Upload
appliedelectronics
View
239
Download
1
Embed Size (px)
Citation preview
Copyright © NIFTY Corporation All Rights Reserved.
クラウド・セキュリティで
注意すべき5つのこと@『クラウド時代のワークスタイル変革に伴うリスク対策』
ニフティ株式会社
RyosukeYamaguchi
「第9回クラウドランキング 」(日経コンピュータ 2014年 10月 16日号)クラウド基盤サービス( IaaS/PaaS )部門 ベストサービスに選出
Copyright © NIFTY Corporation All Rights Reserved. Confidential 1
本日のアジェンダ
◯ 私について◯ ニフティ社について◯ ニフティクラウドについて◯ クラウドのセキュリティで注意すべき5つのこと
Copyright © NIFTY Corporation All Rights Reserved. Confidential 2
私について
どんな人?ニフティクラウド立ち上げメンバーエバンジェリスト(企画/設計/開発者とか )
最近やっていることエバンジェリスト活動、講演活動コミュニティ推進活動、ビジネス/システム企画
やりたいこと世の中のエンジニアを幸せに
acebook 山口 亮介Twitter @Meryo2000
Copyright © NIFTY Corporation All Rights Reserved. Confidential
ニフティ社概要
: ニフティ株式会社
: 1986年2月4日
: 東京都新宿区
: 三竹 兼司
: 37億円(2012年3月31日現在)
: 794億円(2013年3月期)
: 1.ISP事業 2.Webサービス事業 3.クラウド事業
社名
創立年月日
所在地
代表取締役社長
資本金
売上高(連結)
主要な事業内容
Copyright © NIFTY Corporation All Rights Reserved. Confidential 5
パソコン通信事業
ISP事業
Webサービス事業
クラウド事業
1980年代〜 1990年代〜 2000年代〜 2010年〜
パソコン通信「NIFTY-Serve」開始
インターネット接続サービス開始
会員様向けWebサービスの充実 「NIFTY Cloud」開始
ニフティ社について
パソ通→ ISP、WEB、クラウド、MvNO
2015年〜
MvNO事業
「NifMO」開始
Copyright © NIFTY Corporation All Rights Reserved. Confidential 7
ニフティクラウド( IaaS )
・オンデマンド(5分でサーバー作成)
・従量課金(1時間7円〜)
・伸縮性(サーバー追加/削除/タイプ変更)
・コントロールパネル
・APIによるプログラム連携
インフラ環境をオンデマンドに
提供するパブリック型クラウドサービス
Copyright © NIFTY Corporation All Rights Reserved. Confidential 8
0
5,000
10,000
15,000
20,000
25,000
30,000
2010 2011 2012 2013 2014
NIFTY Cloud(IaaS)
ニフティクラウドの実績
50億円以上/年
Copyright © NIFTY Corporation All Rights Reserved. Confidential 9
ベストサービスに選出
「第9回クラウドランキング 」選出(日経コンピュータ 2014年 10月 16日号)クラウド基盤サービス( IaaS/PaaS )部門ベストサービス
Copyright © NIFTY Corporation All Rights Reserved. Confidential 10
ソフトウェア
プラットフォーム
インフラ
SaaSPaaS
IaaS
ニフティの事業領域
ニフティが提供するクラウド
Copyright © NIFTY Corporation All Rights Reserved. Confidential 11
ソフトウェア
プラットフォーム
インフラ
SaaSPaaS
IaaS
ニフティの事業領域
ニフティが提供するクラウド
Copyright © NIFTY Corporation All Rights Reserved. Confidential 14
エンジニアリングパーツ
ニフティクラウドIaaS(Server|Storage|Network)
C.D. Storage
メッセージキュー
DNSサービス
データベース
メール送信
自動化機能
サービスやアプリケーションとの間でメッセージをやりとりするためのキューサービスを提供します。
耐障害性、バックアップなどの自動運用を備えた RDBサーバーを提供します。
高速で確実な配信を行うメール配信サービスを提供します。
ドメイン取得と、フェイルオーバー、重みづけラウンドロビンなどを備えたドメイン管理システムを提供します。
Chefを利用したクラウドリソースの自動構築、自動運用サービスを提供します。
アクセス負荷に強い、コンテンツ配信等の用途に優れたストレージサービスを提供します。
構築・運用 統合管理ツール
コントロールパネル
機能開発・信頼性向上もベンダーオフロード
新機能、サービスの継続的追加
Copyright © NIFTY Corporation All Rights Reserved. Confidential 15
いまさらのクラウドの利点(抜粋)
拡張性と柔軟性(Scalability&Flexibility)……
最大性能を見越しての構築は不要
いつでもやめられる
コストの削減(Reduce Cost)……
コストを下げること「も」可能
物理層の手配に高額初期費用は不要
運用負荷の軽減(Minimal Administration)……
「システム運用」は、基本的にクラウドベンダの仕事
etc…
Copyright © NIFTY Corporation All Rights Reserved. Confidential 16
+クラウドセキュリティ(ダイジェスト)
◯ クラウドのセキュリティで注意すべき5つのこと
クラウドを取り巻く法制度クラウドの継続性(ロックイン)外部からの攻撃/防御クラウド事業者の運用ベンダーとの責任分解点
※ クラウドを利用する方の視点のセキュリティとさせて頂いています。※ 全ての問題を網羅しているわけではございません。
Copyright © NIFTY Corporation All Rights Reserved. Confidential 19
法律(ダイジェスト)
場所に関する法的リスク
準拠法 (どこの法律に従うか)
管轄 (どこの裁判所で係争するか)
開示命令(開示命令に従うことと、顧客と締結した秘密保持)
適用される法律
個人/法人 (個人向けサービス提供の場合)
米国パトリオット法 (機器データの差し押さえ...)
EUデータ保護指令 (EU域外への個人情報転送禁止)
※セーフハーバースキームなども
国内法規等
外為法による制約 (持ち出し?持ち出しOK?/NG?)
社内コンプライアンス (社内ルールに意図せず抵触)
Copyright © NIFTY Corporation All Rights Reserved. Confidential 23
継続性(ダイジェスト)
クラウド事業の継続性
クラウドサービス事業者の倒産
サービスの終了
機能が継続されるか?
利用形態の変更
機能終了の通告タイミング
継続されなかった場合の検討
作り変えが可能か
移行先があるか
移行コストの検討をしているか
Copyright © NIFTY Corporation All Rights Reserved. Confidential 25
攻撃箇所
仮想化基盤
VM VM VM
データセンター
アプリ
仮想マシン
基盤
ファシリティ
経路デバイス コントロールパネル
Copyright © NIFTY Corporation All Rights Reserved. Confidential 26
攻撃箇所
仮想化基盤
VM VM VM
データセンター
攻撃箇所 防御方法
デバイス MDM(盗難対策、遠隔操作)、Anti Virus、暗号化
経路 インターネットVPN、専用線、リモート接続サービス
アプリセキュリティ診断
WAF
仮想マシン ファイアウォール、AntiVirus、暗号化
コントロールパネル
???
仮想化基盤 ファイアウォール、暗号化、安全な人の運用
ファシリティ強固なセンターでの運用管理(電源冗長化、非常用設備、侵入対策、雷、洪水等自然災害対策など)
Copyright © NIFTY Corporation All Rights Reserved. Confidential 28
お客様ークラウドの経路
仮想化基盤
VM VM VM
データセンター
アプリ
仮想マシン
経路デバイス
Copyright © NIFTY Corporation All Rights Reserved. Confidential 29
クラウド接続(シンプルVPN)
クラウドとお客様ネットワークを接続、同一ネットワークとして通信可能
経路を守る:お客様ークラウド
ニフティクラウド
専用機器(サービスアダプタ)
設置拠点
同一 ネットワーク
設置拠点とクラウドを同一ネットワークの
ように接続
Copyright © NIFTY Corporation All Rights Reserved. Confidential 30
お客様ークラウドの経路
仮想化基盤
VM VM VM
データセンター
アプリ
仮想マシン
経路デバイス
Copyright © NIFTY Corporation All Rights Reserved. Confidential 31
経路を守る:利用者-お客様環境
リモート接続サービス(シンプルVPN)
パソコン/スマートフォン/タブレット等から、お客様ネットワークに対してリモート接続が可能
専用機器(サービスアダプタ)
設置拠点 外出先
ご参考)必要なリモート接続設定(画面はiOS)
VPNクライアント(Windows/MacOS/iOS/Android等)
アカウント設定したVPNクライアントから
拠点へ接続
Copyright © NIFTY Corporation All Rights Reserved. Confidential 33
コンパネのセキュリティの必要性
コンパネにログオンすると。。。
●サーバーの作成が可能
●サーバーの停止が可能
●サーバー、データの削除が可能
●データの複製が可能
実に高機能になりました!!
Copyright © NIFTY Corporation All Rights Reserved. Confidential 34
コンパネのセキュリティの必要性
コンパネにログオンされると。。。
●サーバーの作成が可能 無断課金
●サーバーの停止が可能 サービス停止
●サーバー、データの削除が可能
データロスト
●データの複製が可能 データ流出
Copyright © NIFTY Corporation All Rights Reserved. Confidential 35
コントロールパネルのセキュリティ
最大4重の多層でコンパネを防御
1層目(IDパスワード)IDとパスワードの認証
2層目(2要素認証①)スマホと連動したワンタイムパスワード
3層目(2要素認証②)コンパネパターン認証
4層目(アクセス元制限)IPアドレスでの接続元制限
ID/PASS
ワンタイムパス
パターン認証
アドレス制限
Copyright © NIFTY Corporation All Rights Reserved. Confidential 37
ワンタイムパスワード①
パスコード認証はありますか?
60秒毎に変更される数値で認証
Copyright © NIFTY Corporation All Rights Reserved. Confidential 39
IPアドレスアクセス制限
xxx.yyy.zzz.001
yyy.yyy.zzz.002
アクセス出来ないようにできますか?
Copyright © NIFTY Corporation All Rights Reserved. Confidential 40
攻撃箇所
仮想化基盤
VM VM VM
データセンター
攻撃箇所 防御方法
デバイス MDM(盗難対策、遠隔操作)、Anti Virus、暗号化
経路 インターネットVPN、専用線、リモート接続サービス
アプリセキュリティ診断
WAF
仮想マシン ファイアウォール、AntiVirus、暗号化
コントロールパネル
ID/PASS、2要素認証、アクセス元制限
仮想化基盤 ファイアウォール、暗号化、安全な人の運用
ファシリティ強固なセンターでの運用管理(電源冗長化、非常用設備、侵入対策、雷、洪水等自然災害対策など)
Copyright © NIFTY Corporation All Rights Reserved. Confidential 43
内部運用の公開
論理的/物理的に分離
ユーザー通信のネットワークと
管理系システムのネットワークを
論理的/物理的に分割
管理システムの監視
IDSで24時間監視 → JPCERT/CC等と連携
運用者の制限
事前に決められたメンバーのみ
決められたネットワーク経由からのみ接続可能
Copyright © NIFTY Corporation All Rights Reserved. Confidential 44
認証:ニフティクラウドのセキュリティ
•外部調査により大手企業からの要求レベルには十分•一部は金融機関レベルに到達
大分類 CCMコントロール概要
コンプライアンス• 監査(内部/外部)対応• 国内、国外法令、規制対応
データの
ガバナンス• データ分類、保護、廃棄管理対応
設備の
セキュリティ• 施設、物理環境に対するセキュリティ対応
情報セキュリティ • 情報セキュリティマネジメント要求全般対応
契約管理 • サービス提供に係る秘密保持、第三者契約対応
運用管理• システム設計書、手順書等への管理対応• リソース管理と保護策への対応
リスク管理 • リスクマネジメント活動対応
リリース管理 • 新規開発、システム環境変更管理対応
耐障害性 • 事業継続性(災害対策)対応
セキュリティ
アーキテクチャー
• ユーザ識別、認証、モニタリング対応• NWセキュリティ、侵入検知、監査ログ等
人的セキュリティ • 従業員、契約社員の雇用・契約への管理対応
1
2
3
5
6
7
8
9
10
11
4
目標レベル
セキュリティ対応策レベル
中小企業 一般企業 大手企業金融企業(FISC)
「安全対策基準」等の要求項目
※2013.08 EMC社コンサルタント調べ
Copyright © NIFTY Corporation All Rights Reserved. Confidential 45
第3者認証/ベンダー認証も
米国保証業務基準に準拠した「SOC 2 保証報告書」を受領
公的認証 等 内容
SOC2米国公認会計士協会の基準を利用して提供される内部統制の仕組み
ISMS(取得済)情報セキュリティマネジメントシステムの適合性認証制度
PCI DSS(取得済)クレジットカード協会の定めるデータセキュリティ基準
SAP SE SAP R3 認定基盤
▼取得公的認証制度と適用法
Copyright © NIFTY Corporation All Rights Reserved. Confidential 48
責任分界点について
仮想化基盤
仮想マシン
OS
アプリ
経路
デバイス
ファシリティ
お客様
Copyright © NIFTY Corporation All Rights Reserved. Confidential 49
システム全体
仮想化基盤
VM VM VM
データセンター
アプリ
仮想マシン
基盤
ファシリティ
経路デバイス コントロールパネル
Copyright © NIFTY Corporation All Rights Reserved. Confidential 50
ニフティの対処範囲
仮想化基盤
VM VM VM
データセンター
基盤
ファシリティ
コントロールパネル
経路
Copyright © NIFTY Corporation All Rights Reserved. Confidential 51
お客様の対処範囲
仮想化基盤
VM VM VM
データセンター
アプリ
仮想マシン
経路デバイス
Copyright © NIFTY Corporation All Rights Reserved. Confidential 52
責任分界点について
仮想化基盤
仮想マシン
OS
アプリ
経路
デバイス
ファシリティ
お客様
Copyright © NIFTY Corporation All Rights Reserved. Confidential 54
出来ない部分をどうするか?
仮想化基盤
VM VM VM
データセンター
アプリ
仮想マシン
経路デバイス
では、この辺りは?
Copyright © NIFTY Corporation All Rights Reserved. Confidential 55
お客様の対処範囲
仮想化基盤
VM VM VM
データセンター
アプリ
仮想マシン
経路デバイス
では、この辺りは?
多くのパブリッククラウド事業者では
対応出来ていません
Copyright © NIFTY Corporation All Rights Reserved. Confidential 56
デバイスのセキュリティ
●ニフティはパートナーモデル他社さんの製品、ソリューションをご紹介/販売して対応が可能