AWSにおけるセキュリティの考え方

AWSにおけるセキュリティの考え方

1. 1. AWSにおける セキュリティの考え方 クラスメソッド株式会社 AWSコンサルティング部 森永 大志
2. 2. 自己紹介
3. 3. Morinaga Taishi(@morimoritaitai) AWS Solution Archetect ✦ 趣味 : ゲーム(全般) / 酒 / カメラ ✦ 興味 : DevOps / Security AWS Certified Solutions Architect - Professional Developer -Associate SysOps Administorator - Associate
4. 4. 最近はもっぱら娘の写真ばか り撮ってます
5. 5. すんごい可愛いです。
6. 6. 弊社リモートワーク可なので 育児しながら仕事してます。 有り難い。。。
7. 7. 会社紹介
8. 8. Classmethod,Inc.
9. 9. 世の中のクリエイティブに 貢献する会社
10. 10. 技術を使って事業会社の お手伝いをする会社
11. 11. 技術を使って事業会社の お手伝いをする会社 AWS / Mobile / BigData IoT / Security and more..
12. 12. 技術大好きエンジニアが たくさん集まっています
13. 13. そんなエンジニアが書いている 弊社メインコンテンツ
14. 14. Developers.IO
15. 15. 5400本の技術記事 2300本のAWS記事 月間100万PV
16. 16. AWSにおける セキュリティの考え方
17. 17. いきなりですが質問です
18. 18. Q. オンプレとクラウドの どっちが安全でしょう？
19. 19. A. 適切なセキュリティ対策を 施しているほうがより安全
20. 20. Q. 適切なセキュリティ対策、 何をすればよいでしょう？
21. 21. 情報セキュリティとは 機密性 完全性 可用性 を維持することらしい
22. 22. 認められた人以外は100％情報に アクセスできないような対策？ （機密性）
23. 23. 情報が100％破壊、改ざん、消 去されないような対策？ （完全性）
24. 24. どんなときも100％情報に アクセスできるような対策？ （可用性）
25. 25. セキュリティに100％はない
26. 26. でも出来る限り安全を求めたい
27. 27. それを意識したうえで AWSのセキュリティ
28. 28. http://aws.amazon.com/jp/security/
29. 29. http://aws.amazon.com/jp/security/
30. 30. 「AWS のクラウドセキュリティは まったく手間がかかりません。」
31. 31. ちょっと言い過ぎ
32. 32. ユーザ側がやらないといけない ことがちゃんとあります。
33. 33. 上司 「AWSとの責任分界点どこよ？」
34. 34. 安心して下さい。
35. 35. 定義されてますよ！
36. 36. https://aws.amazon.com/jp/compliance/shared-responsibility-model/
37. 37. 責任共有モデル
38. 38. 責任共有モデル • • • •
39. 39. クラウドのこと →AWSが責任を持つよ クラウドの中でやってること →ユーザが責任を持ってね
40. 40. AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security
41. 41. AWSが責任をもつこと
42. 42. AWSのサービスを実行するための • ハードウェア • ソフトウェア • ネットワーク • データセンタ
43. 43. ユーザが責任をもつこと
44. 44. クラウドの中の • データ • オペレーティングシステム • ネットワーク • アクセス管理 • アプリケーション
45. 45. AWSを使えばセキュリティから 解放される、わけではないです。
46. 46. が、AWSが責任持ってくれて いるだけ手間は減る。
47. 47. AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security
48. 48. AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security スコープ外！
49. 49. http://aws.amazon.com/jp/security/
50. 50. http://aws.amazon.com/jp/security/
51. 51. セキュリティを最も重視する 組織の要件を満たすよう構築
52. 52. セキュリティを最も重視する 組織の要件を満たすよう構築 （恐らく）金融機関
53. 53. PCI DSSPayment Card Industry Data Security Standard
54. 54. クレジットカード業界の セキュリティ基準
55. 55. その実は情報セキュリティの 具体的な実装要求
56. 56. PCI データセキュリティ基準 ‒ 概要 安全なネットワークとシステム の構築と維持 1. カード会員データを保護するために、ファイアウォールをインス トールして維持する 2. システムパスワードおよびその他のセキュリティパラメータにベ ンダ提供のデフォルト値を使用しない カード会員データの保護 3. 保存されるカード会員データを保護する 4. オープンな公共ネットワーク経由でカード会員データを伝送する 場合、暗号化する 脆弱性管理プログラムの維持 5. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフト ウェアを定期的に更新する 6. 安全性の高いシステムとアプリケーションを開発し、保守する 強力なアクセス制御手法の導入 7. カード会員データへのアクセスを、業務上必要な範囲内に制限す る 8. システムコンポーネントへのアクセスを識別・認証する 9. カード会員データへの物理アクセスを制限する ネットワークの定期的な監視 およびテスト 10.ネットワークリソースおよびカード会員データへのすべてのアク セスを追跡および監視する 11.セキュリティシステムおよびプロセスを定期的にテストする 情報セキュリティポリシーの 維持 12.すべての担当者の情報セキュリティに対応するポリシーを維持す る
57. 57. 安全なネットワークとシステム の構築と維持 1. カード会員データを保護するために、ファイ アウォールをインストールして維持する 2. システムパスワードおよびその他のセキュリ ティパラメータにベンダ提供のデフォルト値 を使用しない
58. 58. カード会員データの保護 3. 保存されるカード会員データを保護する 4. オープンな公共ネットワーク経由でカード会 員データを伝送する場合、暗号化する
59. 59. 脆弱性管理プログラムの維持 5. マルウェアにしてすべてのシステムを保護し、 ウィルス対策ソフトウェアを定期的に更新する 6. 安全性の高いシステムとアプリケーションを開 発し、保守する
60. 60. 強力なアクセス制御手法の導入 7. カード会員データへのアクセスを、業務上必 要な範囲内に制限する 8. システムコンポーネントへのアクセスを識 別・認証する 9. カード会員データへの物理アクセスを制限す る
61. 61. ネットワークの定期的な監視 およびテスト 10.ネットワークリソースおよびカード会員デー タへのすべてのアクセスを追跡および監視する 11.セキュリティシステムおよびプロセスを定期 的にテストする
62. 62. 情報セキュリティポリシーの 維持 12.すべての担当者の情報セキュリティに対応す るポリシーを維持する
63. 63. クレジットカードに限らず 個人情報を扱う場合 準拠しておきたい基準
64. 64. PCI DSS関連参考URL • Official PCI Security Standards Council Site • PCI DSS v3.0 要件 • PCI DSS v3.0から 3.1 への変更点のまとめ • PCI DSS v3.1 を取得する方法 | ロードバラン スすだちくん
65. 65. その他AWSが準拠している コンプライアンス規格
66. 66. • SOC 1/SSAE 16/ISAE 3402 (formerly SAS 70) • SOC 2 • SOC 3 • FISMA, DIACAP, and FedRAMP • DOD CSM Levels 1-5 • ISO 9001 / ISO 27001 • ITAR • FIPS 140-2 • MTCS Level 3 • Criminal Justice Information Services (CJIS) • Cloud Security Alliance (CSA) • Family Educational Rights and Privacy Act (FERPA) • Health Insurance Portability and Accountability Act (HIPAA) • Motion Picture Association of America (MPAA)
67. 67. （補足） 準拠しているかはAWSの サービスによって違います https://aws.amazon.com/compliance/
68. 68. AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security
69. 69. AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security AWSの部分は準拠済み
70. 70. AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security Network Security Customer Applications & Content Inventory & Config Access Control Data Security
71. 71. AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security Network Security Customer Applications & Content Inventory & Config Access Control Data Security ユーザはAWSがカバーしていない 部分を準拠させれば良い
72. 72. 曖昧な部分もある
73. 73. AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security このへん
74. 74. • 継承統制 • ハイブリッド統制 • 共有統制 • ユーザ固有の統制
75. 75. 継承統制 • AWSから完全に継承される • AWSが準拠していればユーザも準拠したもの とみなされる • 例えば、物理的や環境面など
76. 76. ハイブリッド統制 • AWSが部分的な実装を提供 • AWSが一部に責任を持ち、残りはユーザが責 任を持つ必要がある • 例えば、アクセスコントロールなど
77. 77. 共有統制 • AWSが特定のレイヤの実装を提供 • あるレイヤはAWSが、あるレイヤはユーザが 責任を持つ • 例えば、パッチの適用、構成管理など
78. 78. 「AWSと当社の責任分界点は どこですか？」
79. 79. AWSはこれを明確にしていま すので、安心して自分の責任 範囲に集中しましょう。
80. 80. まとめ
81. 81. クラウドを使ったら 安全！
82. 82. クラウドを使ったら 危険！
83. 83. 適切なセキュリティ対策 とってなかったら危険です
84. 84. AWSのセキュリティは ⃝⃝⃝⃝モデル
85. 85. AWSのセキュリティは 責任共有モデル
86. 86. 自分の責任範囲に 注力しましょう！
87. 87. おしまし
88. 88. Developers.IO 2016 • 開催日時：2016年2月20日(土) • 開催場所：SAPジャパン(麹町) 88 Developers.IO 2016 http://devio2016.classmethod.jp/ 2016.2.20@ SAP Japan