AWS初心者向けWebinar AWSにおけるセキュリティとコンプライアンス

2016 / 03 / 15アマゾンウェブサービスジャパン株式会社プロフェッショナルサービス本部高田智己

【 AWS 初心者向け Webinar 】AWSにおけるセキュリティとコンプライアンス

ご質問を受け付け致します！

質問を投げることができます！• Adobe Connect のチャット機能を使って、質問を書き込んで

ください。（書き込んだ質問は、主催者にしか見えません）

• 最後の Q&A の時間で可能な限り回答させていただきます。

①画面右下のチャットボックスに質問を書き込んでください

②吹き出しマークで送信してください

AWS 初心者向け Webinar のご紹介

• AWS についてこれから学ぶ方むけのソリューションカットの Webinar です

• 過去の Webinar 資料– AWS クラウドサービス活用資料集ページにて公開

http://aws.amazon.com/jp/aws-jp-introduction/

• イベントの告知– 国内のイベント・セミナースケジュールページにて告知

http://aws.amazon.com/jp/about-aws/events/（オンラインセミナー枠）

http://aws.amazon.com/jp/aws-jp-introduction/

http://aws.amazon.com/jp/about-aws/events/

アジェンダ

• イントロダクション

• AWSのセキュリティと責任共有モデル

• Security OF the Cloud

• Security IN the Cloud

• AWSセキュリティとAPN

• 最新のトレンド・まとめ

アジェンダ







イントロダクション

• 今回のAWS初心者向けWebinarでは、AWSのセキュリティとコンプライアンスについて、責任共有モデルの考えに基づき、最新の情報を交えながらご紹介します。

• この分野においてAWSが提供する情報源や使い方もご紹介しますので参考にして頂ければと思います。

アジェンダ







Amazon Web Services (AWS)アマゾンの 3 つのビジネス

一般消費者様向けサービス

セラー様向けサービス

企業様向けサービス

Eコマース（Amazon.co.jp）

マーケットプレイス物流サービス提供

（Amazon Services）

クラウドコンピューティング

（Amazon Web Services）

イノベーションのペース

24 48 61 82159

280

516

722

2008 2009 2010 2011 2012 2013 2014 2015

新規サービスのリリース施設の拡充お客様からのフィードバックを

基にした改善

世界に広がる AWS のインフラ

カリフォルニアダブリン

シンガポール

東京

オレゴン

バージニア

サンパウロ

リージョンエッジローケーション

GovCloud

シドニー

フランクフルト

過去9年間で51回の値下げ

（2016年3月現在）

規模の拡大とイノベーション

ソウル

北京

AWSのセキュリティ方針

• セキュリティはAWSにおいて最優先されるべき事項

• セキュリティへの大規模な投資

• セキュリティに対する継続的な投資

• セキュリティ専門部隊の設置

AWS 基本サービス

コンピュートストレージデータベースネットワーク

AWSグローバルインフラストラクチャリージョン

アベイラビリティゾーンエッジ

ロケーション

ネットワークサーバー

セキュリティ

インベントリ・構成管理

お客様のアプリケーション・コンテンツお客様自身でクラウドをコントロール可能

AWSがクラウドのセキュリティを担当

データセキュリティ

アクセスコントロール

AWS 責任共有モデル





ロケーション


セキュリティ



お客様はこの部分の統制に関してAWSにオフロードすることが可能。





AWS責任共有モデルhttps://aws.amazon.com/jp/compliance/shared-responsibility-model/

AWSセキュリティベストプラクティスhttps://d0.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf

AWSの責任共有モデルについては、AWSコンプライアンスのWebサイトや「AWSセキュリティベストプラクティス」ホワイトペーパーでも解説しています。

https://aws.amazon.com/jp/compliance/shared-responsibility-model/

https://d0.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf

アジェンダ











ロケーション

ネットワークセキュリティ

サーバー(OS)

セキュリティ


お客様




Security “OF” the Cloud

Security “OF”the Cloud


Security “OF”the Cloud


業界における認定と独立したサードパーティによる証明を取得します

AWS のセキュリティと統制に関する情報をホワイトペーパーおよびウェブサイトコンテンツで公表します

NDA に従いAWS のお客様に証明書、レポートなどの文書を直接提供します

AWSは、お客様が使用するAWS サービスに関連した統制、およびそれらの統制がどのように検証されているかをお客様にご理解頂くことを支援致します。

リージョン

US-WEST (N. California)EU-WEST (Ireland)

ASIA PAC (Tokyo)

ASIA PAC (Singapore)

US-WEST (Oregon)

SOUTH AMERICA (Sao Paulo)

US-EAST (Virginia)

GOV CLOUD

ASIA PAC (Sydney)

シンガポール

シドニー

東京

アイルランド

サンパウロ

北カリフォルニア

オレゴン

バージニア

Gov Cloud フランクフルト

EU-CENTRAL (Frankfurt)

北京

Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください

ASIA PAC (Seoul)

ソウル

Beijing

AWS グローバルインフラストラクチャー

http://aws.amazon.com/jp/about-aws/globalinfrastructure/

アベイラビリティゾーン

アベイラビリティ・ゾーンによる可用性

US-WEST (N. California) EU-WEST (Ireland)

ASIA PAC (Tokyo)

ASIA PAC (Singapore)

US-WEST (Oregon)

SOUTH AMERICA (Sao Paulo)

US-EAST (Virginia)

GOV CLOUD

ASIA PAC (Sydney)

EU-CENTRAL (Frankfurt)


ASIA PAC (Seoul)

Beijing


DCレベルの障害対策

EU (Ireland)

AvailabilityZone A

AvailabilityZone C

AvailabilityZone B

Asia Pacific (Tokyo)

AvailabilityZone A

AvailabilityZone B

US West (Oregon)

AvailabilityZone A

AvailabilityZone B

US West(Northern California)

AvailabilityZone A

AvailabilityZone B

Asia Pacific (Singapore)

AvailabilityZone A

AvailabilityZone B

Asia Pacific (Sidney)

AvailabilityZone A

AvailabilityZone B

South America (Sao Paulo)

AvailabilityZone A

AvailabilityZone B

US East (Northern Virginia)

AvailabilityZone D

AvailabilityZone C

AvailabilityZone B

AvailabilityZone A

EU (Frankfurt)

AvailabilityZone A

AvailabilityZone B


AvailabilityZone B

Asia Pacific (Seoul)

AvailabilityZone A

AvailabilityZone B

Beijing

AvailabilityZone A

AvailabilityZone B

US Gov Cloud

AvailabilityZone A

AvailabilityZone B

複数DC設置におけるAWSのポリシー• 物理的に離れたデータセンター群• 洪水を考慮• 地盤が安定している場所• 無停止電源(UPS)、バックアップ電源、異なる電源供給元• 冗長化されたTier-1ネットワーク


• 場所の秘匿性

• 周囲の厳重なセキュリティ

• 監視カメラや侵入検知システム、24時間常駐の専門の保安要員による物理アクセスの厳密なコントロール

• 完全管理された、必要性に基づくアクセス

• 2要素認証を2回以上で管理者がアクセス

• 全てのアクセスは記録され、監査対象となる

データセンターの物理セキュリティ

AWSコンプライアンス http://aws.amazon.com/jp/compliance/リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

http://aws.amazon.com/jp/compliance/

http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

• Distributed Denial of Service (DDoS)対策

• 中間者攻撃対策

• IPなりすまし対策

• 許可されていないポートスキャニング対策– AWSサービス利用規約違反に該当– 検出され、停止され、ブロックされる

• パケットの盗聴対策– プロミスキャスモードは不許可– ハイパーバイザ―レベルで防御





• ハイパーバイザー（ホストOS）

– 承認を受けたAWS管理者の拠点ホストからの個別のログイン

– 特別に設計、構築、設定された管理ホスト

– 多要素認証の利用

– 全てのアクセスをロギングし監査

– 作業完了後システムへの特権とアクセス権の削除

• ゲストOS（EC2インスタンス）

– お客様による完全なコントロール

– 顧客が生成したキーペアを使用

論理的なセキュリティ




• 従業員の雇用

– 雇用前審査の一環として適用法令が認める範囲での犯罪歴の確認

– Amazonリーガルによる機密保持契約書の管理

– 従業員はアクセス権を付与される前に機密保持契約書に署名

– 入社時研修の一環として利用規定及びAmazon業務行動倫理規定への同意

従業員・アカウントの管理

• アカウント管理

• 人事管理システムのプロセスの一環として、一意のユーザー IDを作成

• 最小権限の適用。最小権限を越えるアクセスには適切な認証。

• 少なくとも四半期ごとのアカウントの確認

• 90日間アクティビティがないアカウントの自動的無効化

• 従業員の記録が人事システムから削除されると、アクセス権も自動的に削除




• データの所有権と管理権はお客様に。

• データとサーバーを配置する物理的なリージョンはお客様が指定。

• AWS は、法令遵守または政府機関の要請によりやむをえない場合を除き、お客様のコンテンツを指定されたリージョンから移動しない。

• 法令、または政府機関もしくは規制当局による有効かつ拘束力のある命令を遵守するために必要な場合を除き、お客様のコンテンツを開示することはない。

• そうすることが禁止されている場合または Amazon の製品もしくはサービスの利用に関連した違法行為の存在を明確に示すものがある場合を除き、お客様が開示からの保護を求められるようカスタマーコンテンツの開示に先立ってお客様に通知。

• AWSでは、S3、EBS、EC2 など、ほぼすべてのサービスについて、お客様が独自の暗号化メカニズムを使用することを許可。（サーバーサイド暗号化、クライアントサイド暗号化、鍵の保管・管理方法等）


AWS データプライバシーのよくある質問 http://aws.amazon.com/jp/compliance/data-privacy-faq/リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

http://aws.amazon.com/jp/compliance/data-privacy-faq/


• 上記の手順を用いハードウェアデバイスが廃棄できない場合、デバイスは業界標準の慣行に従って、消磁するか、物理的に破壊する

ストレージの廃棄プロセス

• 顧客データが権限のない人々に流出しないようにするストレージ廃棄プロセスを保持• DoD 5220.22-M（「National Industrial Security Program Operating

Manual（国立産業セキュリティプログラム作業マニュアル）」）• NIST 800-88（「Guidelines for Media Sanitization（メディア衛生のための

ガイドライン）」)




AWSは主要な規制/標準/ベストプラクティスに準拠

AWSコンプライアンス http://aws.amazon.com/jp/compliance/


金融機関向け『Amazon Web Services』対応セキュリティリファレンス• 2013年10月、FISC安全対策基準（第8追補版）へのAWSの準拠状況を調査した資料をSI/ISV

８社(現在は9社)が共同で調査して一般公開• AWSと利用者で責任分担することで、FISC安対基準を満たせるとの見解を一般公開

http://aws.amazon.com/jp/aws-jp-fisclist/

サマリー版

詳細版

Amazon Web Services対応セキュリティリファレンス

FISC安全対策基準

設備：138項目運用：115項目技術： 53項目各基準に

対応 Amazon Web Services

システム構築・運用

調査・対応案検討

各金融事業者のセキュリティ指針・監査指針

クラウドを活用したシステム

安心・安全かつ、機動性の高い金融サービスの実現

金融事業者（銀行、証券、保険等）

セキュリティ対応調査協力

作成/更新

支援SCSK

ISID

NRI

MKI

TrendMicro

TIS

CAC

http://aws.amazon.com/jp/aws-jp-fisclist/

AWSセキュリティセンターとAWSコンプライアンスaws.amazon.com/jp/securityaws.amazon.com/jp/compliance

• セキュリティやコンプライアンスに関する多くの質問に対する回答• セキュリティWhitepaper• リスクとコンプライアンス Whitepaper• セキュリティプロセス概要 Whitepaper• “Security at Scale” whitepaper シリーズ

• Security bulletins

• 侵入テスト申請フォーム

• Securityベストプラクティス

• 詳しい情報のお問い合わせ先

http://aws.amazon.com/security/

http://aws.amazon.com/compliance

コンプライアンス情報の使いどころ

29

• AWS利用者のセキュリティ評価、チェックシートの回答等に利用• AWSの内部に関する統制状況は基本的にホワイトペーパーや、SOC1/2・PCI等のNDA

ベースで提供している情報から評価• 公開されている情報で直接的に確認項目に回答されていないものも、提供されている情

報によりリスクを評価いただくことで問題がないかどうか検討• または、多層的なコントロールを考えることでその確認項目に関するリスクを許容でき

るものにできるか検討• それでも許容できないリスクが残る場合はAWSにご相談を

リスクとコンプライアンスホワイトペーパー

• AWS のお客様が IT 環境をサポートする既存の統制フレームワークに AWS を統合する際に役立つ情報を提供

• AWS の統制の評価に関する基本的なアプローチについて説明し、統制環境の統合の際に役立つ情報

• 内容• リスクとコンプライアンスの概要• AWS統制の評価と統合• AWSリスク及びコンプライアンスプログラム• AWS の報告、認定、およびサードパーティによる証明• コンプライアンスに関するよくある質問と AWS• AWS へのお問い合わせ• 付録 A: CSA Consensus Assessments Initiative Questionnaire v1.1• 付録 B: 米国映画協会（MPAA）コンテンツセキュリティモデルに対する AWS の準拠状況• 付録 C: オーストラリア信号局 (ASD) のクラウドコンピューティングに関するセキュリティ上の考慮事項への

AWS の準拠• 付録 C: 用語集

これらの章に書かれている内容がAWSでどのような統制があるか、どのような運用をしているかの主要な情報源になります。

AWS Compliance詳細情報

• 英語のサイトの情報もご確認ください。http://aws.amazon.com/compliance/?nc2=h_ls

• 各種保証プログラムや重要項目に関するFAQ、公開資料• PCI DSS• ISO27001/27017/27018/9001• CSA• Data Privacy/EU Data Protection• SOC• FedRAMP• HIPAA• GxP• DoD

• Compliance Latest News• ダウンロード可能な認証

• AWS ISM Letter of Compliance• AWS ISO 27001/27017/27018/9001 Certification• Multi-Tier Cloud Security Standard Level-3 (CSP) Certification• AWS SOC 3 Report

31

http://aws.amazon.com/compliance/?nc2=h_ls

AWS Compliance 最新情報

• Consideration for Using AWS Products in GxP Systemsの発行• GxPシステムにおいてAWS製品を使用するための包括的なアプローチについてのホワイトペーパー

• AWS製品の基本的な技術内容とGxPに係る内容• AWSをコマーシャルクラウド製品として使用する場合に、品質システムに関しての考慮事項• AWS製品をコンポーネントとしてGxPシステムを開発、運用、検証を行う際のシステム開発のライフサイク

ルに関しての考慮事項• 規制当局に対してシステム関連の情報を提出する可能性のあるお客様に関する規制関連業務に関しての考慮

事項

• クラウド内のGxPアプリケーションhttps://aws.amazon.com/jp/health/life-sciences/gxp/

• GXP FDA Part 11 EU Annex 11https://aws.amazon.com/jp/compliance/gxp-part-11-annex-11/

https://aws.amazon.com/jp/health/life-sciences/gxp/

https://aws.amazon.com/jp/compliance/gxp-part-11-annex-11/

AWS Compliance 最新情報

• ISO27017• ISO 認定エージェントである EY CertifyPointによるプライベート認証

• クラウドサービスに関係する情報セキュリティコントロールについての実装ガイダンス

• 世界的に認められたベストプラクティスに対するAWSの継続的なコミットメントを示し、AWS においてクラウドサービス特有の非常に精密なコントロールが運用されていることを実証

• 対象サービスなど詳細はFAQのページを参照

https://aws.amazon.com/jp/compliance/iso-27017-faqs/

• ISO27018• ISO 認定エージェントである EY CertifyPointによるプライベート認証• すべてのリージョン、エッジロケーションが対象• クラウド内の個人データ保護に焦点を合わせた最初の世界的な実務規範• この規格に適合することで、特にコンテンツのプライバシー保護を目的とした統制システムが AWS により運用さ

れていることをお客様に実証• 対象サービスなど詳細はFAQのページを参照https://aws.amazon.com/jp/compliance/iso-27018-faqs/



アジェンダ











ロケーション

お客様のアプリケーション・コンテンツ

AWSがクラウドのセキュリティを担当


Security “IN”

the Cloud ネットワークサーバー

セキュリティ




Security “IN”

the Cloud

Security “IN” the Cloud

Security “IN”

the Cloud

AWS account owner

(master)Network

management

Security managem

ent

Server managem

ent

Storage managem

ent

AWS IAM AWS CloudTrail

EncryptionAmazon EC2Security Group

Security “IN” the Cloud

Operational Check List

AuditingSecurity

Check ListAWS

Security Best

Practice

Security At Scale

GovernanceIn AWS

• ネットワーク管理

• 論理アクセスコントロール

• ログ管理

• データ保護

• 脆弱性対策

AWSはお客様固有の要件に適合するソリューションの選択を可能にする柔軟性とお客様による統制が可能な環境を提供いたします

• 変更管理

• リソース監視

• ビジネス継続性

ETC

お客様のアプリケーション・コンテンツ

AWSのセキュリティツール・機能

Security “IN”

the Cloud

AWSとAWSのパートナーは、700以上のセキュリティサービスや、ツール、機能を提供。

既存の環境で実施していたことと同等、もしくはそれ以上のコントロールを実現可能です。


セキュリティ




監視・監督

サーバー（OS）・セキュリティ

インスタンスの開始 EC2

AMIカタログインスタンスの起動お客様の独自インスタンス

ハードニングと構成

監査とログ取得

脆弱性管理

マルウェア、IDS, IPS

Whitelisting and integrity

ユーザー管理

OS

インスタンス構成

OSの選択とハードニング

• インスタンスサイズ、OSの選択もお客様が柔軟に構成可能

• 標準的なOSのハードニングガイドとテクニックを活用

• 最新のセキュリティパッチの適用

ホストベースの防御策の適用を考慮

• ホストベースの防御製品をプリインストール

• 管理ソフトやSEIM等との接続設定の組み込み

管理者権限やユーザー管理

• 必要最小限のアクセス

• パスワードや認証の管理

Amazon Inspector

• 自動化されたホストのセキュリティ診断サービス

• 診断対象のインスタンスにエージェントをインストールした後にInspectorを起動して利用する

• APIで制御できるので、開発プロセスの中に組み込むことで均質なセキュリティ診断を自動的に実行できる

• 内容についてはルールセットにより制御が可能（PCI DSSにも対応）


Private Subnet172.16.0.0/24

Public Subnet172.16.1.0/24

CIDR : 172.16.0.0/16 CIDR : 10.0.0.0/8

Subnet10.0.0.0/24

NACL NACL

SG SG

社内システムIPSec VPN or

専用線

インターネット

CGWVGW

VPCPeering

• お客様専用の仮想ネットワークを構築可能

• サブネットとルーティングによるセグメンテーション

• 組み込まれたFirewall機能の利用。商用製品の利用も可能

• オンプレ環境とのVPN・専用線接続

• 他VPCとPeering接続機能

論理的アクセスコントロールAWS Identity and Access Management (IAM)

AWSサービスとリソースへの厳格なアクセス・コントロールが可能

• アカウントごとのユーザとグループの作成

• AWSマネージメントコンソールのユーザログオンサポート

• セキュリティクレデンシャル– アクセスキー– ログイン/パスワード– 多要素認証デバイス(オプション)

• AWS APIを使ったアクセスコントロールポリシー

• API コールは以下のサインどちらかが必須:– X.509 certificate– シークレットキー

• 幾つかのサービスではより厳格なインテグレーション– S3: オブジェクト及びバケット毎のポリシー設定

AWS account owner (master)

Network management

Security management

Server management

Storage management

豊富な多要素認証デバイス

• ポリシー作成を支援する機能も充実• 事前定義されAWSが管理してくれるAWS管理ポリシー• IAMポリシーの作成ツール• IAMポリシーのシミュレーションツール• IAMポリシーの文法チェック

利用者へのIAM権限付与の例

{"Version": "2012-10-17","Statement": [{

"Effect": "Allow","Action": [

"ec2:StartInstances","ec2:StopInstances","ec2:RebootInstances"

],"Condition": {"StringEquals": {

"ec2:ResourceTag/SystemName": “system-name"}

},"Resource": ["*"]

},{

"Effect": "Allow","Action": ["ec2:Describe*"],"Resource": ["*"]

}]

}

特定のタグがついたEC2の停止/削除権限

API単位でのコントロール

構成変更管理・インベントリ

AWSサービスのリソースに関する情報は管理コンソール上に集約され確認が可能。資産情報

を分類するためのタグ情報も付与可能。そうした情報をAPIにより取得することもできま

す。

構成変更管理・インベントリ

• お互いに密接な関係にあるリソース

– インスタンスやサーバーに適用されたパーミッション

– Amazon EC2インスタンスにアタッチされたAmazon EBSボリューム

– Amazon EC2インスタンスに構成されたネットワークインターフェース

– VPCやそのサブネットに配置されたインスタンス

AWS Configにより、AWSサービスのリソースに関係する変更を時系列で表示し、加えられた変更の追跡と把握を行うことが可能


AWSサービス機能 SSE SSE with KMS

SSE with CloudHSM

CSE

EBS 仮想Disk 〇〇 N/A 〇

S3 オブジェクトストレージ〇〇 N/A 〇

Glacier アーカイビング〇 N/A N/A 〇

RDS RDBMS 〇〇 Oracle 〇

Redshift DWH 〇〇〇〇

ElastiCache インメモリキャッシュ N/A N/A N/A 〇

DynamoDB NoSQL DB N/A N/A N/A 〇

AWSではAWSのサービス側で暗号化を行うServer Side Encryption（SSE）や、クライアント側で行うClient Side Encryption（CSE）の他に、暗号鍵の保管の仕方等、要件に応じた様々な方法を選択することが可能

RDS

上記の表内のAWSサービスは一例です

AWS Key Management Service AWSでは暗号鍵を管理する鍵管理環境を提供

• 暗号鍵の作成、管理、運用サービス

– 暗号鍵の可用性、機密性を確保

– 暗号鍵の有効化・無効化、ローテーションをサポート

– S3, EBS, Redshift等のAWSサービスにおけるデータを暗号化

– SDKとの連携でお客様の独自アプリケーションデータを暗号化

– 低コストで使用可能

• サポートしているサービス（2016/3現在）

Customer MasterKey(s)

Data Key 1

Amazon S3

Object

Amazon EBS

Volume

Amazon Redshift Cluster

Data Key 2 Data Key 3 Data Key 4

CustomApplication

AWS KMS

Category Supported Services

Database Redshift , RDS

Storage and Content Delivery S3 , EBS , Import/Export , Snowball

Application Services Elastic Transcoder , SES

Enterprise Applications WorkMail , WorkSpaces

Management Tools CloudTrail

AWS CloudHSM

• 特徴

– AWSクラウド内のお客様専用ハードウェアセキュリティモジュール（HSM）アプライアンス（SafeNet LunaSA7000）

– 暗号化キーやHSMによって実行される暗号化操作を管理

– 情報セキュリティ国際評価基準（Common Criteria EAL4+）および米国政府規制基準（NIST FIPS 140-2）に準拠

– CloudTrailやsyslogの使用によるコンプライアンス監査

AWS サービスおよびリソースへのアクセスを安全にコントロール

AWS

Virtual Private Cloud

CloudHSM VPCインスタンス

SSL

App

HSM Client

【サポートされているリージョン】・米国東部（バージニア北部）・米国西部（オレゴン）・米国Govクラウド・欧州（アイルランド）・欧州（フランクフルト）・アジアパシフィック（シドニー）・アジアパシフィック（東京）・アジアパシフィック（シンガポール）

CloudTrailでAWSのサービスに対する各種APIログを取得可能

http://aws.amazon.com/jp/cloudtrail/

監視・監督

• APIを呼び出した身元（Who）

• APIを呼び出した時間（When）

• API呼び出し元のSource IP（Where）

• 呼び出されたAPI（What）

• APIの対象となるAWSリソース（What）

• 管理コンソールへのログインの成功・失敗

CloudWatchMetrics

Amazon Linux Ubuntu

Windows Red Hat Linux

CloudWatchLogs

CloudWatchAlarm

SNS

Log Agent Log Agent

Log Agent Log Agent

VPC Flow Log

Kinesis

監視・監督

OSにはLog Agentの導入が

必要です

CloudWatchLogsにログを

ためます

フィルターなどを使いログの監視

閾値を超えた場合はAlarmをあげます

CloudWatch LogsでOS上の各種ログやVPC Flow LogsといったAWSのログも収集・監視

https://aws.amazon.com/jp/cloudwatch/

監視・監督

2013年よりサービス開始

コスト最適化、セキュリティ、可用性、パフォーマンスの４つのカテゴリからAWSの利用状態を評価

170万のベストプラクティス

3億ドルを超えるコスト削減を通知

2014/7/31より、47のチェック項目中、4項目をすべてのユーザに開放

利用者のAWS環境をAWSのベストプラクティスを元に評価するTrusted Advisorを用いて、原因が把握されていない未達のチェック項目がないか確認をしてください。Notificationの設定も行うことができま

す。

https://aws.amazon.com/jp/premiumsupport/trustedadvisor/

アジェンダ







Security “IN”

the Cloud



セキュリティ・コンプライアンス = 共有責任

・お客様、業界固有の要件を柔軟に達成可能・データやインスタンスに対する統制権はお客様が保持・世界中のリージョンにおいて、共通の統制を維持可能

・世界中のリージョンにおいて、共通の統制・お客様のコンプライアンス・スコープの範囲を軽減・セキュリティ・コンプライアンス関連サービスの提供

AWSの責任共有モデル

Security “IN”

the Cloud

AWSの責任共有モデルとAPN



セキュリティ・コンプライアンス = 共有責任

・世界中のリージョンにおいて、共通の統制目標を管理・お客様のコンプライアンス・スコープの範囲を軽減・セキュリティ・コンプライアンス関連サービスの提供

・お客様、業界固有の要件を柔軟に達成可能・データやインスタンスに対する統制権はお客様が保持・世界中のリージョンにおいて、共通の統制を維持可能・多種多様なAPNパートナーソリューションを選択可能

* APN = Amazon Web Services Partner Network

https://aws.amazon.com/marketplace

お客様がEC2の上で動作する必要なソフトウェアやサービスを見つけ出して購入し、素早く使用開始するためのオンラインストアです。

お客様は、すぐにデモを体験可能な、設定済みのアプリケーションを含むプライベートサンドボックス環境を短時間でデプロイできます。

エンタープライズソリューションスタックを使用できるよう、約半日分のAWS 使用料を無料にて、お客様にご提供します。

https://aws.amazon.com/jp/testdrive/

APNパートナーソリューション

AWS Marketplace

https://aws.amazon.com/marketplace

http://aws.typepad.com/aws_partner_sa/2015/06/how_to_use_esp-catalog2015.html

AWSパートナーとのエコシステム

ビジネスアプリケーションアナリティクスセキュリティ

データ連携

ネットワーク／ストレージ開発／運用

“AWS ESPカタログ”で検索

アジェンダ







Security by Design (SbD)

• AWS アカウントの設計の規格化、セキュリティ制御の自動化、および監査の合理化のためのセキュリティ保証アプローチ

• セキュリティを遡及的に監査するのではなく、AWSのIT管理プロセス全体にセキュリティ制御を組み込む

Identity & Access

Management

CloudTrail

CloudWatch

Config Rules

Trusted Advisor

Cloud HSMKey Management

Service

Directory Service

https://aws.amazon.com/jp/compliance/security-by-design/

SbDのアプローチ

1.2 AWSに移すワークロードの識別

2.1 セキュリティ要件の整理 2.2 データ保護と統制の定義 2.3 セキュリティアーキテクチャーの文書化

3.1 セキュリティアーキテクチャーの構築

1. 要件を把握する

2. セキュリティ要件の分析と文書化

1.1 ステークホルダーの確認

3. 環境構築と自動化、監視

3.2 運用の自動化

4. 検証と監査

3.3 継続的な監視

4.1 監査と認証

3.4 テスト

セキュリティ関連の運用自動化

• CloudFormationを用いてセキュリティ要件を満たす設計をテンプレート化

• 必要となるセキュリティの設定や、利用インスタンス、リソースをパッケージ化

• Service Catalogを利用した環境の展開

CloudFormation Service CatalogStack

Template

インスタンス Appsリソース

Stack

Stack

設計パッケージ化

Products Portfolios

展開制限

Identity & Access Management

パーミッション

継続的な監視

AWS Security and Compliance Security OF the Cloud

Security IN the Cloudのためのサービス群

Service Type Use cases

APIログの取得 AWS環境の操作に関するログの取得

リソース・ログ監視AWSサービスのリソース監視と各種ログの収集・モニタリング

変更管理AWSサービスの変更記録とトラッキング

オンデマンドの評価EC2インスタンス内の導入されるOS・アプリケーションのセキュリティ分析

継続的な評価変更による誤設定検知、ベストプラクティスの維持、脆弱性の検知

定期的な評価コスト、パフォーマンス、信頼性、セキュリティの観点からの広範な調査

Inspector

Config Rules

Trusted Advisor

AWSConfig

CloudTrail

CloudWatch

SbDの狙い

• 権限のないユーザーの変更を防止する強制的な機能を作成する。

• 制御を確実に実行できるようにする。

• 継続的でリアルタイムな監査を実現する。

• お客様のガバナンスポリシーを技術的にスクリプト化する。

• 結果としてセキュリティ要件を満たす環境の構築を自動化し維持する。

Automate

Governance

Automate

Deployments

Automate Security

Operations

Continuous

Compliance &

Audit Reporting

まとめ

責任共有モデルに基づき、基盤のセキュリティ・統制はAWSが責任を持って実施

AWS上に構築するシステムの構成・設定に関するセキュリティ・統制はお客様の責任により実施

AWSはお客様を助ける様々なセキュリティ関連機能を提供

更に固有のセキュリティ要件がある場合はAPNパートナーの製品の利用も検討

自動化やAPIによる制御といったAWSの特性をセキュリティやコンプライアンスにも活かすことで効果的な統制環境を構築

Security for the Cloud

Security “IN”

the Cloud

Security “OF”

the Cloud

• AWS URL

– AWS Securityページ

• http://aws.amazon.com/jp/security

– AWS Complianceページ

• http://aws.amazon.com/jp/compliance

セキュリティ・コンプライアンス情報

http://aws.amazon.com/jp/security

http://aws.amazon.com/jp/compliance

Q&A

詳しくは、http://aws.amazon.com/training をご覧ください

メリット

• AWS について実習や実践練習を通じて学習できる

• AWS を熟知したエキスパートから直接 AWS の機能について学び、疑問の答えを得られる

• 自信をもって IT ソリューションに関する決定を下せるようになる

提供方法

e ラーニングや動画

セルフペースラボ

クラスルームトレーニング

AWSトレーニングでは様々な学習方法をご提供しています

http://aws.amazon.com/training

公式Twitter/FacebookAWSの最新情報をお届けします

@awscloud_jp

検索

最新技術情報、イベント情報、お役立ち情報、お得なキャンペーン情報などを日々更新しています！

もしくはhttp://on.fb.me/1vR8yWm

AWSの導入、お問い合わせのご相談

• AWSクラウド導入に関するご質問、お見積り、資料請求をご希望のお客様は、以下のリンクよりお気軽にご相談くださいhttps://aws.amazon.com/jp/contact-us/aws-sales/

※「AWS 問い合わせ」で検索してください

https://aws.amazon.com/jp/contact-us/aws-sales/

ご清聴ありがとうございました！

Technology

AWS初心者向けWebinar AWSにおけるセキュリティとコンプライアンス