JAWS-UG 初心者支部_20151127

JAWS-UG 初心者支部_20151127

1. 1. 安心してください、やってますよ。 〜○○○も認めるセキュリティへの取り組み〜 株式会社D2C ドコモ事業本部　技術開発部 金澤幸治 2015年11月27日(金)
2. 2. 2 D2C？
3. 3. 3 株式会社D2C × ・デジタルマーケティング事業 ・ドコモ事業 ・海外事業
4. 4. 4 誰？
5. 5. 5 自己紹介 名前　：　金澤　幸治（かなざわ　こうじ） 所属　：　株式会社D2C　ドコモ事業本部 技術開発部 仕事　：広告配信システムの開発・運用を担当している部署のマネージャー 　　　　　（10月まで、全社の情報セキュリティ・システム監査もみてました） 　　　　　　PMP(米国PMI)、認定スクラムマスター、認定スクラムプロダクトオーナー 好きなAWSのサービス：Amazon Machine Learning 趣味：読書、ダイエット 　 個人情報：恐妻家　 　　　　　　　　 kozykana 　 ⇒この10年で10キロの増減を4,5回繰り返す・・・ 　⇒　でも、自分の奥さんを「鬼嫁」と言われると怒る
6. 6. 6 今日のお話し ①はじめに ②AWS導入までの話 ③セキュリティに対する取り組み ④おまけ＆まとめ
7. 7. 7 ①はじめに
8. 8. 8 ①はじめに いきなりですが
9. 9. 9 ①はじめに 親会社の言うことは、絶対〜！！(笑)
10. 10. 10 ①はじめに ○T○ド○モ
11. 11. 11 ①はじめに D2Cのシステムは ド○モの基準に準拠しています
12. 12. 12 ①はじめに 高品質！品質 　⇒ SLA 　⇒ 納期 　⇒ セキュリティ　⇒　通信会社と同等のセキュリティ！！ 落としちゃダメ！ 厳守！
13. 13. 13 ①はじめに 要求が高い。。。
14. 14. 14 ①はじめに やっている方は面倒くさいが、 なかなか出来ない経験を得られる。 大変だ
15. 15. 15 ②AWS導入までの話
16. 16. 16 ②AWS導入までの話 ちょっと、懐かしい話をします。
17. 17. 17 ②AWS導入までの話 あれは今からまだ7〜8年以上前・・・・・・
18. 18. 18 ②AWS導入までの話 「オンプレ」や「クラウド」 なんて言葉もない時代
19. 19. 19 ②AWS導入までの話 携帯電話と言えば、 まだ「ガラケー」
20. 20. 20 ②AWS導入までの話 余談：フューチャーフォン 　　　　フィーチャーフォン
21. 21. 21 ②AWS導入までの話 インターネット ケータイインターネット ≒
22. 22. 22 ②AWS導入までの話 キャリア網 通信キャリア キャリアGateWay 携帯端末 コンテンツ 提供企業 専用 ネットワーク インターネット
23. 23. 23 ②AWS導入までの話 ・通信はキャリア網で安全 ・JavaScriptは使えない ・トラフィックも予測可能（かつ少ない）
24. 24. 24 ②AWS導入までの話 かなり古いOS／ ミドルウェアを使っていても ⇒なんとかなんじゃね？
25. 25. 25 ②AWS導入までの話 不自由だけど安全
26. 26. 26 ②AWS導入までの話 そんな時代でした
27. 27. 27 ②AWS導入までの話 時は流れ・・・・・・
28. 28. 28 ②AWS導入までの話 携帯電話と言えば「スマホ」
29. 29. 29 ②AWS導入までの話 ・通信はインターネット回線 ・PCと同じScriptが使えてしまう ・トラフィックが予測不可能
30. 30. 30 ②AWS導入までの話 自由だけどセキュリティに注意を 払わなければならない
31. 31. 31 ②AWS導入までの話 クラウドの登場！
32. 32. 32 ②AWS導入までの話 でも、
33. 33. 33 ②AWS導入までの話 クラウドサービスなんてもってのほか 親会社も同じ方針
34. 34. 34 ②AWS導入までの話 「情報資産はデータセンターに格納した サーバ上で管理しなければならない。」
35. 35. 35 ②AWS導入までの話 クラウドって、大丈夫なの？
36. 36. 36 ②AWS導入までの話 なんか、クラウドは使ってはいけない 「暗黙の了解」縛り
37. 37. 37 ②AWS導入までの話 ・「パトリオット法」問題 ・性能が良くない ・セキュリティに問題がある なんて都市伝説を 自分に都合のいいように解釈して 自分を慰めてました。。。
38. 38. 38 ②AWS導入までの話 転機は、忘れもしない2013年
39. 39. 39 ②AWS導入までの話 2013 re:Invent
40. 40. 40 ②AWS導入までの話
41. 41. 41 ②AWS導入までの話 使えるなら
42. 42. 42 ②AWS導入までの話 まずは使ってみる
43. 43. 43 ②AWS導入までの話 最初は遠隔地バックアップ のリプレイスで利用
44. 44. 44 ②AWS導入までの話 AWS cloud corporate data center virtual private cloud
45. 45. 45 ②AWS導入までの話 これで大きな効果を得る （コスト３０分の１に減）
46. 46. 46 ②AWS導入までの話 AWS導入の際に背中を押してくれたポイント ・第３者認証を数多く取得している／ 　FBIも使っている ・導入事例が豊富 ・セキュリティ要件を満たせる
47. 47. 47 ②AWS導入までの話
48. 48. 48 ②AWS導入までの話 自社で賄おうとしても無理！！
49. 49. 49 ②AWS導入までの話 AWS導入の際に背中を押してくれたポイント ・第３者認証を数多く取得している／ 　FBIも使っている ・導入事例が豊富 ・セキュリティ要件を満たせる ・親会社（ド○モ）が使っている
50. 50. 50 2015年10月にリリースした 広告配信システムでAWSを全面採用！ ②AWS導入までの話
51. 51. 51 ③セキュリティに対する取り組み
52. 52. 52 ③セキュリティに対する取り組み サービスリリース前は セキュリティチェック必須
53. 53. 53 ③セキュリティに対する取り組み チェック項目は、250以上！
54. 54. 54 ③セキュリティに対する取り組み 一例を ・権限管理、アカウント管理、PC管理ポリシー 【クラウド利用の際は】 ・第３者認証を取得していること ・撤退時の条件が確認できているのか？ ・（クラウドサービスは）安全な場所のデータセンター を使っているのか？
55. 55. 55 ③セキュリティに対する取り組み チェックリスト以外にも、 ネットワーク＆アプリケーションの 脆弱性診断試験
56. 56. 56 ③セキュリティに対する取り組み 脆弱性診断試験時はAWSに伝えてください
57. 57. 57 プライバシーマークとISMS(ISO27001)も 取得しているので、 それらに準拠した独自のガイドライン ③セキュリティに対する取り組み
58. 58. 58 ③セキュリティに対する取り組み ・アクセス制御ルール ・ログの保存期間 ・業務委託先のチェック ・情報資産管理と漏洩時のリスク をチェック
59. 59. 59 ③セキュリティに対する取り組み 目的はなんだっけ？
60. 60. 60 ③セキュリティに対する取り組み AWSにおけるセキュリティの取り組み
61. 61. 61 「AWS」「セキュリティ」 といえば、共有責任モデル ③セキュリティに対する取り組み
62. 62. 62 ・仮想インフラ ・ネットワークインフラ ・物理インフラ ・物理セキュリティ ・ファシリティ ・アカウント管理 ・セキュリティグループ ・アプリケーション ・ネットワーク設定 ・OS 共有責任モデル ユーザー AWS ③セキュリティに対する取り組み
63. 63. 63 ③セキュリティに対する取り組み OS以上は自分たちで守る
64. 64. 64 ③セキュリティに対する取り組み ・AWSのアカウント管理を行う機能 ・必要なユーザーに必要な権限を与え、 必要なアクセスのみを許可できる ・権限の設定は適切か、見直しがなされているのか？ 定期的な確認が必要 ・ルートアカウントと呼ばれるAWSアカウントではなく、 IAMを利用 IAM(Identity and Access Management)
65. 65. 65 ③セキュリティに対する取り組み ・AWSのAPIコールのログを管理することが出来る ・どのアカウントがいつ何を行ったかが、記録可能 　⇒問題発生時の原因追跡、再発予防につなげる ・IAMやS3バケットのポリシーを利用して 　ログファイルのアクセス制御も可能 ・ログは半永続的に保存 Cloudtrail
66. 66. 66 ③セキュリティに対する取り組み VPC(Virtual Private Cloud)/DirectConnect ・グローバルIPを持たずインターネットと通信をしない 　セキュアな環境を作ることが可能 ・専用線（Direct Connect）接続を利用することで、 　既存の物理的なデータセンターと同等の 　セキュリティ環境を整えることが可能 ・使ってみるとセキュリティよりも、回線速度が◎
67. 67. 67 ③セキュリティに対する取り組み セキュリティグループ 　・仮想ファイアーウォール 　　⇒不要なPortやアクセスを閉じる MFA(Multi-Factor Authentication) 　・多要素認証 暗号化 　・通信、データ その他
68. 68. 68 ③セキュリティに対する取り組み セキュリティは運用も大事
69. 69. 69 ③セキュリティに対する取り組み ・緊急の脆弱性対応 ・年次の点検 も実施
70. 70. 70 ③セキュリティに対する取り組み 「完全に防ぐ」という観点も必要だが、 「被害を最小限にする」観点も必要
71. 71. 71 おまけ
72. 72. 72 おまけ re:Inventに行けなかった人間が、re:Inventで 発表されたセキュリティ関連サービスを試してみた件 少し
73. 73. 73 ④おまけ re:Invent2015セキュリティ関連 1.AWS WAF
74. 74. 74 ④おまけ re:Invent2015セキュリティ関連 ・WAFとは？ 　⇒Web Application Firewallの略、 　　　Webアプリケーションへの攻撃を防ぐための機能 ・CloudFrontと連動 ・XSS/SQLインジェクション対策、特定UserAgent・ 　IPアドレスからの攻撃を防御 ・あくまでWAFこれだけでは不十分 mobile client CloudFront Web App Firewall EC2
75. 75. 75 ２．Amazon Inspector ④おまけ re:Invent2015セキュリティ関連
76. 76. 76 ④おまけ re:Invent2015セキュリティ関連 ・Amazon Inspectorとは 　⇒自動セキュリティ診断サービス ・一般的な脆弱性、OSやアプリケーションにおける 　ベストプラクティスも用意 ・Agentのインストール必要 ・脆弱診断試験時のAWSへの事前連絡必要なし ・要望：AWSによるレポート
77. 77. 77 ３．AWS Config Rules ④おまけ re:Invent2015セキュリティ関連
78. 78. 78 ④おまけ re:Invent2015セキュリティ関連 ・AWS Config Rulesとは 　⇒AWS configの拡張機能、今までのAWSリソース 　　設定値の記録・確認だけではなく、 　　ルールに基づく検査が可能に ・監査、コンプライアンスルールに則った運用が可能に ・AWSで決められたマネージドルールの他にLambdaを 　使ったカスタムルールも設定可能 ・設定ミスも防げる(IAMにも対応予定)
79. 79. 79 ④おまけ re:Invent2015セキュリティ関連 色々なサービスが出てくるので、 どれが自分たちに合うのか検証・検討が必要
80. 80. 80 ④おまけ re:Invent2015セキュリティ関連 セキュリティ対策は重要だが、 それ自体が売上に直結するわけではない
81. 81. 81 ④おまけ re:Invent2015セキュリティ関連 でも
82. 82. 82 ④おまけ re:Invent2015セキュリティ関連 やっぱ、re:Invent行きたかったな〜
83. 83. 83 まとめ
84. 84. 84 ④まとめ ・AWS導入の際に一番の後ろ盾は「○○○も使っている」 ・AWS上で適切な対策をすれば○○○向けの 　セキュリティ要件も満たすことができる ・セキュリティ対策は、 　目的を持って、やりっ放しにしない、どこまでやるか見極める ・re:Invent2015でリリースされた、セキュリティ関連サービスは 　WAF、Inspector、Config Rules ・来年こそはre:Invent行きた〜い！
85. 85. 85 ありがとうございました！