S U M M I TTo k y o

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS環境におけるデータ保護の実装

能仁 信亮アマゾン ウェブ サービス技術統括本部 金融ソリューション部シニア ソリューション アーキテクト

A 1 - 0 3

保坂 匠アマゾン ウェブ サービス ジャパン技術統括本部 金融ソリューション部ソリューション アーキテクト

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

本セッションで取り扱う内容

セクション1:

AWS上のデータとリソースに対するアクセス権限

セクション2:

AWS環境におけるデータ暗号化と鍵管理

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

自己紹介

名前

保坂 匠（ほさか たくみ）

役職

技術統括本部 金融ソリューション部

ソリューション アーキテクト

好きなAWS サービス

AWS Identity and Access Management (IAM)

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

このセクションの目的：IDとアクセス管理

• データ保護に対する基本原則とアプローチを理解する

• 特にAWS上のデータとAWSリソースに対するアクセス管理の方法を理解する

• IDとアクセス管理の観点で、AWS上のデータを保護するための実装例を知る

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

機密性、完全性、可用性 - 情報セキュリティの三要素

機密性Confidenciality

完全性Integrity

可用性Availability

✓ 権限を持った人だけがアクセスできる

✓ データの漏洩や不正な持ち出しからの保護

✓ データに信頼性があり、整合性がとれている

✓ データの破損や改竄からの保護

✓ タイムリーにデータにアクセスできる

✓ DoS攻撃や故障による損失からの保護

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

データ保護の基本的なアプローチ

インフラセキュリティ

IDとアクセス管理

データ暗号化

不正なトラフィック

の検出

設定変更の検出

監査

データ特性の分析

• 保護データの選定

• 対象データの分類

• 脅威とリスクの抽出

• 頻度と影響の評価

• 対応方法の決定と実装方法の検討

• 統制状態の維持

• インシデント対応

• 監査対応

脅威とリスクの分析

データ保護の実装

統制のモニタリング

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWSサービスを用いたデータ保護

Amazon Elastic Load Balancing

AWS Secrets Manager

AWS Certificate Manager

Amazon EBS

Amazon S3

Amazon RDS

Amazon DynamoDB

AWS KeyManagement Service(KMS)

AWS IAM

AWS CloudTrail

暗号鍵の管理

アクセス権限の管理

データアクセスの監査

キーのインポート

シークレットの管理

SSL/TLS証明書の管理

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS Identity and Access Management (IAM)アイデンティティ (プリンシパル)AWS上で利用可能なアクターのアイデンティティ (ユーザー、ロール等)

IAM上でアイデンティティの認証、または外部のIDプロバイダーとフェデレーションが可能

APIアクションプリンシパルがAWS APIコールによってリクエストしたアクション

AWSサービスごとに固有のアクションセット

リソースAPIアクションによって操作される対象のAWSリソース

一部のリソースではリソース自体にポリシーを設定することが可能

コンディションそのAPIアクションが許可(拒否)される、より詳細な条件

よりセキュアなアクセスコントロールのために、できるだけ条件を絞り込む

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

最小権限の原則

本当に必要な権限だけを定義するには✓ そのAWSサービスでどんなアクションがサポートされているか理解する

✓ ある特定のタスクを実行するのに必要となるAPIアクションを特定する

✓ そのアクションを実行するのに必要となる権限を決定する

セキュリティのベストプラクティス✓ 最低限の権限セットを付与し、必要に応じて権限を追加する

✓ 付与した権限セットが最小権限になっているか定期的に確認する

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

ライフサイクル管理タスク 利用可能なAWSサービス・機能 参照リンク先

過剰な権限、不要になった権限を削除

AWS IAM アクセスアドバイザー• https://docs.aws.amazon.com/ja_jp/IAM/latest/U

serGuide/access_policies_access-advisor-view-data.html

不要になったIAMユーザーを削除

AWS IAM アカウントの認証情報レポート

• https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_credentials_getting-report.html

認証情報の安全な保管とローテーション

AWS Secrets ManagerAWS Systems Manager パラメータストア

• https://docs.aws.amazon.com/ja_jp/secretsmanager/latest/userguide/rotating-secrets.html

• https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/systems-manager-parameter-store.html

暗号鍵の安全な保管とローテーション

AWS KMSAWS CloudHSM

• https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/rotate-keys.html

• https://docs.aws.amazon.com/ja_jp/cloudhsm/latest/userguide/manage-keys.html

SSL/TLS証明書の管理とローテーション

AWS Certificate Manager • https://docs.aws.amazon.com/ja_jp/acm/latest/userguide/managed-renewal.html

IDと権限のライフサイクル管理

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

データとAWSリソースに対するアクセス管理

データベース(Amazon RDS)

テーブル(Amazon

DynamoDB)

バケット(Amazon S3)

ボリューム(Amazon EBS)

スナップショット

暗号鍵

DB認証情報

データ

IAM認証情報 OS認証情報

データ：サービス毎にアクセス管理

リソース：AWS IAMでアクセス管理

IAM認証情報

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS CloudTrail: AWSリソースに対するアクティビティのロギング

・・・

"userIdentity": {"userName": "admin",・・・

},"eventTime": "2019-05-21T09:05:24Z","eventSource": "s3.amazonaws.com","eventName": "CreateBucket","sourceIPAddress": "xxx.xxx.xxx.xxx","requestParameters": {

"bucketName": "a1-03-data-protection-20190612",・・・

},・・・

AWS CloudTrailで取得したイベントログの例

このIAMユーザーが

この時刻に

このAPIアクションを呼び出した

このIPアドレスから

このリソース名で

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

典型的なデータアクセスパターン

S3バケットS3 VPCeIAMロール

IAMポリシー VPCエンドポイント(VPCe)ポリシー

バケットポリシー

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

IAMポリシーによるアクセス制限の例{"Version":"2012-10-17","Statement": [{"Effect": "Allow","Action": "s3:ListAllMyBuckets","Resource":"arn:aws:s3:::*"

},{"Effect": "Allow","Action": [ "s3:PutObject", "s3:GetObject","s3:DeleteObject"],

"Resource": "arn:aws:s3:::summittokyo/${aws:username}/*”,

"Condition": {"IpAddress": {"aws:SourceIp": ”203.0.113.0/24"

}}

}]

}

どんな条件のときにどのS3 APIアクションをそのIAMユーザー/ロールに許可するか?

• IAMの管理者がプリンシパルを中心に考えてアクセス権限を記述する

• ポリシー変数やタグを利用してスケールしやすく

S3バケットS3 VPCeIAMロール

IAMポリシー VPCeポリシー バケットポリシー

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

バケットポリシーによるアクセス制限の例

どのIAMユーザー/ロールにそのS3バケットへのアクセスを許可するか?

• S3バケットの管理者がそのバケットを中心に考えてアクセス権限を記述する

• クロスアカウントでアクセス権限を付与する際にはユーザーベースポリシーとAND条件で評価される

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Deny",

"Principal": "*",

"Action": "s3:*",

"Resource": "arn:aws:s3:::summittokyo/*",

"Condition": {

"Null": { "aws:MultiFactorAuthAge": true }

}

}

]

}

S3バケットS3 VPCeIAMロール

IAMポリシー VPCeポリシー バケットポリシー

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS Cloud

VPC

VPCeを用いたバケットポリシーよるアクセス制限の例 {

"Version": "2012-10-17",

"Statement": [

{

"Sid": "Access-to-specific-VPCe-only",

"Effect": "Deny",

"Principal": "*",

"Action": "s3:*",

"Resource": [

"arn:aws:s3:::summittokyo",

"arn:aws:s3:::summittokyo/*”

],

"Condition": {

"StringNotEquals": {

"aws:sourceVpce": "vpce-1a2b3c4d"

}

}

}

]

}

S3バケットS3 VPCeIAMロール

IAMポリシー VPCeポリシー バケットポリシー

AWS Management Console

○

×

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

VPCeポリシーによるアクセス制限の例

そのVPCeを経由してきたとき、どのIAMユーザー/ロールに、どのS3バケットにアクセスを許可するか?

VPCeポリシーはVPCeに直接アタッチされるが、これだけでそのS3バケットにアクセス権限を付与するわけではない (IAMポリシー/バケットポリシーで許可が必要)

{

"Version": "2012-10-17",

"Statement": [

{

"Sid": ”block-non-org",

"Effect": ”Deny",

"Principal": "*",

"Action": "s3:*",

"Resource": "*",

"Condition": {"StringNotEquals":

{"aws:PrincipalOrgID":[

"o-33pzw9herg”

]

}

}

},

(続く)

S3バケットS3 VPCeIAMロール

IAMポリシー VPCeポリシー バケットポリシー

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

VPCeポリシーによるアクセス制限の例(続き)

{

"Sid": "Access-to-specific-bucket-only",

"Effect": "Allow",

"Principal": "*",

"Action": "s3:*”,

"Resource": [

"arn:aws:s3:::summittokyo",

"arn:aws:s3:::summittokyo/*”

]

}

]

}

S3バケットS3 VPCeIAMロール

IAMポリシー VPCeポリシー バケットポリシー

そのVPCeを経由してきたとき、どのIAMユーザー/ロールに、どのS3バケットにアクセスを許可するか?

VPCeポリシーはVPCeに直接アタッチされるが、これだけでそのS3バケットにアクセス権限を付与するわけではない (IAMポリシー/バケットポリシーで許可が必要)

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

データアクセスの権限を経路とポリシーで縛る+ 暗号化

S3バケットS3 VPCeIAMロール

IAMポリシー VPCeポリシー バケットポリシー

KMS CMK

KMS キーポリシー

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

クラウドでデータの統制を維持するために

“復号に必要な鍵は私が管理している“✓ 他のクラウド利用者から自分のデータを守りたい

✓ クラウドベンダーからも自分のデータを守りたい

“非暗号化データへの許可されていないアクセスは排除する”✓ 鍵自体も安全に管理しなければならない

✓ 鍵へのアクセスも管理しなければならない

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

このセクションでのまとめ

• AWS IAMのポリシーを用いてデータアクセス権限の付与と条件を限定することができます

• 最小権限になっているか、スケールするか

• データおよびデータを含むAWSリソースとでは認証と認可を提供する主体が異なることもあります

• IDと権限のライフサイクル管理やAWSリソースに対するアクディビティの監視も重要なタスクです

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

自己紹介

能仁 信亮(のうにん しんりょう)金融ソリューション部

ソリューション アーキテクト

普段の仕事

金融機関のお客様へクラウド活用のご支援をさせていただいております

好きなAWSのサービス

Amazon S3, AWS KMS, AWS Service Catalog

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

暗号化と鍵管理: このセクションの目的

• AWSを利用する際の鍵管理の選択肢とそれぞれの特徴を理解する

• そのなかでもAWS Key Management Service (KMS) のアーキテクチャを理解する

• 目的に応じたAWS KMSの構成や設定を知る

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

暗号化と鍵管理: このセクションの目的

• AWSを利用する際の鍵管理の選択肢とそれぞれの特徴を理解する

• そのなかでもAWS Key Management Service (KMS) のアーキテクチャを理解する

• 目的に応じたAWS KMSの構成や設定を知る

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

平文のデータ

ハードウェア /ソフトウェア

暗号化されたデータ

ストレージ上の暗号化データ

暗号化されたデータ

キー

データキー

マスターキー

データキー?

?

なぜ鍵管理が必要か

平文の鍵はどこかには存在し、管理が必要

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS環境で利用する暗号鍵の管理

AWS KMS AWS CloudHSM オンプレミスのHSMなどの独自鍵管理

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS環境での鍵管理の選択肢

AWS KMS AWS CloudHSM 独自の鍵管理

構成マルチテナントのマネージドサービス

排他的に制御できる専用のHSMをVPC内で直接利用

独自

AWSサービスとの連携 50以上のサービスと連携 限定的 限定的

鍵のアクセス管理方法AWS利用者が設定したAWSポリシー

HSMのアクセス管理機能 独自

パフォーマンス/スケールに責任を負うのは誰か

AWS AWS/AWS利用者 AWS利用者

料金体系マスターキーおよびAPIリクエスト単位

時間単位 独自

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

暗号化と鍵管理: このセクションの目的

• AWSを利用する際の鍵管理の選択肢とそれぞれの特徴を理解する

• そのなかでもAWS Key Management Service (KMS) のアーキテクチャを理解する

• 目的に応じたAWS KMSの構成や設定を知る

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS Key Management Service (AWS KMS)

暗号鍵の作成、管理、運用のためのサービス• 可用性、物理的セキュリティ、ハードウェアの管理をAWS が担当するマネー

ジドサービス

• 暗号鍵を保存、暗号鍵を使用するための安全なロケーションを提供

• マスターキーはFIPS 140-2検定済暗号化モジュールによって保護

AWSサービスとの統合 (S3, EBS, Redshift, RDS, Snowball等)

SDKとの連携でお客様の独自アプリケーションデータも暗号化

AWS CloudTrailと連動したログの生成による組み込み型監査

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS KMSにおける暗号鍵のヒエラルキー

• 複数層のの暗号鍵ヒエラルキー

• 個別のデータキーによるユーザーデータの暗号化

• AWS KMS マスターキーによるデータキーの暗号化

• Envelope Encryptionを利用

• データキーの漏洩リスクを限定化

• ラージデータを暗号化する場合のパフォーマンスメリット

• 少数のマスターキーを管理することで管理性を向上

• 鍵利用に関する中央集中アクセスと監査

Amazon S3 Object

Amazon EBS Volume

Amazon Redshift Cluster

CustomApplication

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS KMSのアーキテクチャー

KMShost

KMShost

KMShost

HSM

HSM

HSM(Hardware Security

Module)

CMK(暗号化された)

KM

S I

nte

rface

• 暗号化キーのニーズに合わせて自動でスケール• 複数のアベイラビリティーゾーンによる高可用性• CMKは高耐久、低レイテンシーのストレージに、暗号

化された状態で保存し、99.999999999%の耐久性を実現

• 内部の通信はすべて暗号化されている

Domain

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

暗号化と鍵管理: このセクションの目的

• AWSを利用する際の鍵管理の選択肢とそれぞれの特徴を理解する

• そのなかでもAWS Key Management Service (KMS) のアーキテクチャを理解する

• 目的に応じたAWS KMSの構成や設定を知る

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

鍵のインポート - Bring Your Own Keys(BYOK)

• お客様所有のKMIで鍵を生成し、その鍵のコピーをAWS KMSにインポート

• インポートされた鍵は、AWS KMSで生成された鍵と同様に、AWS KMSと統合されたAWSのサービスで、または独自のアプリケーションで使用可能

• 鍵の有効期限指定が可能

• 鍵の削除、再インポートが可能

• 運用負荷とインポートの利点を十分に考慮する必要あり

CMKコンテナの作成

ラッピングキーのダウンロード

ラッピングキーでImport鍵を暗号化

有効期限を指定してKMSへImport

空のCMKコンテナ

作成

ダウンロード

RSA public key

KMS

KMS

KMSの公開鍵で暗号化した256bit 鍵

エクスポート

自社KMI

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

BYOK利用時の考慮点

• インポートした鍵の自動ローテーションは不可。随時手動でローテーションする。

• インポート後はAWS KMS生成のCMKと同等の可用性であるが、耐久性は異なり、リージョン障害などの場合に自動復旧されない。

• 有効期限が過ぎた鍵はKMSによって削除される。AWS KMS生成のCMKは7日〜30日の待機時間があるのに対して、即時に削除。インポートの再実施で復旧可能。

• 上記の耐久性と削除（特にオペレーションミスによる削除）の対応として、鍵を必ず保管しておくことが運用の前提。

詳細)https://docs.aws.amazon.com/ja_jp/kms/latest/developerguide/importing-keys.html

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS KMS カスタムキーストア

Clients

AWSServices

AWS KMS AWS CloudHSM

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

これまでの利用形態

VPC

CloudHSMクラスター

AWS SDKを利用したアプリケーション

KMS 標準キーストア

AWS KMS

KMS エンドポイント

KMS HSM フリート

50以上のAWS

サービス

AWS Cloud

PKCS#11, JCEなどを利用したカスタム

クライアント

Amazon S3 Amazon RDS Amazon DynamoDB

AWSCloudHSM

AWS Tools and SDKs

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS KMS カスタムキーストア

VPC

CloudHSMクラスター

AWS SDKを利用したアプリケーション

KMS 標準キーストア

AWS KMS

KMS エンドポイント

KMS HSM フリート

50以上の

AWSサービス

AWS Cloud

カスタムキーストアコネクター

PKCS#11, JCEなどを利用したカスタム

クライアント

Amazon S3 Amazon RDS Amazon DynamoDB

AWSCloudHSM

AWS Tools and SDKs

KMSのCMKをCloudHSMで生成、保管可能に

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS KMS カスタムキーストアを利用するケース

前提: FIPS 140-2 検証済み暗号化モジュールによって保護されるデフォルトの AWS KMS キーストアで、多くの場合セキュリティ要求を満たす

カスタムキーストアの利用を検討するケース:1. 規制要件などによりキーマテリアルをマルチテナント環境に保存できない場合

2. キーマテリアルを複数の AWS リージョンにバックアップする必要がる場合

3. キーマテリアルを生成して保存する HSM が、FIPS 140-2 レベル 3 で認定を受けている必要がある場合（標準の KMS キーストアに使用される HSM はレベル 2 認証されていて、複数のカテゴリではレベル 3)

4. キーマテリアルを KMS からすぐに削除し、それを証明できることが必要な場合(BYOKでも即時削除は可能)

5. KMS または AWS CloudTrail とは無関係に、使用しているすべてのキーを監査できるという要件がある場合

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

鍵へのアクセス権限の管理

各々の CMK はパーミッションを定義するリソースポリシーをもつ

鍵に対するパーミッションの例:

• <特定アカウント>の<特定のユーザー/ロール>のみ暗号化/復号可能

• アプリケーションAからは暗号化のみ可能で、アプリケーションBからは復号のみ可能

• 特定の管理者IAMユーザー/ロールからのみ、管理可能s

• <特定の外部アカウント>から暗号化/復号は可能だが、管理タスクは許可しない

AWS IAM ユーザー/ロールの ポリシーと同じ記法を利用

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS KMS Key Policy{

"Sid": "Allow access for Key Administrators",

"Effect": "Allow",

"Principal": {

"AWS": "arn:aws:iam::123456789012:user/AdminUser1"},

"Action": [

"kms:Create*",

"kms:Describe*", "kms:List*", "kms:Get*",

"kms:Enable*", "kms:Disable*",

“kms:Put*",

"kms:Update*",

"kms:Revoke*", "kms:Delete*",

"kms:TagResource","kms:UntagResource",

"kms:ScheduleKeyDeletion","kms:CancelKeyDeletion"

],

"Resource": "*"

}

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWSサービスでのKMS対応状況

https://aws.amazon.com/jp/kms/features/

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWSの各サービスのデータキーの利用方法

EC2/EBS モデル• KMSにより作成/復号されたリソースごとに一意なデータキーは、ハイパーバーザーの揮発性

メモリにリソースがアタッチされている限り保持される

• EC2やRDSなどのリソースを作成/起動するユーザー/ロールにCMKへのアクセス権限が必要

• 例: EBS, RDS, Redshift, WorkSpaces

S3 モデル• KMSにより作成/復号されたデータキーは、APIトランザクションの間のみサービスの揮発性

メモリに保持される

• API呼び出しを行うユーザー/ロールにCMKへのアクセス権限が必要

• 例: S3, AWS Secrets Manager, Amazon Kinesis, Amazon SQS

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS KMSの監査

• AWS KMSへのAPIアクセスに対する監査

• AWSの運用に対する監査

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS CloudTrail: KMS APIアクセスの監査

"EventName":"DecryptResult", …KMS APIアクションが呼び出された

"EventTiime":"2014-08-18T18:13:07Z", …時刻

"RequestParameters":"{¥"keyId¥":¥"2b42x363-1911-4e3a-8321-6b67329025ex”}”,

…参照されたキー

“EncryptionContext":"volumeid-12345", …このAWSリソースを保護するために

"SourceIPAddress":" 203.0.113.113", …このIPアドレスから

"UserIdentity":“{¥”arn¥“:¥”arn:aws:iam:: 111122223333:user/User123“}

…このAWS IMAユーザーから

.

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

AWS KMSに対するAWSの運用の例

• 平文のマスターキーには誰もアクセスできない• 幅広い堅牢化技術を使用してマスターキーを保護するように

設計• AWS Service Organization Controls (SOC)レポートを参照

• KMSサービス内でソフトウェアをアップデートするためのアクセスは、複数段階の承認プロセスによって管理• Amazonの独立したグループによって監査およびレビューを

実施

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

KMS 第三者認証

各種第三者認証のレポートはAWS Artifactからダウンロード

• AWS Service Organization Controls レポート

• PCI DSS レベル 1

• ISO 27017

• ISO 27018

• ISO 9001

• FIPS 140-2

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

参考資料

• AWS Key Management Service Cryptographic Details (2018年8月)https://d1.awsstatic.com/whitepapers/KMS-Cryptographic-Details.pdf

• AWS Key Management Service 暗号化の詳細 (2016年8月)https://d1.awsstatic.com/whitepapers/International/jp/KMS_Cryptographic_Details_JP.pdf

• AWS Key Management Service のベストプラクティス (2017年4月)https://d1.awsstatic.com/whitepapers/International/jp/KMS_Best_Practices_Whitepaper_JP.pdf

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

このセクションのまとめ

• AWSを利用する際の鍵管理の選択肢とそれぞれの特徴を理解する→ AWS KMSは50以上のAWSサービスと連携

• そのなかでもAWS Key Management Service (KMS) のアーキテクチャを理解する→ セキュリティと高可用性を実現するアーキテクチャ

• 目的に応じたKMSの構成や設定を知る→ 要件に応じて、BYOKやカスタムキーストアも利用可能

監査やアクセス権限の機能を活用する

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Related breakouts

AWS環境における脅威検知と対応 (Day1 13:00-、18:00-) 藤倉 和明, ソリューション アーキテクト, アマゾン ウェブ サービス

Transit Gateway Deep Dive アーキテクチャガイド (Day1 16:00-)菊池 之裕, ソリューション アーキテクト, アマゾン ウェブ サービス

マルチアカウント運用での権限移譲と統制の両立(Day2 16:00-)山辺 真行, コンサルタント, アマゾン ウェブ サービス

Security Best Practices on S3 (Day1 16:00-)焼尾 徹, ソリューション アーキテクト, アマゾン ウェブ サービス

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

Thank you!

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

能仁 信亮shinryo@amazon.co.jp

保坂 匠hostakum@amazon.co.jp

S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

お手元のサミットガイドブックの表紙、受講票にも記載している『QRコード』 からご回答ください。

もれなく素敵なAWSオリジナルグッズ＆アイスをプレゼントします。

本セッションのFeedbackをお願いします

プレゼントの引き換えは、EXPOエリア内アンケートコーナー・出口付近のいずれかにお越しください。

涼感マフラータオル（巾着入り）