途
ドメイン認証（DV）
企業認証/法的実在証明（OV）
EV認証/物理的実在証明（EV）
EV認証/物理的実在証明（EV）
企業認証/法的実在証明（OV）

75
• SoftLayer概要
• まとめ

76
不正利用
なりすまし
不正アクセス
不正侵入
ウィルス
改ざん
書き換え
害
人
的
組
織
的
セキュリティ
般
技
術
的
ネットワー
セキュリティ
(IPSec/IP-VPN)
DoS/DDoS
対応（フィ
ルタリン
グ）
化）
Fake AP
サーバー・セ
キュリティ
プ
負荷分散
OS Firewall
MSGスキャ
ン
DoS/DDoS
対応（NDS、
パケット制
限）
防止
DBMS暗号
化・ファイ
ル暗号化
物
理
的
環
境
的
セキュアな環
境・施設・オ
フィス
セキュア・ゾーニング。セキュア・オフィス・施設・設備・什器

77
Evaultの暗号化機能
暗号化アルゴリズムの種類
• AES 256 bit
• DES 56 bit
• Blowfish 56 bit
• Triple DES 112 bit
• Blowfish 128 bit
• AES 128 bit

78
Idera/R1Softの暗号化機能
暗号化アルゴリズムの種類
• AES 256 bit

79
NetApp様: NetApp AltaVaultクラ
ウド統合ストレージ
 AltaVaultは、物理アプライアンス、仮想アプライアンスに対
応しているため、SoftLayerのObject Storageに安全かつシン
プルにバックアップが可能です。
 効率性：インラインの重複排除
と圧縮によって、データボ
リュームを最大30分の1に削減
 オープン：既存のバックアップ
アーキテクチャやお好みのプラ
イベートクラウドプロバイダ
と容易に統合
 安全性：FIPS 140-2レベル1に
準拠する暗号化により、保存中
または移動中のデータにもエン
ドツーエンドの完結したセキュ
リティを提供
 シンプル：わかりやすい管理コ
ンソールを使って、30分未満で、
保護環境をゼロから導入可能
http://solutionconnection.netapp.com/npsforsoftlayer

80
不正利用
なりすまし
不正アクセス
不正侵入
ウィルス
改ざん
書き換え
害
人
的
組
織
的
セキュリティ
般
技
術
的
ネットワー
セキュリティ
(IPSec/IP-VPN)
DoS/DDoS
対応（フィ
ルタリン
グ）
化）
Fake AP
サーバー・セ
キュリティ
プ
負荷分散
OS Firewall
MSGスキャ
ン
DoS/DDoS
対応（NDS、
パケット制
限）
防止
DBMS暗号
化・ファイ
ル暗号化
物
理
的
環
境
的
セキュアな環
境・施設・オ
フィス

81
IBM Eメール・セキュリティー管理サービス
 アンチウィルス機能
• 既知・未知問わずすべてのウィルスを検知し遮断するために、複数の商用スキャナーと特許取得の人
工知能Skepticを併用。
• ウィルスのDNAを分析し、シグネチャーだけに依存せずにプロアクティブに保護。
• ウィルスが直接添付されておらず、URLのリンク先にウィルスが仕掛けられている場合もプロアクティブに
分析。
 アンチスパム機能
• 公開ブラックリスト、ホワイトリスト、ブラックリスト、シグネチャリング、すけぷてぃっく技法が利用可能。
• 1500以上の独自ルールにより迷惑メールを判定し、隔離。
 コンテンツコントロール機能
• メールの利用方針に基づく管理（添付ファイル形式、メールサイズ、不適切な用語、送信者・受信者
制限、利用時間制限など）
http://www-935.ibm.com/services/jp/ja/it-services/jp-so-its-email_sec.html
本サービスご利用のお客
様でEメールによるウィル
ス感染はゼロ。（過去7年
以上の実積）

82
IBM Managed Security Services
for Web Security
クラウド環境
もしくはお客様ネットワーク環境
ウェブ・セキュリティー・センター
危険なサイト
ウィルスに感染するサイト
ウェブへのアクセスは
全てウェブ・セキュリ
ティー・センターを経由
して検査されます。
リモート・ユーザーも設
定によりウェブ・セキュ
リティー・センターを経
由して検査されます。
http://www-935.ibm.com/services/jp/ja/it-services/iss-mss-websecurity-00.html
 ウェブ・アンチウィルス/アンチスパイウェア
• 危険なサイトへのアクセスによる、スパイウェアやアドウェアのダウンロードをブロック、ウィルスとマルウェアを除去することで、
ユーザー・クライアントへの侵入、感染を防止。
 ウェブURLフィルタリング
• 高性能なURL分類データベースと、強化されたポリシーエンジン、カスタマイズ可能なブロックメッセージやグループ・ユー
ザー単位のレポーティングを提供。
 フル・マネージド・サービス
• ウェブ・セキュリティー・センターにて、ユーザーのウェブ・アクセスを監視、セキュリティー対策による導入コストや運用管理
負担を軽減。複数のセキュリティー・センターによる運用で高い可用性を実現。

83
不正利用
なりすまし
不正アクセス
不正侵入
ウィルス
改ざん
書き換え
害
人
的
組
織
的
セキュリティ
般
技
術
的
ネットワー
セキュリティ
(IPSec/IP-VPN)
DoS/DDoS
対応（フィ
ルタリン
グ）
化）
Fake AP
サーバー・セ
キュリティ
プ
負荷分散
OS Firewall
MSGスキャ
ン
DoS/DDoS
対応（NDS、
パケット制
限）
防止
DBMS暗号
化・ファイ
ル暗号化
物
理
的
環
境
的
セキュアな環
境・施設・オ
フィス

84
Intel Trusted Execution Technology
(Intel TXT)
参照：http://www.softlayer.com/intel-txt
1. Power ON時にIntel
TXTがBIOS/Firmware
を確認
2. Hypervisorが正
しいことを確認
3. OS、アプリを
起動
2. Hypervisorが不
正であることを検
出
3. Hypervisor
の起動が中断
Intel TXTはハードウェア支援型のセキュリティ技術であり、Hypervisorの起動前
に、BIOS/Firmware/Hypervisorが適合であることを確認できる技術です。

85
Hardware Security Module(HSM)
一般的な鍵管理と欠点
• ファイルシステムへ鍵を保管し、OSやミドルウェアやアプリケーションによる制御を実施する。そ
のため、OSやミドルウェアやアプリケーションにセキュリティーホールがあるリスクがある。
• 鍵利用時にはメモリ中に展開する。そのため、メモリーダンプを取られることで読み取られる可
能性があり（鍵データは乱数性が高いので簡単に見分けが付く）
Luna SA HSMによる暗号鍵管理の利点
• 不正操作から防御するセキュアな鍵管理（メモリダンプやサイドチャネル攻撃から防御）
• 高速な暗号演算処理（暗号化、復号化、署名、検証）
• 物理的な改竄の痕跡を残さずに鍵を取り出せないように FIPS 140-2 Level 2認定済み
主なユースケース
• SSL/TLS: 秘密鍵のセキュアな保管とライフサイクル管理＋SSLアクセラレーション
• Oracle DB/SQL ServerのTransparent Data Encryption (TDE)機能におけるマス
ターキー保管。
• アプリケーション配布時のコード署名
• クラウドアプリケーションの暗号演算処理（例：ブロックチェインにおけるledger
transactionの電子署名や、金融および決済サービスをクラウド上で扱う際の暗号化など）
https://knowledgelayer.softlayer.com/learning/le
arn-more-about-hsm

86
IBM SoftLayer上のセキュリティ対策に
最適なTrend Micro Deep Security
Trend Micro Deep Securityは現在のサーバが抱えているセキュリティ課題を仮想・クラウド・
物理環境にまたがって、トータルに解決する統合型サーバセキュリティソリューションです
OS上にインストールするエージェント型と、VMWare上にVirtual Applianceとして導入するこ
とでゲストサーバーにエージェント導入を不要とするエージェントレス型が存在します。
SoftLayerでは物理サーバーを提供しているため、どちらのタイプも利用できます。

87
標的型攻撃対策：FFR yarai (FFRI, Inc.)
• パターンに依存することなく、標的攻撃型マルウェア、既知マルウェア、
未知マルウェアによる脆弱性攻撃やゼロディ脆弱性の防御に対応。
• アンチウイルスソフトと組み合わせることで、アンチウイルスソフトを回避
する攻撃に対して多層的に防御可能。
http://jslug.jp/images/CloudSecurity.pdf

88
ベル・データ様:セキュアクラウドサービ
ス Website GUARDIAN
ウェブサイトの改ざんを瞬間検知・瞬間復旧！
ファイル・ディレクトリの追加/削除/変更/権限変更に完全対応。
改ざん検知・瞬間復旧「WebARGUS
®
」(*1)が、ウェブサイトが改ざんされても1秒未満で
元の正常な状態にウェブサイトを自動復旧します。
*1 開発元：デジタル・インフォメーション・テクノロジー株式会社WebARGUS®とは

89
IBM QRadar Security Intelligence
Platform
IBM QRadar Security Intelligence (Hybrid Cloud ,
SoftLayer 用)
• 複数のクラウド・デバイスとの統合
– IBM SoftLayer ‒ Qualys
– Amazon CloudTrail ‒ CloudPassage
– Salesforce.com ‒ IBM Security Trusteer Apex
– Zscaler ‒ OpenStack
• 組み込みの暗号化機能と、クラウドとオンプレミスのデータ・
センター間の圧縮データ転送機能
• SoftLayer、Amazon Web サービス (AWS) へインストールす
ることにより、物理、仮想、クラウドの各インフラストラク
チャーにわたるイベント・データやフロー・データを可視化
社内システムとクラウド上のセキュリティー状況をリアルタイムに分析
SOCとの連携について
は、別途ご相談下さい。
す！

90
IBM Security Guardium family
IBM InfoSphere Guardium 製品は、データ・センターの情報のセキュリティー、プラ
イバシー、および整合性を確保するのに役立ちます。
クラウド環境における
企業データの保護
IBM InfoSphere Guardium Data Activity Monitoring
(SoftLayer,AWS 用)
•クラウド環境における機密データのアクセスをモニタリング
•クラウド環境における機密データを自動的に検出、分
類、評価
•クラウドの仮想イメージ上に展開されたデータベースに
対する一元化された監査機能
（参考）その他のfaimiiy製品
IBM Security Guardium Data Encryption: 機密データが盗まれたり、誤用されたり、公開されたりする事態を防止します。
IBM Security Guardium Data Redaction:非構造化文書、フォーム、およびグラフィックの機密データを自動的に認識して削除します。
IBM Security Guardium Vulnerability Assessment:データベース・インフラストラクチャーをスキャンし、ぜい弱性を検出して、是正措置
を提案します。
脆弱性の特定と、機密データを狙った攻撃に対する防御

91
NetApp様: Private Storage for
SoftLayer
 SoftLayerのクラウドサービスを専用のエンタープ
ライズストレージで拡張できます。
 どうしてもクラウドに配置したくないデータを、ク
ラウド上のサーバーから利用することが可能。
– http://www.netapp.com/jp/solutions/cloud/private
-storage-cloud/softlayer.aspx
– http://www.netapp.com/jp/system/pdf-
reader.aspx?cc=jp&m=ds-
3619.pdf&pdfUri=tcm:36-127472

92
DB2 Native Encryption
・CREATE DATABASE mydb ENCRYPT;
・どのプラットフォームでも
・どのトポロジーでも（DPFやpureScale含む）
・クラウドでも、アプライアンスでも
DB2 10.5 FP5～（FP6以降の適用を強く推奨）。
AESE, AWSEで追加フィーチャーなしで使用可能。その他のEditionではIBM
DB2 Encryption Offeringにより提供
・表スペース
・全てのデータタイプ(LOB, XML含む）
・トランザクションログ（アクティブ、アーカイブ）
・LOAD COPYファイル
・ダンプファイル
・バックアップ
ポイント1: アプリケーション変更不要: デフォルトはAES256
ポイント2: DB2が動く環境であれば利用可能
ポイント3: データベースの全てのデータが暗号化対象

93
• SoftLayer概要
• まとめ

94
まとめ
パートナー様
・製品
・構築・運用サービス
・ソリューション
ユーザー様
責任分解点
協業・フィードバック

95
• SoftLayer概要
• まとめ

96
SoftLayerに標準で選択可能なセキュリティ
サービス:1(全般)
種別名称特徴・仕様
データセンターレベルのセ
キュリティ
 各種コンプライアンスに準拠し認定を取得  SoftLayerのセキュリティ管理は、NIST 800-53
frameworkをベースとしたUS政府標準に従う。
 第三者監査機関によって、運用まで含めて監査を受けており、
各種認定を取得している。詳細は後述のページを参照。
Customer Portalへの
アクセスおよびAPIへのア
クセス
 SSL  TLS1.2に対応。
 APIはPublic NWだけでなく、Private NW経由でアクセス
可能。
ユーザーごとのリソースへの
アクセス制御
 SoftLayer Customer Portal  ユーザーごとに操作権限を付与・剥奪可能。
 接続元IPを制限することが可能。
 ログイン履歴情報を閲覧可能。
二要素認証
 Google Authenticator
 Symantec Identity Protection（有償）
 Phone-based authentication（有償）
 ポータルログイン時に組み合わせ可能な二要素認証サービス。
SoftLayerが暗黙的に対応

97
サービス:2(ネットワークレベル)
DDoS防御
 Cisco Guard DDoS protection
 Arbor Peakflow traffic analysis
 Arbor ATLAS Global Traffic Analyzer
 Radware
 データセンターレベルの保護に利用。
 Threat management system (TMS)
 脅威の発生点を特定するための能動的な活動を実施。
 Standard Hardware Firewall（有償）  サーバーのPrimary IPのみを保護する共有型FW
 Public VLANのInboundのみ制御
 カスタマーポータルからFWルールを制御可能
 Dedicated Hardware Firewall（有償）  Public VLANレベルの保護が可能な専有FW
 Public VLANのInboundのみ制御
 カスタマーポータルからFWルールを制御可能
 Fortigate アプライアンス（有償）  Public VLANレベルの保護が可能な専有FW
 Public VLANのInbound/Outboundが制御可能
 アプライアンス製品を直接構成
脆弱性診断
 Nessus vulnerability Assessment &
Report
 Public VLANに接続するサーバーに対して脆弱性検査を
実施し、レポートを発行。
VLAN
 VLAN（有償）  アカウント専有のBroadcastドメインの境界
 Public用VLAN, Private用VLANが存在。複数購入可
能することで、セグメント化が可能。
ファイアーウォール & ルー
ター & VPN
 Vyatta Gateway Appliance（有償）  複数VLAN間のルーティング機能を提供
 Public VLAN, Private VLANの
Inbound/Outbound制御が可能。
 IPSec VPN Endpointの提供

98
ロードバランサー & WAF
 Shared Local Load Balancer（有償）  Public VLANに割り振り可能なロードバランサー（共用
型）。SSL-Offload機能あり。
 ポータルから割り振りルールを設定可能
 Dedicated Local Load Balancer（有償）  Public VLANに割り振り可能なロードバランサー（専有
型）。SSL-Offload機能あり。
 ポータルから割り振りルールを設定可能
 NetScaler VPX（有償）  Public VLAN/Private VLANに割り振り可能な専有仮
想アプライアンス。SSL-Offload機能あり。
 Platinum Editionに限っては、WAF機能あり。
 NetScaler MPX（有償）  Public VLAN/Private VLANに割り振り可能な専有
HWアプライアンス。SSL-Offload機能あり。
 Platinum Editionに限っては、WAF機能あり。
VPN
 SSL、PPTP VPN （クライアント用）
 IPSec VPN サービス（サイト間。有償）
 運用に利用するネットワーク回線セキュリティ機能の提供
専用線
 Direct Link（有償）  SoftLayerのPOPまで専用線を引き込むことで、オンプレ
ミス-SoftLayer間をセキュアかつ安定した性能で接続可
能。
CDN(Content
Delivery Network)
 EdgeCast CDN（有償）  追加Add-Onを購入することで、専用ポータルからSSL,
Custom Certificate, CookieやSignatureベースの
キャッシュコントロール、CORS(Cross-Origin
Resource Sharing)等への対応が可能。

99
SSLサーバー証明書
 Rapid SSL（有償）
 QuickSSL Premium （有償）
 GeoTrust True BusinessID（有償）
 Symantec Secure Site（有償）
 GeoTrust True BusinessID with EV（有償）
 Symantec Secure Site with EV（有償）
 各社から提供されているSSL証明書
暗号化と鍵保管
 Hardware Security Module(HSM)（有償）  暗号化鍵のセキュアな保管。
 FIPS 140-2 Level 2準拠。
 SSL アクセラレーション、TDE、Codeサイニングなどにも
利用可能。

”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版）

”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版）

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to ”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版）

Similar to ”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版） (20)

Recently uploaded

Recently uploaded (9)

”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版）

Editor's Notes