NTTドコモのAWSセキュリティ対策と ドコモ・クラウドパッケージ .oNTTドコモのAWS

  • View
    251

  • Download
    0

Embed Size (px)

Text of NTTドコモのAWSセキュリティ対策と ドコモ・クラウドパッケージ...

  • Copyright©2017 NTT DOCOMO, INC. All rights reserved.

    NTTドコモのAWSセキュリティ対策と ドコモ・クラウドパッケージ

    2017年8月9日 株式会社NTTドコモ

    森谷 優貴 moritaniy@nttdocomo.com

    dcm-cloudconsulting-ml@nttdocomo.com

    【AWS Solution Days 3 ~セキュリティ&コンプライアンス】

    mailto:moritaniy@nttdocomo.com mailto:dcm-cloudconsulting-ml@nttdocomo.com

  • NTT DOCOMO, INC All Rights Reserved.

    アジェンダ

    o自己紹介

    oNTTドコモのAWS利用

    oNTTドコモのAWSセキュリティ対策と事例

    oドコモ・クラウドパッケージのご紹介

    oドコモ・クラウドパッケージの活用事例

    oまとめ

  • NTT DOCOMO, INC All Rights Reserved.

    自己紹介

    o森谷 優貴(Yuki Moritani, Ph.D) 株式会社NTTドコモ イノベーション統括部 CCoE(Cloud Center of Excellence)のリーダー クラウド利用時のガイドライン等を策定 社内向けSaaSの設計,構築,運用

    oNTTドコモのCCoE クラウド利用システムのセキュリティ設計,構築,運用 パブリッククラウド利用管理,アカウント管理,ガバナンス 社内コンサルティング,検証,共通ツール/基盤の作成,運用 

     https://dev.smt.docomo.ne.jp/?p=common_page&p_name=cloudpackage

    3

    https://dev.smt.docomo.ne.jp/?p=common_page&p_name=cloudpackage https://dev.smt.docomo.ne.jp/?p=common_page&p_name=cloudpackage

  • NTT DOCOMO, INC All Rights Reserved.

    NTTドコモのAWS利用 o ドコモでのAWS利用の歩み

     Web系のシステム(しゃべってコンシェル,等) 2012年〜

     業務系のシステム(データ分析システム,等) 2014年〜

    o ドコモが乗り越えてきた課題

     セキュリティ クラウド上での機密データの管理  IDおよび権限管理

     統制 コンプライアンスとセキュリティポリシーの浸透 初心者でも致命的な失敗をしないように

     コスト管理 数百のクラウドアカウントのコスト管理自動化

     リテラシ向上 クラウドネイティブな設計の推進による効率化

    4

  • NTT DOCOMO, INC All Rights Reserved.

    NTTドコモのAWS利用状況

    o AWSの様々なサービスを利用中 プロジェクト毎に利用するサービスを選定 性能やセキュリティ面で要件を満たせるかを検証して利用 第三者認証(ISO27001等)を取得していないサービスにつ

    いては,社内で非推奨としており,個人情報等を利用する ケースではほぼ利用していない

    5

    AWS Accounts:300〜 EC2:数千~ RDS:千数百~ S3:10PB~ Redshift:4PB~

  • NTT DOCOMO, INC All Rights Reserved.

    AWS利用状況の変遷(アカウント数)

    o継続的に増加中

    6

    2013/06 2014/06 2015/06 2016/06 2017/06

  • NTT DOCOMO, INC All Rights Reserved.

    AWS利用状況の変遷(インスタンス)

    o継続的に増加中

    7

    2013/06 2014/06 2015/06 2016/06 2017/06

  • NTT DOCOMO, INC All Rights Reserved.

    AWS利用状況の変遷(ストレージ(S3))

    o継続的に増加中

    8

    2013/06 2014/06 2015/06 2016/06 2017/06

  • Copyright©2017 NTT DOCOMO, INC. All rights reserved.

    AWSセキュリティ対策事例

  • NTT DOCOMO, INC All Rights Reserved.

    NTTドコモのセキュリティ対策 o 社内体制とセキュリティ対策

     対策基準は全て情報セキュリティ部で策定 個人情報や業務情報のレベルに応じた対策基準 クラウド利用時は前項の懸念点への対策を含む

    o システム基盤選定

     プロジェクトが独自に選定 セキュリティ基準への対応は必須 業務要件で任意の基盤(含むAWS)を選定可能

    o AWSセキュリティ対策

     CCoEチームで確認,ガイドライン等を策定 多くのプロジェクトで利用する項目中心 規約,SLA,EULA,等の契約確認 監査報告書の適用範囲,内容の定期チェック セキュリティ対策設計,コンサルティング

    10

  • NTT DOCOMO, INC All Rights Reserved.

    NTTドコモの社内セキュリティ基準

    11

    オンプレミス/クラウドを問わず各種規定類に準拠する必要あり o 情報管理規定 o 情報管理細則

     故意による不正行為抑止  セキュリティ対策基準  サイバー攻撃対応

    o 情報管理マニュアル o 顧客情報管理マニュアル o 内部・外部のログ

    o 権限付与ルール o アカウント管理 o 入退室管理 o データ暗号化 o 情報セキュリティ監査 o etc.

  • NTT DOCOMO, INC All Rights Reserved.

    クラウドのセキュリティ o責任分担モデル プロバイダの分担部分は手が出せない → プロバイダの情報開示が必須 クラウドの機能に応じてユーザ分担部分で対策を実施 → NTTドコモでは利用の多いプロバイダ上での対策を標準化

    12

    データ アプリケーション設定 アプリケーション 高可用性,スケーリング バックアップ ミドルウェア OSパッチ ゲストOS Hyper Visor 物理サーバ Rack & Stack

    電源,空調,ネットワーク

    データ アプリケーション設定 アプリケーション 高可用性,スケーリング バックアップ ミドルウェア OSパッチ ゲストOS Hyper Visor 物理サーバ Rack & Stack

    電源,空調,ネットワーク

    データ アプリケーション設定 アプリケーション 高可用性,スケーリング バックアップ ミドルウェア OSパッチ ゲストOS Hyper Visor 物理サーバ Rack & Stack

    電源,空調,ネットワーク

    データ アプリケーション設定 アプリケーション 高可用性,スケーリング バックアップ ミドルウェア OSパッチ ゲストOS Hyper Visor 物理サーバ Rack & Stack

    電源,空調,ネットワーク

    ユーザの責任分担 プロバイダの責任分担

    オンプレミス IaaS PaaS SaaS

  • NTT DOCOMO, INC All Rights Reserved.

    NTTドコモのAWS利用体制

    13

    AWSを利用するプロジェクト プロジェクトA (開発ベンダA)

    CCoEチーム AWS 連携

    (サポート,情報提供)

    ガイドライン等の共通ツール,共通基盤

    提供

    ・問い合わせ ・フィードバック ・ノウハウ蓄積

    コンサル提供

    フィードバック 事例・ノウハウ反映

    個別問い合わせ

    セキュリティ審査 セキュリティ診断

    情報セキュリティ部

    情報提供

    プロジェクトB (開発ベンダB)

    プロジェクトC (開発ベンダC)

    セキュリティ基準策定

  • NTT DOCOMO, INC All Rights Reserved.

    社内で共通利用しているツール

    o AWSを利用する開発者,運用者,等が必要に応じて利 用/参照するツール/ドキュメント(標準化)  マニュアル,ガイドライン,デザインパターン,テンプレート,等

    14

  • NTT DOCOMO, INC All Rights Reserved.

    AWSセキュリティ対策事例

    o分析基盤(IDAP: Integrated Data Analysis Platform) いわゆるビッグデータの統合分析環境 顧客情報を含む大量のデータを保持

    15

    Data Source ET Temporary Storage

    Forwarder

    Loader State Management

    Long Term Storage

    Redshift

    Data operation Terminal

    Data Analyst Terminal

    Data Encryption Key

    Data encryption For Redshift

    Encrypted data

    Collector

    External S3

    External Server

    Ex-Hub

    Hub

  • NTT DOCOMO, INC All Rights Reserved.

    AWSセキュリティ対策事例

    o分析基盤でAWSを採用した理由 「スピード」,「拡張性」,「性能」,「セキュリティ」 当時のオンプレミス分析基盤と比較して10倍の性能向上 オンプレミスと同等レベルのセキュリティ対策の実現

    Web系システムで構築スピードと拡張性は体験済

    DWH更改検討を開始した2013年にAWSが新機能をリリース 性能:分析DWHであるRedshiftが登場 セキュリティ:ログ機能(CloudTrail),暗号化機能等の充実

    それまでWeb系システムの構築で培ったノウハウを活用し

    てシステム/セキュリティ対策を設計 パブリッククラウドの利点を活用しつつ各種要件に準拠

  • NTT DOCOMO, INC All Rig