© 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

アマゾンウェブサービスジャパン株式会社

2016年12月19日

AWSにおけるセキュリティとコンプライアンス

アジェンダ

AWSのセキュリティと責任共有モデルAWSの責任範囲とお客様の責任範囲

AWSの責任範囲グローバルインフラストラクチャーとアベイラビリティゾーン

データセンタセキュリティ

ネットワークセキュリティ

論理セキュリティ

データ・ストレージセキュリティ

各種規制とコンプライアンス

お客様の責任範囲お客様の責任範囲

各種AWSによるマネージドセキュリティツール

最新のトレンド・まとめ

AWSのセキュリティと責任共有モデルAWSの責任範囲とお客様の責任範囲

Amazon Web Services (AWS)

アマゾンのイノベーションからうまれたビジネス

過去10年間で59回の値下げ(2016年12月現在)

世界に広がAWSのインフラ

イノベーションのペース

AWSのセキュリティ方針

セキュリティはAWSにおいて最優先されるべき事項

セキュリティへの大規模な投資

セキュリティに対する継続的な投資

セキュリティ専門部隊の設置

AWS 基本サービス

コンピュート ストレージ データベース ネットワーク

AWSグローバルインフラストラクチャ

リージョン

アベイラビリティゾーン エッジ

ロケーション

ネットワークセキュリティ

サーバー(OS)セキュリティ

お客様のアプリケーション・コンテンツ

データセキュリティ

アクセスコントロール

AWSがクラウドのセキュリティを担当

お客様

AWS

AWS責任共有モデル

お客様自身でクラウドをコントロール可能

AWS 基本サービス

コンピュート ストレージ データベース ネットワーク

AWSグローバルインフラストラクチャ

リージョン

アベイラビリティゾーン エッジ

ロケーション

ネットワークセキュリティ

サーバー(OS)セキュリティ

お客様のアプリケーション・コンテンツ

データセキュリティ

アクセスコントロール

お客様

AWS

この部分の統制に関してお客様は AWSにお任せいただけます

AWS責任共有モデル

お客様自身でクラウドをコントロール可能

AWS責任共有モデル https://aws.amazon.com/jp/compliance/shared-responsibility-model/

AWSセキュリティベストプラクティス https://d0.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf

AWSの責任共有モデルについては、AWSコンプライアンスWebサイトや「AWSセキュリティベストプラクティス」ホワイトペーパーでも解説しています。

AWS責任共有モデル

AWSの責任範囲グローバルインフラストラクチャーとアベイラビリティゾーンデータセンタセキュリティネットワークセキュリティ論理セキュリティデータ・ストレージセキュリティ各種規制とコンプライアンス

AWS 基本サービス

コンピュート ストレージ データベース ネットワーク

AWSグローバルインフラストラクチャ

リージョン

アベイラビリティゾーン エッジ

ロケーション

ネットワークセキュリティ

サーバー(OS)セキュリティ

お客様のアプリケーション・コンテンツ

お客様自身でクラウドをコントロール可能

データセキュリティ

アクセスコントロール

お客様

AWSの責任範囲

AWS責任共有モデル

AWSは、お客様が使用するAWS サービスに関連した統制およびそれらの統制がどのように検証されているかをお客様にご理解頂くことを支援致します。

業界における認定と独立したサードパーティによる証明を取得します

AWS のセキュリティと統制に関する情報をホワイトペーパーおよびウェブサイト上で公表します

NDA に従いAWS のお客様に証明書レポートなどの文書を直接提供します

AWSの責任範囲

AWSの責任範囲

北カリフォルニア

US-WEST (N. California)

US-WEST (Oregon)

オレゴン

US-EAST (Virginia)

SOUTH AMERICA (Sao Paulo)

サンパウロ

EU-WEST (Ireland)

EU-CENTRAL (Frankfurt)

ASIA PAC (Tokyo)

ASIA PAC (Singapore)

ASIA PAC (Sydney)

シンガポール

シドニー

東京

北京

ASIA PAC (Seoul)

Beijing

ASIA PAC (Mumbai)

ムンバイ

US-EAST (Ohio)

GOV CLOUD (US)

Gov Cloud

リージョンやアベイラビリィゾーンは随時増えていきます。 詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください。

AWSグローバルインフラストラクチャー

バージニア

オハイオ アイルランド

フランクフルト ソウル

アベイラビリティゾーン

アベイラビリティ・ゾーンによる可用性

US-WEST (N. California) EU-WEST (Ireland)

ASIA PAC (Tokyo)

ASIA PAC (Singapore)

US-WEST (Oregon)

SOUTH AMERICA (Sao Paulo)

US-EAST (Virginia)

GOV CLOUD

ASIA PAC (Sydney)

EU-CENTRAL (Frankfurt) ASIA PAC (Seoul)

Beijing

リージョンやアベイラビリィゾーンは随時増えていきます。 詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください。

AWSの「アベイラビリティゾーン(AZ)」は下図の様に複数のデータセンターによって構成され、耐障害性を意識した設計となっています。

AZ

AZ

AZ AZ

Transit

Transit

AZ

1データセンターあたり5万台以上のサーバ

42のアベイライビリティゾーン

どのリージョンにも2つ以上のAZ

AZは1つ以上のDCから構成• 1つのDCは2つのAZに所属しない

• 6つのDCを持つAZも存在

DC間は通常¼ msのレイテンシー• AZ内のDC間接続は気にしなくても良い

• 低レイテンシー/フル帯域で利用可能

アベイラビリティ・ゾーン(AZ)について

データセンター間はAWSの専用線で接続

EU (Ireland)

AvailabilityZone A

AvailabilityZone C

AvailabilityZone B

Asia Pacific (Tokyo)

AvailabilityZone A

AvailabilityZone B

US West (Oregon)

AvailabilityZone A

AvailabilityZone B

US West(Northern California)

AvailabilityZone A

AvailabilityZone B

Asia Pacific (Singapore)

AvailabilityZone A

AvailabilityZone B

Asia Pacific (Sidney)

AvailabilityZone A

AvailabilityZone B

South America (Sao Paulo)

AvailabilityZone A

AvailabilityZone B

US East (Northern Virginia)

AvailabilityZone D

AvailabilityZone C

AvailabilityZone B

AvailabilityZone A

EU (Frankfurt)

AvailabilityZone A

AvailabilityZone B

AvailabilityZone C

Asia Pacific (Seoul)

AvailabilityZone A

AvailabilityZone B

Beijing

AvailabilityZone A

AvailabilityZone B

US Gov Cloud

AvailabilityZone A

AvailabilityZone B

DCレベルの障害対策

リージョンやアベイラビリィゾーンは随時増えていきます。 詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください。

複数DC設置におけるAWSのポリシー 単一のデータセンタレベル障害でもシステムは継続可能 物理的に離れたデータセンター群、洪水を考慮 地盤が安定している場所 無停止電源(UPS)、バックアップ電源、異なる電源供給元 冗長化されたTier-1ネットワーク

場所の秘匿性

• 周囲の厳重なセキュリティ

• 監視カメラや侵入検知システム、24時間常駐の専門の保安要員による物理アクセスの厳密なコントロール

• 完全管理された、必要性に基づくアクセス

• 2要素認証を2回以上で管理者がアクセス

全てのアクセスは記録され、監査対象となる

データセンターの物理セキュリティ

AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

Q. AWSのデータセンターの入退室管理について教えてくださいA. AWS は、データセンターへのアクセスのための多要素認証メカニズム、および権限のある関係者のみが

AWSデータセンターに入場するための追加のセキュリティメカニズムを利用しています。権限のある関係者は、施設への入場および許可された部屋への入室には、カードリーダーでバッジを使用し一意の PIN を入力する必要 があります。AWSは、データセンターへの長期にわたるアクセスを承認された従業員に対し、写真付きの身分証を兼ねた電子アクセスカードを発行します。AWSはデータセンターへのアクセスのための多要素認証メカニズムおよび権限のある関係者のみがAWSデータセンターに入場するための追加のセキュリティメカニズムを利用しています。権限のある関係者は、施設への入場および許可された部屋への入室には、カードリーダーでバッジを使用し一意の PIN を入力する必要 があります。

Q. 監視カメラによる監視は実施していますでしょうかA. 物理的アクセスは、建物の周辺および入り口において、監視カメラや侵入検知システムなどの電子的手段を

用いる専門の保安要員により、厳重に管理されています。サーバー設置箇所への物理アクセスポイントはAWSデータセンター物理セキュリティポリシーの規定により、CCTV(Closed Circuit Television Camera)を使用して録画されています。録画は90日間保存されます。ただし、法的または契約義務により30日間に制限される場合もあります。

Q. オペレーションルーム以外から、サーバにアクセスできないような対策が講じられていますでしょうかA. 管理プレーンにアクセスする必要のある作業を担当する管理者は、多要素認証を使用して専用の管理ホストに

アクセスする必要があります。

よくある質問 (データセンターセキュリティ編)

Q. AWSのデータセンターの立地について教えてくださいA. AWSのデータセンターは、環境リスクに対する物理的な保護を組み込んでいます。AWSのサービスは

複数の地理的リージョン内および複数のアベイラビリティーゾーンにわたってデータを保存する柔軟性をお客様に提供しています。お客様は、複数のリージョンやアベイラビリティゾーンを活用可能な利点を考慮し、AWSの利用について設計する必要があります。詳細については、ISO 27001規格の附属書A ドメイン9.1およびAWS SOC 1 Type IIレポートを参照してください。

Q. AWSのデータセンターの電気設備について教えてくださいA. 個別の無停電電源装置(UPS)やオンサイトのバックアップ生成施設に加え、シングルポイントの障害の

可能性を減らすために、別々の電力供給施設から異なる配管網を経由して、個別に電力供給を行っています。これらはすべて、冗長的に複数の Tier-1 プロバイダーに接続されています。顧客は AWS の使用量を計画しながら、複数のリージョンやアベイラビリティーゾーンを利用する必要があります。複数のアベイラビリティーゾーンにアプリケーションを配信することによって、自然災害やシステム障害などほとんどの障害モードに対して、その可用性を保つことができます。データセンターの電力システムは完全に冗長性をもち、運用に影響を与えることなく管理が可能となっています。１日24時間体制で、年中無休で稼動しています。施設内で重要かつ不可欠な負荷に対応するために、電力障害時には無停電電源装置(UPS)がパックアップ電力を供給しています。データセンターは、発電機を使用して施設全体のバックアップ電力を供給しています。

よくある質問 (データセンターセキュリティ編)

Q. AWSのデータセンターの空調について教えてくださいA. 空調と温度サーバーその他のハードウェアの運用温度を一定に保つために、空調制御が必要です。これに

よって過熱を防ぎ、サーバー停止の可能性を減らすことができます。データセンターは、大気の状態を最適なレベルに保つように設定されています。作業員とシステムが、温度と湿度を適切なレベルになるよう監視してコントロールしています。

Q. AWSのデータセンターの建物の耐震性について教えてくださいA. Amazonのデータセンターは最新式で、革新的で建築的かつ工学的アプローチを採用しています。Amazonは

大規模データセンターの設計、構築、運用において、長年の経験を有しています。この経験は、AWSプラットフォームとインフラストラクチャに活かされています。

Q. AWSのデータセンターの防災設備について教えてくださいA. 火災検出と鎮火自動火災検出および鎮火装置が取り付けられリスクを軽減しています。この火災検出システムは

全データセンター環境、機械的及び電気的インフラストラクチャースペース、冷却室および発電機設備室において煙検出センサーを使用しています。これらのエリアは、充水型、二重連結予作動式、またはガス式スプリンクラーシステムによって守られています。

よくある質問 (データセンターセキュリティ編)

Distributed Denial of Service (DDoS)対策

中間者攻撃対策

IPなりすまし対策

許可されていないポートスキャニング対策• AWSサービス利用規約違反に該当• 検出され、停止され、ブロックされる

パケットの盗聴対策• プロミスキャスモードは不許可• ハイパーバイザ―レベルで防御

ネットワークセキュリティ

AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

ハイパーバイザー（ホストOS）

• 承認を受けたAWS管理者の拠点ホストからの個別のログイン

• 特別に設計、構築、設定された管理ホスト

• 多要素認証の利用

• 全てのアクセスをロギングし監査

• 作業完了後システムへの特権とアクセス権の削除

ゲストOS（EC2インスタンス）

• お客様による完全なコントロール

• 顧客が生成したキーペアを使用

論理的なセキュリティ

AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

従業員の雇用

• 雇用前審査の一環として適用法令が認める範囲での犯罪歴の確認

• Amazonリーガルによる機密保持契約書の管理

• 従業員はアクセス権を付与される前に機密保持契約書に署名

• 入社時研修の一環として利用規定及びAmazon業務行動倫理規定への同意

アカウント管理

• 人事管理システムのプロセスの一環として、一意のユーザー IDを作成

• 最小権限の適用。最小権限を越えるアクセスには適切な認証

• 少なくとも四半期ごとのアカウントの確認

• 90日間アクティビティがないアカウントの自動的無効化

• 従業員の記録が人事システムから削除されると、アクセス権も自動的に削除

従業員・アカウントの管理

AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

データの所有権と管理権はお客様に

データとサーバーを配置する物理的なリージョンはお客様が指定

AWS は、法令遵守または政府機関の要請によりやむをえない場合を除き、お客様のコンテンツを指定されたリージョンから移動しない

法令、または政府機関もしくは規制当局による有効かつ拘束力のある命令を遵守するために必要な場合を除き、お客様のコンテンツを開示することはない

そうすることが禁止されている場合または Amazon の製品もしくはサービスの利用に関連した違法行為の存在を明確に示すものがある場合を除き、お客様が開示からの保護を求められるようカスタマーコンテンツの開示に先立ってお客様に通知

AWSでは、S3、EBS、EC2 など、ほぼすべてのサービスについて、お客様が独自の暗号化メカニズムを使用することを許可（サーバーサイド暗号化、クライアントサイド暗号化、鍵の保管・管理方法等）

データセキュリティ

AWSデータプライバシーのよくある質問 http://aws.amazon.com/jp/compliance/data-privacy-faq/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

上記の手順を用いハードウェアデバイスが廃棄できない場合、デバイスは業界標準の慣行に従って、消磁するか、物理的に破壊する

顧客データが 権限のない人々に流出しないようにするストレージ廃棄プロセスを保持

DoD 5220.22-M（「National Industrial Security Program Operating Manual（国立産業セキュリティプログラム作業マニュアル）」）

NIST 800-88（「Guidelines for Media Sanitization（メディア衛生のための ガイドライン）」)

ストレージの廃棄プロセス

AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

AWSは主要な規制/標準 / ベストプラクティスに準拠

AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

セキュリティ対応調査協力

システム構築・運用

調査・対応案検討

支援

2013年10月、FISC安全対策基準（第8追補版）へのAWSの準拠状況を調査した資料をSI/ISV ８社(現在は9社)が共同で調査して一般公開

AWSと利用者で責任分担することで、FISC安対基準を満たせるとの見解を一般公開http://aws.amazon.com/jp/aws-jp-fisclist/

サマリー版 詳細版

Amazon Web Services対応セキュリティリファレンス

FISC安全対策基準

設備：138項目運用：115項目技術： 53項目

各基準に対応 Amazon Web Services

各金融事業者のセキュリティ指針・監査指針

クラウドを活用したシステム

安心・安全かつ、機動性の高い金融サービスの実現

金融事業者(銀行、証券、保険等)

作成/更新

金融機関向け Amazon Web Services対応セキュリティリファレンス

SCSKISIDNRITISMKI

TrendMicro

CAC

セキュリティやコンプライアンスに関する多くの質問に対する回答• セキュリティ Whitepaper

• リスクとコンプライアンス Whitepaper

• セキュリティプロセス概要 Whitepaper

• “Security at Scale” whitepaper シリーズ

Security bulletins

侵入テスト申請フォーム

Securityベストプラクティス

詳しい情報のお問い合わせ先

AWSセキュリティセンターとAWSコンプライアンスaws.amazon.com/jp/securityaws.amazon.com/jp/compliance

AWS利用者のセキュリティ評価、チェックシートの回答等に利用

AWSの内部に関する統制状況は基本的にホワイトペーパーや、SOC1/2・PCI等の

NDAベースで提供している情報から評価

公開されている情報で直接的に確認項目に回答されていないものも、提供されている

情報によりリスクを評価いただくことで問題がないかどうか検討

または、多層的なコントロールを考えることでその確認項目に関するリスクを許容

できるものにできるか検討

それでも許容できないリスクが残る場合はAWSにご相談を

コンプライアンス情報の使いどころ

AWSのお客様がIT環境をサポートする既存の統制フレームワークにAWSを統合する際に役立つ情報を提供

AWS の統制の評価に関する基本的なアプローチについて説明し、統制環境の統合の際に役立つ情報を提供

内容• リスクとコンプライアンスの概要• AWS統制の評価と統合• AWSリスク及びコンプライアンスプログラム• AWS の報告、認定、およびサードパーティによる証明• コンプライアンスに関するよくある質問と AWS

• AWS へのお問い合わせ• 付録 A: CSA Consensus Assessments Initiative Questionnaire v1.1

• 付録 B: 米国映画協会（MPAA）コンテンツセキュリティモデルに対する AWS の準拠状況

• 付録 C: オーストラリア信号局 (ASD) のクラウドコンピューティングに関するセキュリティ上の考慮事項への AWS の準拠

• 付録 C: 用語集

リスクとコンプライアンスホワイトペーパー

これらの章に書かれている内容がAWSにどのような統制がありどのような運用をしているかの主要な情報源になります

英語のサイトの情報もご確認ください

http://aws.amazon.com/compliance/?nc2=h_ls

各種保証プログラムや重要項目に関するFAQ、公開資料• PCI DSS

• ISO27001/27017/27018/9001

• CSA

• Data Privacy/EU Data Protection

• SOC

• FedRAMP

• HIPAA

• GxP

• DoD

Compliance Latest News ダウンロード可能な認証

• AWS ISM Letter of Compliance

• AWS ISO 27001/27017/27018/9001 Certification

• Multi-Tier Cloud Security Standard Level-3 (CSP) Certification

• AWS SOC 3 Report

AWS Compliance 詳細情報

お客様の責任範囲お客様の責任範囲各種AWSによるマネージドセキュリティツール

お客様の責任範囲

AWS account owner

(master)Network

management

Security manageme

nt

Server manageme

nt

Storage manageme

nt

AWS IAM AWS CloudTrail

EncryptionAmazon EC2Security Group

Operational Check List

AuditingSecurity

Check List

AWSSecurity

Best Practice

Security At Scale

Governance

In AWS

• ネットワーク管理

• 論理アクセスコントロール

• ログ管理

• データ保護

• 脆弱性対策

• 変更管理

• リソース監視

• ビジネス継続性

• ETC

お客様の責任範囲の整理

AWSは、お客様固有の要件に適合するソリューションの選択を可能にする柔軟性と

お客様による統制が可能な環境を提供いたします

ネットワークセキュリティ

サーバー(OS)セキュリティ

お客様のアプリケーション・コンテンツ

データセキュリティ

アクセスコントロール

お客様の責任範囲

AWSのセキュリティツール・機能

AWSとAWSのパートナーは、700以上のセキュリティサービスや、ツール、機能を提供。

既存の環境で実施していたことと同等、もしくはそれ以上のコントロールを実現可能です。

インスタンスの開始

EC2

AMIカタログ インスタンスの起動 お客様の独自インスタンス

ハードニングと構成

監査とログ取得

脆弱性管理

マルウェア、IDS, IPS

Whitelisting and integrity

ユーザー管理

OS

OSの選択とハードニング• インスタンスサイズ、OSの選択もお客様が柔軟に構成可能

• 標準的なOSのハードニングガイドとテクニックを活用

• 最新のセキュリティパッチの適用

ホストベースの防御策の適用を考慮• ホストベースの防御製品をプリインストール

• 管理ソフトやSEIM等との接続設定の組み込み

管理者権限やユーザー管理• 必要最小限のアクセス

• パスワードや認証の管理

サーバー(OS)・セキュリティ

インスタンス構成

• 自動化されたホストのセキュリティ診断サービス

• 診断対象のインスタンスにエージェントをインストールした後にInspectorを起動して利用する

• APIで制御できるので、開発プロセスの中に組み込むことで均質なセキュリティ診断を自動的に実行できる

• 内容についてはルールセットにより制御が可能（PCI DSSにも対応）

Amazon Inspector

CIDR : 10.0.0.0/8

Private Subnet172.16.0.0/24

Public Subnet172.16.1.0/24

CIDR : 172.16.0.0/16

Subnet10.0.0.0/24

NACL NACL

SG SG

社内システム

IPSec VPNor 専用線

インターネット

CGW

VPCPeering

お客様専用の仮想ネットワークを構築可能

サブネットとルーティングによるセグメンテーション

組み込まれたFirewall機能の利用。商用製品の利用も可能

オンプレ環境とのVPN・専用線接続

他VPCとPeering接続機能

ネットワークセキュリティ

VGW

AWS Identity and Access Management (IAM)

AWSサービスとリソースへの厳格なアクセス・コントロールが可能

アカウントごとのユーザとグループの作成

AWSマネージメントコンソールのユーザログオンサポート

セキュリティクレデンシャル• アクセスキー• ログイン/パスワード• 多要素認証デバイス(オプション)

AWS APIを使ったアクセスコントロールポリシー

API コールは以下のサインどちらかが必須:• X.509 certificate• シークレットキー

幾つかのサービスではより厳格なインテグレーション• S3: オブジェクト及びバケット毎のポリシー設定

AWS account owner (master)

Network management

Security management

Server management

Storage management

論理的アクセスコントロール

{"Version": "2012-10-17","Statement": [{"Effect": "Allow","Action": [

"ec2:StartInstances","ec2:StopInstances","ec2:RebootInstances"

],"Condition": {

"StringEquals": {"ec2:ResourceTag/SystemName": “system-name"

}},"Resource": ["*"]

},{"Effect": "Allow","Action": ["ec2:Describe*"],"Resource": ["*"]

}]

}

ポリシー作成を支援する機能も充実• 事前定義されAWSが管理してくれるAWS管理ポリシー• IAMポリシーの作成ツール• IAMポリシーのシミュレーションツール• IAMポリシーの文法チェック

特定のタグがついたEC2の停止/削除権限

API単位でのコントロール

利用者へのIAM権限付与の例

AWSサービスのリソースに関する情報は管理コンソール上に集約され確認が可能。

資産情報を分類するためのタグ情報も付与可能です。これらの情報をAPIにより取得することもできます。

構成変更管理・インベントリ

お互いに密接な関係にあるリソース

• インスタンスやサーバーに適用されたパーミッション

• Amazon EC2インスタンスにアタッチされた

Amazon EBSボリューム

• Amazon EC2インスタンスに構成された

ネットワークインターフェース

• VPCやそのサブネットに配置されたインスタンス

AWS Configにより、AWSサービスのリソースに関係する変更を時系列で表示し、加えられた変更の追跡と把握を行うことが可能

構成変更管理・インベントリ

AWSサービス 機能 SSE SSE with KMS SSE with CloudHSM

CSE

EBS 仮想Disk 〇 〇 N/A 〇

S3 オブジェクトストレージ 〇 〇 N/A 〇

Glacier アーカイビング 〇 N/A N/A 〇

RDS RDBMS 〇 〇 Oracle 〇

Redshift DWH 〇 〇 〇 〇

ElastiCache インメモリキャッシュ N/A N/A N/A 〇

DynamoDB NoSQL DB N/A N/A N/A 〇

AWSではAWSのサービス側で暗号化を行うServer Side Encryption（SSE）や、クライアント側で行うClient Side Encryption（CSE）の他に、暗号鍵の保管の仕方等、要件に応じた様々な方法を選択することが可能

RDS

上記の表内のAWSサービスは一例です

データセキュリティ

暗号鍵の作成、管理、運用サービス

• 暗号鍵の可用性、機密性を確保

• 暗号鍵の有効化・無効化、ローテーションをサポート

• S3, EBS, Redshift等のAWSサービスにおけるデータを暗号化

• SDKとの連携でお客様の独自アプリケーションデータを暗号化

• 低コストで使用可能

Customer MasterKey(s)

Data Key 1

Amazon S3

Object

Amazon EBS

Volume

Amazon Redshift Cluster

Data Key 2 Data Key 3 Data Key 4

CustomApplication

AWS KMS

Category Supported Services

Database Redshift , RDS

Storage and Content Delivery S3 , EBS , Import/Export , Snowball

Application Services Elastic Transcoder , SES

Enterprise Applications WorkMail , WorkSpaces

Management Tools CloudTrail

AWS Key Management ServiceAWSでは暗号鍵を管理する鍵管理環境を提供

サポートしているサービス（2016/3現在）

サポートされているリージョン

・米国東部（バージニア北部）

・米国西部（オレゴン）

・米国Govクラウド

・欧州（アイルランド）

・欧州（フランクフルト）

・アジアパシフィック（シドニー）

・アジアパシフィック（東京）

・アジアパシフィック（シンガポール）

AWS CloudHSM

AWSクラウド内のお客様専用ハードウェアセキュリティモジュール(HSM)アプライアンス（SafeNet LunaSA7000）

暗号化キーやHSMによって実行される暗号化操作を管理

情報セキュリティ国際評価基準(Common Criteria EAL4+)および米国政府規制基準(NIST FIPS 140-2)に準拠

CloudTrailやsyslogの使用によるコンプライアンス監査

AWS サービスおよびリソースへのアクセスを安全にコントロール

AWS

Virtual Private Cloud

CloudHSM

VPCインスタンス

SSL App

HSM Client

マネージドDDoS プロテクションサービス

無償版のStandard Protectionと有償版のAdvanced Protectionを提供

AWS Shield

Shield Standard (for everyone) Shield Advanced

• ネットワークフローモニタリングによるクイック検知

• 一般的なL3/L4レイヤーへのアタックからの

プロテクション機能

• パケットフィルター、優先度をつけたトラフィック

シェーピング等の技術を使い、アプリケーションへの

影響を与えず、攻撃を軽減

• 全リージョンにて利用可能

• 大規模かつ洗礼された攻撃に対する包括的なプロテクションを実施

• CloudFront, Route53, ELBにて利用可能。AWS WAFの利用費用も含まれL7レイヤーも対応。

• アドバンスなL3/L4レイヤーへのアタックからのプロテクション機能

• ほぼリアルタイムでCloudwatchへ分析情報を通知• 24x7 連絡可能なDDoS Response Teamによる

スペシャルサポート• ELB、CloudFront、Route53でのDDoSに対する

コストプロテクション• バージニア、オレゴン、アイルランド、東京

リージョンにて利用可能• 年契約による$3,000/月とデータ転送コスト

特徴 https://aws.amazon.com/jp/waf/

CloudFront経由の外部からのアクセスの制御

以下の内容でアクセスのOn/Off制御が可能

• ソースIPアドレスレンジ

• URI

• HTTPヘッダ

• HTTPメソッド

• SQL構文

• XSS

価格体系 https://aws.amazon.com/jp/waf/pricing/

ACL（AccessControlList）ごとに５ドル/月

ACL内で設定されるルールごとに１ドル/月

１００万リクエストごとに０．６ドル

CloudFront利用料はEC2のDL金額と同等かそれ以下となります

AWS CloudFront経由での外部からのHTTPアクセスの防御

EC2

CloudFront

S3

ルール抵触リクエスト

正当なリクエスト

AWS Web Application Firewall (WAF)

CloudTrailでAWSのサービスに対する各種APIログを取得可能

http://aws.amazon.com/jp/cloudtrail/

• APIを呼び出した身元（Who）

• APIを呼び出した時間（When）

• API呼び出し元のSource IP（Where）

• 呼び出されたAPI（What）

• APIの対象となるAWSリソース（What）

• 管理コンソールへのログインの成功・失敗

監視・監督

CloudWatchMetrics

Amazon Linux Ubuntu

Windows Red Hat Linux

CloudWatch Logs

CloudWatchAlarm

SNS

Log Agent Log Agent

Log Agent Log Agent

VPC Flow Log

Kinesis

OSにはLog Agentの導入が

必要です

CloudWatchLogsにログを

ためます

フィルターなどを使いログの監視

閾値を超えた場合はAlarmをあげます

https://aws.amazon.com/jp/cloudwatch/

CloudWatch LogsでOS上の各種ログやVPC Flow LogsといったAWSのログも収集・監視

監視・監督

2013年よりサービス開始

コスト最適化、セキュリティ、可用性パフォーマンスの４つのカテゴリからAWSの利用状態を評価

170万のベストプラクティス

3億ドルを超えるコスト削減を通知

2014/7/31より、47のチェック項目中4項目をすべてのユーザに開放

利用者のAWS環境をAWSのベストプラクティスを元に評価するTrusted Advisorを用いて原因が把握されていない未達のチェック項目がないか確認をしてください。Notificationの設定も行うことができます。

https://aws.amazon.com/jp/premiumsupport/trustedadvisor/

監視・監督

最新のトレンド・まとめ

AWS アカウントの設計の規格化セキュリティ制御の自動化、および監査の合理化のためのセキュリティ保証アプローチ

セキュリティを遡及的に監査するのではなく、AWSのIT管理プロセス全体にセキュリティ制御を組み込む

Identity & Access Management

CloudTrail

CloudWatch

Config Rules

Trusted Advisor

Cloud HSMKey Management

Service

Directory Service

https://aws.amazon.com/jp/compliance/security-by-design/

Security by Design (SbD)

1.2 AWSに移すワークロードの識別

2.1 セキュリティ要件の整理 2.2 データ保護と統制の定義 2.3 セキュリティアーキテクチャーの文書化

3.1 セキュリティアーキテクチャーの構築

1. 要件を把握する

2. セキュリティ要件の分析と文書化

1.1 ステークホルダーの確認

3. 環境構築と自動化、監視

3.2 運用の自動化

4. 検証と監査

3.3 継続的な監視

4.1 監査と認証

3.4 テスト

SbDのアプローチ

CloudFormationを用いてセキュリティ要件を満たす設計をテンプレート化

必要となるセキュリティの設定や、利用インスタンス、リソースをパッケージ化

Service Catalogを利用した環境の展開

CloudFormation Service CatalogStack

Template

インスタンス Appsリソース Stack

Stack

設計 パッケージ化

Products Portfolios

展開制限

Identity & Access Management

パーミッション

セキュリティ関連の運用自動化

Service Type Use cases

APIログの取得 AWS環境の操作に関するログの取得

リソース・ログ監視AWSサービスのリソース監視と各種ログの収集・モニタリング

変更管理AWSサービスの変更記録とトラッキング

オンデマンドの評価EC2インスタンス内に導入されるOSアプリケーションのセキュリティ分析

継続的な評価変更による誤設定検知、ベストプラクティスの維持、脆弱性の検知

定期的な評価コスト、パフォーマンス、信頼性セキュリティの観点からの広範な調査

AWS Security and Compliance “AWSの責任範囲”

“お客様の責任範囲”をサポートする

サービス群Inspector

Config Rules

Trusted Advisor

AWSConfig

CloudTrail

CloudWatch

継続的な監視

権限のないユーザーの変更を防止する強制的な機能を作成

制御を確実に実行できるようにする

継続的でリアルタイムな監査を実現

お客様のガバナンスポリシーを技術的にスクリプト化

結果としてセキュリティ要件を満たす環境の構築を自動化

Automate

GovernanceAutomate

DeploymentsAutomate Security

Operations

Continuous

Compliance & Audit

Reporting

SbDの狙い

責任共有モデルに基づき、AWSが基盤のセキュリティ・統制を実施

AWS上に構築するシステムの構成・設定に関するセキュリティ・統制はお客様の責任により実施

AWSはお客様を助ける様々なセキュリティ関連機能を提供

更に固有のセキュリティ要件がある場合はAPNパートナーの製品の利用も検討

自動化やAPIによる制御といったAWSの特性をセキュリティやコンプライアンスにも活かすことで効果的な統制環境を構築

まとめ

AWS Securityページ

http://aws.amazon.com/jp/security

AWS Complianceページ

http://aws.amazon.com/jp/compliance

セキュリティ・コンプライアンス情報