キビシ～～ィ！！セキュリティ要件でこそ 選ばれているAWS x cloudpack

なぜ？！

CloudDays

今日みなさんにお伝えしたい事

皆さんがAWSを導入する上で、必ず社内で突っ込まれるセキュリティ !

どのように納得してもらうかcloudpackのノウハウをお話します！

WHO AM I石田 知也（いしだ ともや）

cloudpack エバンジェリスト＆ソリューションアーキテクト

全国のJAWS-UG回ってます（今年：沖縄→札幌→大阪→さいたま）

AWS SAMURAI AWARD2014 受賞（JAWS-UG貢献）

JAWS-UG東京、JAWS FESTA・JAWS DAYS副実行委員長

好きなAWSサービス：SQS（クラウドの基本は疎結合だ！）

@tomyankuns

facebook.com/tomyankuns

cloudpack の価値AWS専門部隊 コンサルティング、アセスメント、導入設計

ホスピタリティ 24時間365日有人監視、保守対応

実績 350社を超えるアカウントを運用

セキュリティ PCI DSS Level 1 Service Provider 認定

スピード 最短30分でのデリバリー実績

Virtual Private Cloud（10.0.0.0/20）

Availability Zone A

IGW

Availability Zone B

VPC Subnet

NAT ELB ELB ELB

VPC Subnet

EC2 EC2

EC2 EC2

EC2

VPC Subnet

VPC Subnet

NAT

DB

VPC Subnet

EC2 EC2

EC2 EC2

EC2

VPC Subnet

VPC Subnet

NAT

VPC Subnet

ELB ELB ELB NAT

����������

���� � ������������

���� �

��������

��������

�������

����� ����������

トヨタ自動車様 エンタープライズ

バンダイナムコスタジオ様 ゲーム

Coiney様金融

'*/!+� &CF�

!  ������������ ���������•  p|sH5U�W{aI�Sk7ce7CF�

@  ��k7ce7g_c~7RE���k7ce7�@  �������D ��@  ��B���4��B��8 '*/!+� &C����­¯�9A°®�

���

Hl7tU�W{aI�S¢¥���¢¥��HmzN�H7{Zz7J�ZaIaw7c�¢¥��H7{~7RZ�¢¥��<?:>�±£¶aRh\zw7Xx�[¢¥���KIp}3zsa_d�¢¥��Kn{�K{XZat[¢¥���¢¥��MJty_R�¢¥��MRX7d�����¢¥���¢¥�����b7]�¢¥�����b7]5J�cyr7c����¢¥��PJH_RZ�¢¥��RfM�

RyZu\_d¢¥���¢¥��R|ZU�¢¥��V7P�WJNZaRh}Y7¢¥���¢¥��W7j7~7RZ�¢¥����������¢¥��X7M7X7�=;Hdj�Zc5aRh}Y7¢¥���¢¥��Y7{�¢¥��ZOJH7^g_c~7RZ�¢¥��µ�¨§�\nIH��­¯�¢¥���¢¥��]7�5H�d5n}�aIH�¢¥��]Sj�P7[����¢¥���¢¥��bIyJc�

¢¥��bY]{Qw7o�¢¥��ayZOJ�¢¥���¤XZat�¢¥��������W7lZ�¢¥����b7]g_c~7R�¢¥����� �UswfT7Xx�[�¢¥��e|_YUswfT7Xx��¢¥����©²���lYgZXZat[¢¥���¢¥��glyq�¢¥��i7cl7`�m7X7nL7[¢¥���lYwH{aRh}Y7¢¥���¢¥��������¢¥��o|J�k_d�����¢¥���

¢¥��iKJ�]7eXxe{�j7^v{UswfT7Xx�[¢¥���i�[yq¢¥���¢¥��lYgZ5H7QaR`�¢¥�����«¡��¢¥����\zw7Xx�[�¢¥��nGRczH{�¢¥��l_cHJ{�¬¦\nc¢¥���¢¥���/-$ �����¢¥���zH{a_RYvk�¢¥���z_R\nc¢¥����

��4�ªU�W{aI�Sk7ce7�

³´���6#..+����1-��(�2*)� *(�%+�-*'/.$*)-�-*'/.$*)�+,*0$!",-�%�+�)��

最近の案件の傾向

非常に高いセキュリティ要件を求めれられる案件が増加 •金融系 •エンタープライズ系

Amazonのクラウド？ Publicクラウドって奴でしょ？ ちょっとうちはセキュリティ厳しいんで…（略)

以前のお客様の声… 事実!!

Amazonのクラウドで、セキュリティの高い環境が作れるんでしょ？？ ちょっとコンサルティングしてくれない！

最近のお客様の声… 事実!!

なにをもって「セキュリティが高い」と呼ぶか？

PCI DSS基準への対応 加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準

Payment Card Industry Data Security Standardsの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理

提案!!

主なPCI DSS要件要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる 要件9: カード会員データへの物理アクセスを制限する 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする 要件12: すべての担当者の情報セキュリティポリシーを整備する

AWSでセキュリティを担保するために抑えておくべきポイント

重要

共有責任モデル

・ファシリティ ・物理インフラ ・ネットワークインフラ

・物理セキュリティ ・仮想インフラ

・OS ・アプリケーション ・セキュリティグループ

・OSファイアウォール ・ネットワーク設定 ・アカウント管理

重要

共有責任モデル

・ファシリティ ・物理インフラ ・ネットワークインフラ

・物理セキュリティ ・仮想インフラ

・OS ・アプリケーション ・セキュリティグループ

・OSファイアウォール ・ネットワーク設定 ・アカウント管理

重要

http://www.slideshare.net/c95029/awsshared-responsibility-model-16612378

権限管理

多要素認証

VPC

セキュリティグループ

第三者

認証

NACL

共有責任モデル

・ファシリティ ・物理インフラ ・ネットワークインフラ

・物理セキュリティ ・仮想インフラ

・OS ・アプリケーション ・セキュリティグループ

・OSファイアウォール ・ネットワーク設定 ・アカウント管理

重要

PCI DSSに準拠するポイントを 事例を交えてご紹介

http://coiney.com/

日経コンピュータ

AWS導入事例ページ

PCI DSSに対応した仕組みと運用

Firewall設定 セキュリティソフトウェア導入 アカウント管理 アクセス記録・ログ集約管理 脆弱性対策

FirewallIDS/IPS Firewall

アカウント管理 ログ集約管理

脆弱性対策脆弱性対策脆弱性対策

PCI DSSに対応した仕組みと運用

Firewall設定 セキュリティソフトウェア導入 アカウント管理 アクセス記録・ログ集約管理 脆弱性対策

セキュリティソフトウェア導入

Trend Micro Deep Security IPS/IDS/改ざん検知/Firewall/WAF/ログ監視

ServerProtect ウィルス対策（リアルタイムスキャン）

セキュリティ＋

�BWF\b�O`bPY?Dah0HC[^M>I^[�F\b<���

!  �*)�#$&(� �'%�����"!�•  ���������1O`bPY?Dah-U�OQFLW<���•  ���,�u':)50HC[^M>I^[�F\b0���

���

E�T�0¤�{<m*$f&�jx,s�&4'����0HC[^M><jk,|�,#:��iE�T�HC[^M>n�IVO@A=,'��

E�T��$0@>_Gn�IVO,�D]?=bO2 ¡<�%. 8!/@?_G7GU?@A=<^=_J?Z/�f&�D]?=bO �"90��7E�T�"9D]?=bO �20���c<��&4'��

� ���������� �� ������� �� ����� ���

N>GD����0��r-��r/�u':¢�t0I^[�F\b,'�D]@P��0N�Js�<q}&��z.N�J<y�&+�$9;4'��

� ��������� ��� ������

O`bPY?Da��dh1�E�T�HC[^M>plFA=�������0HC[^M>XbK,'�(0��-R@S@<D]@P�����e0E�T�/6��&�D]@Pow0HC[^M><£~&+ #4'����v3�

�O`bPY?Da1����������0U�OQ��g,'��

まとめなにをもって「セキュリティが高い」と呼ぶか

　　→PCI DSSを参考に社内ルールを策定 　　　セキュリティはコスト　　　 　　　自社に合わせて要件の取捨選択も必要 !

構築・保守運用どうしよう？？ 　　→cloudpackにご相談ください！

AWS専門部隊 コンサルティング、アセスメント、導入設計

ホスピタリティ 24時間365日有人監視、保守対応

実績 350社を超えるアカウントを運用する運用品質

セキュリティ PCI DSS Level 1 Service Provider 認定

スピード 最短30分でのデリバリー実績

Virtual Private Cloud（10.0.0.0/20）

Availability Zone A

IGW

Availability Zone B

VPC Subnet

NAT ELB ELB ELB

VPC Subnet

EC2 EC2

EC2 EC2

EC2

VPC Subnet

VPC Subnet

NAT

DB

VPC Subnet

EC2 EC2

EC2 EC2

EC2

VPC Subnet

VPC Subnet

NAT

VPC Subnet

ELB ELB ELB NAT

����������

���� � ������������

���� �

��������

��������

�������

����� ����������

まとめ

AWS運用をアウトソースしたい企業向けの月額費用固定型フルマネージドホスティング

24時間365日サーバー運用・保守

•電話/メールによるサポート 初期費用なし(基本移行作業含む)月額5万円からのスタート 日本円で請求書発行

まとめ

cloudpackの;3EH<1UY�

! ��������������� �������•  AG2?8�C�4��  eO`\&Vb�*'j[$X,o�P���F�7�&qg&l$-Zk#hd/_+.-*���6�@:%X,^0"�,(���

•  �� �������������  cfT$;3EH<1S]&)$+ �^iWU%��-�`\;3EH<1C>9DL=/WQUY"pn�!�,(����  ����N�R��M%X_�

•  ��������������  5K�?I$JBI"&`\;3EH<1cf��C>9DL=UY/pn�!�,(����  ����N�R��M%am�

���

http://www.cloudpack.jp/ suuport@cloudpack.jp @cloudpack_jp