AWS セキュリティとコンプライアンス

1. 2016 / 03 / 15 アマゾンウェブサービスジャパン株式会社プロフェッショナルサービス本部高田智己【 AWS 初心者向け Webinar 】 AWSにおけるセキュリティとコンプライアンス

2. ご質問を受け付け致します！質問を投げることができます！ • Adobe Connect のチャット機能を使って、質問を書き込んでください。（書き込んだ質問は、主催者にしか見えません） • 最後の Q&A の時間で可能な限り回答させていただきます。 ①画面右下のチャットボックスに質問を書き込んでください ②吹き出しマークで送信してください

3. AWS 初心者向け Webinar のご紹介 • AWS についてこれから学ぶ方むけのソリューションカットの Webinar です • 過去の Webinar 資料 – AWS クラウドサービス活用資料集ページにて公開 http://aws.amazon.com/jp/aws-jp-introduction/ • イベントの告知 – 国内のイベント・セミナースケジュールページにて告知 http://aws.amazon.com/jp/about-aws/events/ （オンラインセミナー枠）

4. アジェンダ • イントロダクション • AWSのセキュリティと責任共有モデル • Security OF the Cloud • Security IN the Cloud • AWSセキュリティとAPN • 最新のトレンド・まとめ

6. イントロダクション • 今回のAWS初心者向けWebinarでは、AWSのセキュリティとコンプライアンスについて、責任共有モデルの考えに基づき、最新の情報を交えながらご紹介します。 • この分野においてAWSが提供する情報源や使い方もご紹介しますので参考にして頂ければと思います。

8. Amazon Web Services (AWS) アマゾンの 3 つのビジネス一般消費者様向けサービスセラー様向けサービス企業様向けサービス Eコマース（Amazon.co.jp）マーケットプレイス物流サービス提供（Amazon Services）クラウドコンピューティング（Amazon Web Services）イノベーションのペース 24 48 61 82 159 280 516 722 2008 2009 2010 2011 2012 2013 2014 2015  新規サービスのリリース  施設の拡充  お客様からのフィードバックを基にした改善世界に広がる AWS のインフラカリフォルニアダブリンシンガポール東京オレゴンバージニアサンパウロリージョンエッジローケーション GovCloud シドニーフランクフルト過去9年間で51回の値下げ（2016年3月現在）規模の拡大とイノベーションソウル北京

9. AWSのセキュリティ方針 • セキュリティはAWSにおいて最優先されるべき事項 • セキュリティへの大規模な投資 • セキュリティに対する継続的な投資 • セキュリティ専門部隊の設置

10. AWS 基本サービスコンピュートストレージデータベースネットワーク AWS グローバルインフラストラクチャリージョンアベイラビリティゾーンエッジロケーションネットワークサーバーセキュリティインベントリ・構成管理お客様のアプリケーション・コンテンツお客様自身でクラウドをコントロール可能 AWSがクラウドのセキュリティを担当データセキュリティアクセスコントロール AWS 責任共有モデル

11. AWS 基本サービスコンピュートストレージデータベースネットワーク AWS グローバルインフラストラクチャリージョンアベイラビリティゾーンエッジロケーションネットワークサーバーセキュリティインベントリ・構成管理お客様のアプリケーション・コンテンツお客様自身でクラウドをコントロール可能お客様はこの部分の統制に関してAWS にオフロードすることが可能。データセキュリティアクセスコントロール AWS 責任共有モデル

12. AWS 責任共有モデル AWS責任共有モデル https://aws.amazon.com/jp/compliance/shared-responsibility-model/ AWSセキュリティベストプラクティス https://d0.awsstatic.com/International/ja_JP/Whitepapers/AWS_Security_Best_Practices.pdf AWSの責任共有モデルについては、AWSコンプライアンスのWebサイトや「AWS セキュリティベストプラクティス」ホワイトペーパーでも解説しています。

14. AWS 基本サービスコンピュートストレージデータベースネットワーク AWS グローバルインフラストラクチャリージョンアベイラビリティゾーンエッジロケーションネットワークセキュリティサーバー (OS) セキュリティお客様のアプリケーション・コンテンツお客様自身でクラウドをコントロール可能お客様データセキュリティアクセスコントロール AWS 責任共有モデル Security “OF” the Cloud

15. Security “OF” the Cloud Security “OF” the Cloud

16. Security “OF” the Cloud Security “OF” the Cloud 業界における認定と独立したサードパーティによる証明を取得します AWS のセキュリティと統制に関する情報をホワイトペーパーおよびウェブサイトコンテンツで公表します NDA に従いAWS のお客様に証明書、レポートなどの文書を直接提供します AWSは、お客様が使用するAWS サービスに関連した統制、およびそれらの統制がどのように検証されているかをお客様にご理解頂くことを支援致します。

17. リージョン US-WEST (N. California) EU-WEST (Ireland) ASIA PAC (Tokyo) ASIA PAC (Singapore) US-WEST (Oregon) SOUTH AMERICA (Sao Paulo) US-EAST (Virginia) GOV CLOUD ASIA PAC (Sydney) シンガポールシドニー東京アイルランドサンパウロ北カリフォルニアオレゴンバージニア Gov Cloud フランクフルト EU-CENTRAL (Frankfurt) 北京 Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください ASIA PAC (Seoul) ソウル Beijing AWS グローバルインフラストラクチャー

18. アベイラビリティゾーンアベイラビリティ・ゾーンによる可用性 US-WEST (N. California) EU-WEST (Ireland) ASIA PAC (Tokyo) ASIA PAC (Singapore) US-WEST (Oregon) SOUTH AMERICA (Sao Paulo) US-EAST (Virginia) GOV CLOUD ASIA PAC (Sydney) EU-CENTRAL (Frankfurt) Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。詳細はhttp://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください ASIA PAC (Seoul) Beijing

19. DCレベルの障害対策 EU (Ireland) Availability Zone A Availability Zone C Availability Zone B Asia Pacific (Tokyo) Availability Zone A Availability Zone B US West (Oregon) Availability Zone A Availability Zone B US West(Northern California) Availability Zone A Availability Zone B Asia Pacific (Singapore) Availability Zone A Availability Zone B Asia Pacific (Sidney) Availability Zone A Availability Zone B South America (Sao Paulo) Availability Zone A Availability Zone B US East (Northern Virginia) Availability Zone D Availability Zone C Availability Zone B Availability Zone A EU (Frankfurt) Availability Zone A Availability Zone B Note: 上記図はコンセプト図です。リージョンやアベイラビリィゾーンは増える可能性があります。詳細は http://aws.amazon.com/jp/about-aws/globalinfrastructure/ をご覧ください Availability Zone B Asia Pacific (Seoul) Availability Zone A Availability Zone B Beijing Availability Zone A Availability Zone B US Gov Cloud Availability Zone A Availability Zone B 複数DC設置におけるAWSのポリシー • 物理的に離れたデータセンター群 • 洪水を考慮 • 地盤が安定している場所 • 無停止電源(UPS)、バックアップ電源、異なる電源供給元 • 冗長化されたTier-1ネットワーク

20. • 場所の秘匿性 • 周囲の厳重なセキュリティ • 監視カメラや侵入検知システム、24時間常駐の専門の保安要員による物理アクセスの厳密なコントロール • 完全管理された、必要性に基づくアクセス • 2要素認証を2回以上で管理者がアクセス • 全てのアクセスは記録され、監査対象となるデータセンターの物理セキュリティ AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

21. • Distributed Denial of Service (DDoS)対策 • 中間者攻撃対策 • IPなりすまし対策 • 許可されていないポートスキャニング対策 – AWSサービス利用規約違反に該当 – 検出され、停止され、ブロックされる • パケットの盗聴対策 – プロミスキャスモードは不許可 – ハイパーバイザ―レベルで防御ネットワークセキュリティ AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

22. • ハイパーバイザー（ホストOS） – 承認を受けたAWS管理者の拠点ホストからの個別のログイン – 特別に設計、構築、設定された管理ホスト – 多要素認証の利用 – 全てのアクセスをロギングし監査 – 作業完了後システムへの特権とアクセス権の削除 • ゲストOS（EC2インスタンス） – お客様による完全なコントロール – 顧客が生成したキーペアを使用論理的なセキュリティ AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

23. • 従業員の雇用 – 雇用前審査の一環として適用法令が認める範囲での犯罪歴の確認 – Amazonリーガルによる機密保持契約書の管理 – 従業員はアクセス権を付与される前に機密保持契約書に署名 – 入社時研修の一環として利用規定及びAmazon業務行動倫理規定への同意従業員・アカウントの管理 • アカウント管理 • 人事管理システムのプロセスの一環として、一意のユーザー IDを作成 • 最小権限の適用。最小権限を越えるアクセスには適切な認証。 • 少なくとも四半期ごとのアカウントの確認 • 90日間アクティビティがないアカウントの自動的無効化 • 従業員の記録が人事システムから削除されると、アクセス権も自動的に削除 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

24. • データの所有権と管理権はお客様に。 • データとサーバーを配置する物理的なリージョンはお客様が指定。 • AWS は、法令遵守または政府機関の要請によりやむをえない場合を除き、お客様のコンテンツを指定されたリージョンから移動しない。 • 法令、または政府機関もしくは規制当局による有効かつ拘束力のある命令を遵守するために必要な場合を除き、お客様のコンテンツを開示することはない。 • そうすることが禁止されている場合または Amazon の製品もしくはサービスの利用に関連した違法行為の存在を明確に示すものがある場合を除き、お客様が開示からの保護を求められるようカスタマーコンテンツの開示に先立ってお客様に通知。 • AWSでは、S3、EBS、EC2 など、ほぼすべてのサービスについて、お客様が独自の暗号化メカニズムを使用することを許可。（サーバーサイド暗号化、クライアントサイド暗号化、鍵の保管・管理方法等）データセキュリティ AWS データプライバシーのよくある質問 http://aws.amazon.com/jp/compliance/data-privacy-faq/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

25. • 上記の手順を用いハードウェアデバイスが廃棄できない場合、デバイスは業界標準の慣行に従って、消磁するか、物理的に破壊するストレージの廃棄プロセス • 顧客データが権限のない人々に流出しないようにするストレージ廃棄プロセスを保持 • DoD 5220.22-M（「National Industrial Security Program Operating Manual（国立産業セキュリティプログラム作業マニュアル）」） • NIST 800-88（「Guidelines for Media Sanitization（メディア衛生のためのガイドライン）」) AWSコンプライアンス http://aws.amazon.com/jp/compliance/ リスクとコンプライアンスホワイトペーパー http://d0.awsstatic.com/whitepapers/International/jp/AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf

26. AWSは主要な規制/標準/ベストプラクティスに準拠 AWSコンプライアンス http://aws.amazon.com/jp/compliance/

27. 金融機関向け『Amazon Web Services』対応セキュリティリファレンス • 2013年10月、FISC安全対策基準（第8追補版）へのAWSの準拠状況を調査した資料をSI/ISV ８社(現在は9社)が共同で調査して一般公開 • AWSと利用者で責任分担することで、FISC安対基準を満たせるとの見解を一般公開 http://aws.amazon.com/jp/aws-jp-fisclist/ サマリー版詳細版 Amazon Web Services対応セキュリティリファレンス FISC 安全対策基準設備：138項目運用：115項目技術： 53項目各基準に対応 Amazon Web Services システム構築・運用調査・対応案検討各金融事業者のセキュリティ指針・監査指針クラウドを活用したシステム安心・安全かつ、機動性の高い金融サービスの実現金融事業者（銀行、証券、保険等）セキュリティ対応調査協力作成/ 更新支援 SCSK ISID NRI MKI TrendMicro TIS CAC

28. AWSセキュリティセンターとAWSコンプライアンス aws.amazon.com/jp/security aws.amazon.com/jp/compliance • セキュリティやコンプライアンスに関する多くの質問に対する回答 • セキュリティWhitepaper • リスクとコンプライアンス Whitepaper • セキュリティプロセス概要 Whitepaper • “Security at Scale” whitepaper シリーズ • Security bulletins • 侵入テスト申請フォーム • Securityベストプラクティス • 詳しい情報のお問い合わせ先

29. コンプライアンス情報の使いどころ 29 • AWS利用者のセキュリティ評価、チェックシートの回答等に利用 • AWSの内部に関する統制状況は基本的にホワイトペーパーや、SOC1/2・PCI等のNDA ベースで提供している情報から評価 • 公開されている情報で直接的に確認項目に回答されていないものも、提供されている情報によりリスクを評価いただくことで問題がないかどうか検討 • または、多層的なコントロールを考えることでその確認項目に関するリスクを許容できるものにできるか検討 • それでも許容できないリスクが残る場合はAWSにご相談を

30. リスクとコンプライアンスホワイトペーパー • AWS のお客様が IT 環境をサポートする既存の統制フレームワークに AWS を統合する際に役立つ情報を提供 • AWS の統制の評価に関する基本的なアプローチについて説明し、統制環境の統合の際に役立つ情報 • 内容 • リスクとコンプライアンスの概要 • AWS統制の評価と統合 • AWSリスク及びコンプライアンスプログラム • AWS の報告、認定、およびサードパーティによる証明 • コンプライアンスに関するよくある質問と AWS • AWS へのお問い合わせ • 付録 A: CSA Consensus Assessments Initiative Questionnaire v1.1 • 付録 B: 米国映画協会（MPAA）コンテンツセキュリティモデルに対する AWS の準拠状況 • 付録 C: オーストラリア信号局 (ASD) のクラウドコンピューティングに関するセキュリティ上の考慮事項への AWS の準拠 • 付録 C: 用語集これらの章に書かれている内容が AWSでどのような統制があるか、どのような運用をしているかの主要な情報源になります。

31. AWS Compliance詳細情報 • 英語のサイトの情報もご確認ください。 http://aws.amazon.com/compliance/?nc2=h_ls • 各種保証プログラムや重要項目に関するFAQ、公開資料 • PCI DSS • ISO27001/27017/27018/9001 • CSA • Data Privacy/EU Data Protection • SOC • FedRAMP • HIPAA • GxP • DoD • Compliance Latest News • ダウンロード可能な認証 • AWS ISM Letter of Compliance • AWS ISO 27001/27017/27018/9001 Certification • Multi-Tier Cloud Security Standard Level-3 (CSP) Certification • AWS SOC 3 Report 31

32. AWS Compliance 最新情報 • Consideration for Using AWS Products in GxP Systemsの発行 • GxPシステムにおいてAWS製品を使用するための包括的なアプローチについてのホワイトペーパー • AWS製品の基本的な技術内容とGxPに係る内容 • AWSをコマーシャルクラウド製品として使用する場合に、品質システムに関しての考慮事項 • AWS製品をコンポーネントとしてGxPシステムを開発、運用、検証を行う際のシステム開発のライフサイクルに関しての考慮事項 • 規制当局に対してシステム関連の情報を提出する可能性のあるお客様に関する規制関連業務に関しての考慮事項 • クラウド内のGxPアプリケーション https://aws.amazon.com/jp/health/life-sciences/gxp/ • GXP FDA Part 11 EU Annex 11 https://aws.amazon.com/jp/compliance/gxp-part-11-annex-11/

33. AWS Compliance 最新情報 • ISO27017 • ISO 認定エージェントである EY CertifyPointによるプライベート認証 • クラウドサービスに関係する情報セキュリティコントロールについての実装ガイダンス • 世界的に認められたベストプラクティスに対するAWSの継続的なコミットメントを示し、AWS においてクラウドサービス特有の非常に精密なコントロールが運用されていることを実証 • 対象サービスなど詳細はFAQのページを参照 https://aws.amazon.com/jp/compliance/iso-27017-faqs/ • ISO27018 • ISO 認定エージェントである EY CertifyPointによるプライベート認証 • すべてのリージョン、エッジロケーションが対象 • クラウド内の個人データ保護に焦点を合わせた最初の世界的な実務規範 • この規格に適合することで、特にコンテンツのプライバシー保護を目的とした統制システムが AWS により運用されていることをお客様に実証 • 対象サービスなど詳細はFAQのページを参照 https://aws.amazon.com/jp/compliance/iso-27018-faqs/

35. AWS 基本サービスコンピュートストレージデータベースネットワーク AWS グローバルインフラストラクチャリージョンアベイラビリティゾーンエッジロケーションお客様のアプリケーション・コンテンツ AWSがクラウドのセキュリティを担当 AWS 責任共有モデル Security “IN” the Cloud ネットワークサーバーセキュリティインベントリ・構成管理データセキュリティアクセスコントロール

36. Security “IN” the Cloud Security “IN” the Cloud

37. Security “IN” the Cloud AWS account owner (master) Network managem ent Security managem ent Server managem ent Storage managem ent AWS IAM AWS CloudTrail EncryptionAmazon EC2 Security Group Security “IN” the Cloud Operational Check List Auditing Security Check List AWS Security Best Practice Security At Scale Governance In AWS • ネットワーク管理 • 論理アクセスコントロール • ログ管理 • データ保護 • 脆弱性対策 AWSはお客様固有の要件に適合するソリューションの選択を可能にする柔軟性とお客様による統制が可能な環境を提供いたします • 変更管理 • リソース監視 • ビジネス継続性 ETC

38. お客様のアプリケーション・コンテンツ AWSのセキュリティツール・機能 Security “IN” the Cloud AWSとAWSのパートナーは、700以上のセキュリティサービスや、ツール、機能を提供。既存の環境で実施していたことと同等、もしくはそれ以上のコントロールを実現可能です。ネットワークサーバーセキュリティインベントリ・構成管理データセキュリティアクセスコントロール監視・監督

39. サーバー（OS）・セキュリティインスタンスの開始 EC2 AMIカタログインスタンスの起動お客様の独自インスタンスハードニングと構成監査とログ取得脆弱性管理マルウェア、IDS, IPS Whitelisting and integrity ユーザー管理 OS インスタンス構成 OSの選択とハードニング • インスタンスサイズ、OSの選択もお客様が柔軟に構成可能 • 標準的なOSのハードニングガイドとテクニックを活用 • 最新のセキュリティパッチの適用ホストベースの防御策の適用を考慮 • ホストベースの防御製品をプリインストール • 管理ソフトやSEIM等との接続設定の組み込み管理者権限やユーザー管理 • 必要最小限のアクセス • パスワードや認証の管理

40. Amazon Inspector • 自動化されたホストのセキュリティ診断サービス • 診断対象のインスタンスにエージェントをインストールした後にInspectorを起動して利用する • APIで制御できるので、開発プロセスの中に組み込むことで均質なセキュリティ診断を自動的に実行できる • 内容についてはルールセットにより制御が可能（PCI DSSにも対応）

41. ネットワークセキュリティ Private Subnet 172.16.0.0/24 Public Subnet 172.16.1.0/24 CIDR : 172.16.0.0/16 CIDR : 10.0.0.0/8 Subnet 10.0.0.0/24 NACL NACL SG SG 社内システム IPSec VPN or 専用線インターネット CGWVGW VPC Peering • お客様専用の仮想ネットワークを構築可能 • サブネットとルーティングによるセグメンテーション • 組み込まれたFirewall機能の利用。商用製品の利用も可能 • オンプレ環境とのVPN・専用線接続 • 他VPCとPeering接続機能

42. 論理的アクセスコントロール AWS Identity and Access Management (IAM) AWSサービスとリソースへの厳格なアクセス・コントロールが可能 • アカウントごとのユーザとグループの作成 • AWSマネージメントコンソールのユーザログオンサポート • セキュリティクレデンシャル – アクセスキー – ログイン/パスワード – 多要素認証デバイス(オプション) • AWS APIを使ったアクセスコントロールポリシー • API コールは以下のサインどちらかが必須: – X.509 certificate – シークレットキー • 幾つかのサービスではより厳格なインテグレーション – S3: オブジェクト及びバケット毎のポリシー設定 AWS account owner (master) Network management Security management Server management Storage management 豊富な多要素認証デバイス

43. • ポリシー作成を支援する機能も充実 • 事前定義されAWSが管理してくれるAWS管理ポリシー • IAMポリシーの作成ツール • IAMポリシーのシミュレーションツール • IAMポリシーの文法チェック利用者へのIAM権限付与の例 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:RebootInstances" ], "Condition": { "StringEquals": { "ec2:ResourceTag/SystemName": “system-name" } }, "Resource": ["*"] }, { "Effect": "Allow", "Action": ["ec2:Describe*"], "Resource": ["*"] } ] } 特定のタグがついたEC2の停止/削除権限 API単位でのコントロール

44. 構成変更管理・インベントリ AWSサービスのリソースに関する情報は管理コンソール上に集約され確認が可能。資産情報を分類するためのタグ情報も付与可能。そうした情報をAPIにより取得することもできます。

45. 構成変更管理・インベントリ • お互いに密接な関係にあるリソース – インスタンスやサーバーに適用されたパーミッション – Amazon EC2インスタンスにアタッチされたAmazon EBSボリューム – Amazon EC2インスタンスに構成されたネットワークインターフェース – VPCやそのサブネットに配置されたインスタンス AWS Configにより、AWSサービスのリソースに関係する変更を時系列で表示し、加えられた変更の追跡と把握を行うことが可能

46. データセキュリティ AWSサービス機能 SSE SSE with KMS SSE with CloudHSM CSE EBS 仮想Disk 〇〇 N/A 〇 S3 オブジェクトストレージ〇〇 N/A 〇 Glacier アーカイビング〇 N/A N/A 〇 RDS RDBMS 〇〇 Oracle 〇 Redshift DWH 〇〇〇〇 ElastiCache インメモリキャッシュ N/A N/A N/A 〇 DynamoDB NoSQL DB N/A N/A N/A 〇 AWSではAWSのサービス側で暗号化を行うServer Side Encryption（SSE）や、クライアント側で行う Client Side Encryption（CSE）の他に、暗号鍵の保管の仕方等、要件に応じた様々な方法を選択することが可能 RDS 上記の表内のAWSサービスは一例です

47. AWS Key Management Service AWSでは暗号鍵を管理する鍵管理環境を提供 • 暗号鍵の作成、管理、運用サービス – 暗号鍵の可用性、機密性を確保 – 暗号鍵の有効化・無効化、ローテーションをサポート – S3, EBS, Redshift等のAWSサービスにおけるデータを暗号化 – SDKとの連携でお客様の独自アプリケーションデータを暗号化 – 低コストで使用可能 • サポートしているサービス（2016/3現在） Customer Master Key(s) Data Key 1 Amazon S3 Object Amazon EBS Volume Amazon Redshift Cluster Data Key 2 Data Key 3 Data Key 4 Custom Application AWS KMS Category Supported Services Database Redshift , RDS Storage and Content Delivery S3 , EBS , Import/Export , Snowball Application Services Elastic Transcoder , SES Enterprise Applications WorkMail , WorkSpaces Management Tools CloudTrail

48. AWS CloudHSM • 特徴 – AWSクラウド内のお客様専用ハードウェアセキュリティモジュール（HSM）アプライアンス（SafeNet LunaSA7000） – 暗号化キーやHSMによって実行される暗号化操作を管理 – 情報セキュリティ国際評価基準（Common Criteria EAL4+）および米国政府規制基準（NIST FIPS 140-2）に準拠 – CloudTrailやsyslogの使用によるコンプライアンス監査 AWS サービスおよびリソースへのアクセスを安全にコントロール AWS Virtual Private Cloud CloudHSM VPC インスタンス SSL App HSM Client 【サポートされているリージョン】・米国東部（バージニア北部）・米国西部（オレゴン）・米国Govクラウド・欧州（アイルランド）・欧州（フランクフルト）・アジアパシフィック（シドニー）・アジアパシフィック（東京）・アジアパシフィック（シンガポール）

49. CloudTrailでAWSのサービスに対する各種APIログを取得可能 http://aws.amazon.com/jp/cloudtrail/ 監視・監督 • APIを呼び出した身元（Who） • APIを呼び出した時間（When） • API呼び出し元のSource IP（Where） • 呼び出されたAPI（What） • APIの対象となるAWSリソース（What） • 管理コンソールへのログインの成功・失敗

50. CloudWatch Metrics Amazon Linux Ubuntu Windows Red Hat Linux CloudWatch Logs CloudWatch Alarm SNS Log Agent Log Agent Log Agent Log Agent VPC Flow Log Kinesis 監視・監督 OSにはLog Agentの導入が必要です CloudWatch Logsにログをためますフィルターなどを使いログの監視閾値を超えた場合はAlarm をあげます CloudWatch LogsでOS上の各種ログやVPC Flow LogsといったAWSのログも収集・監視 https://aws.amazon.com/jp/cloudwatch/

51. 監視・監督 2013年よりサービス開始コスト最適化、セキュリティ、可用性、パフォーマンスの４つのカテゴリから AWSの利用状態を評価 170万のベストプラクティス 3億ドルを超えるコスト削減を通知 2014/7/31より、47のチェック項目中、 4項目をすべてのユーザに開放利用者のAWS環境をAWSのベストプラクティスを元に評価するTrusted Advisorを用いて、原因が把握されていない未達のチェック項目がないか確認をしてください。Notificationの設定も行うことができます。 https://aws.amazon.com/jp/premiumsupport/trustedadvisor/

53. Security “IN” the Cloud Security “OF” the Cloud http://aws.amazon.com/jp/compliance/ セキュリティ・コンプライアンス = 共有責任・お客様、業界固有の要件を柔軟に達成可能・データやインスタンスに対する統制権はお客様が保持・世界中のリージョンにおいて、共通の統制を維持可能・世界中のリージョンにおいて、共通の統制・お客様のコンプライアンス・スコープの範囲を軽減・セキュリティ・コンプライアンス関連サービスの提供 AWSの責任共有モデル

54. Security “IN” the Cloud AWSの責任共有モデルとAPN Security “OF” the Cloud http://aws.amazon.com/jp/compliance/ セキュリティ・コンプライアンス = 共有責任・世界中のリージョンにおいて、共通の統制目標を管理・お客様のコンプライアンス・スコープの範囲を軽減・セキュリティ・コンプライアンス関連サービスの提供・お客様、業界固有の要件を柔軟に達成可能・データやインスタンスに対する統制権はお客様が保持・世界中のリージョンにおいて、共通の統制を維持可能・多種多様なAPNパートナーソリューションを選択可能 * APN = Amazon Web Services Partner Network

55. https://aws.amazon.com/marketplace お客様がEC2の上で動作する必要なソフトウェアやサービスを見つけ出して購入し、素早く使用開始するためのオンラインストアです。お客様は、すぐにデモを体験可能な、設定済みのアプリケーションを含むプライベートサンドボックス環境を短時間でデプロイできます。エンタープライズソリューションスタックを使用できるよう、約半日分の AWS 使用料を無料にて、お客様にご提供します。 https://aws.amazon.com/jp/testdrive/ APNパートナーソリューション

56. AWS Marketplace https://aws.amazon.com/marketplace

57. http://aws.typepad.com/aws_partner_sa/2015/06/how_to_use_esp-catalog2015.html AWSパートナーとのエコシステムビジネスアプリケーションアナリティクスセキュリティデータ連携ネットワーク／ストレージ開発／運用 “AWS ESPカタログ”で検索

59. Security by Design (SbD) • AWS アカウントの設計の規格化、セキュリティ制御の自動化、および監査の合理化のためのセキュリティ保証アプローチ • セキュリティを遡及的に監査するのではなく、AWSのIT管理プロセス全体にセキュリティ制御を組み込む Identity & Access Management CloudTrail CloudWatch Config Rules Trusted Advisor Cloud HSMKey Management Service Directory Service https://aws.amazon.com/jp/compliance/security-by-design/

60. SbDのアプローチ 1.2 AWSに移すワークロードの識別 2.1 セキュリティ要件の整理 2.2 データ保護と統制の定義 2.3 セキュリティアーキテクチャーの文書化 3.1 セキュリティアーキテクチャーの構築 1. 要件を把握する 2. セキュリティ要件の分析と文書化 1.1 ステークホルダーの確認 3. 環境構築と自動化、監視 3.2 運用の自動化 4. 検証と監査 3.3 継続的な監視 4.1 監査と認証 3.4 テスト

61. セキュリティ関連の運用自動化 • CloudFormationを用いてセキュリティ要件を満たす設計をテンプレート化 • 必要となるセキュリティの設定や、利用インスタンス、リソースをパッケージ化 • Service Catalogを利用した環境の展開 CloudFormation Service CatalogStack Template インスタンス Appsリソース Stack Stack 設計パッケージ化 Products Portfolios 展開制限 Identity & Access Management パーミッション

62. 継続的な監視 AWS Security and Compliance Security OF the Cloud Security IN the Cloud のためのサービス群 Service Type Use cases APIログの取得 AWS環境の操作に関するログの取得リソース・ログ監視 AWSサービスのリソース監視と各種ログの収集・モニタリング変更管理 AWSサービスの変更記録とトラッキングオンデマンドの評価 EC2インスタンス内の導入される OS・アプリケーションのセキュリティ分析継続的な評価変更による誤設定検知、ベストプラクティスの維持、脆弱性の検知定期的な評価コスト、パフォーマンス、信頼性、セキュリティの観点からの広範な調査 Inspector Config Rules Trusted Advisor AWS Config Cloud Trail Cloud Watch

63. SbDの狙い • 権限のないユーザーの変更を防止する強制的な機能を作成する。 • 制御を確実に実行できるようにする。 • 継続的でリアルタイムな監査を実現する。 • お客様のガバナンスポリシーを技術的にスクリプト化する。 • 結果としてセキュリティ要件を満たす環境の構築を自動化し維持する。 Automate Governance Automate Deployments Automate Security Operations Continuous Compliance & Audit Reporting

64. まとめ  責任共有モデルに基づき、基盤のセキュリティ・統制はAWSが責任を持って実施  AWS上に構築するシステムの構成・設定に関するセキュリティ・統制はお客様の責任により実施  AWSはお客様を助ける様々なセキュリティ関連機能を提供  更に固有のセキュリティ要件がある場合はAPNパートナーの製品の利用も検討  自動化やAPIによる制御といったAWSの特性をセキュリティやコンプライアンスにも活かすことで効果的な統制環境を構築

65. Security for the Cloud Security “IN” the Cloud Security “OF” the Cloud

66. • AWS URL – AWS Securityページ • http://aws.amazon.com/jp/security – AWS Complianceページ • http://aws.amazon.com/jp/compliance セキュリティ・コンプライアンス情報

67. Q&A

68. 詳しくは、http://aws.amazon.com/training をご覧くださいメリット • AWS について実習や実践練習を通じて学習できる • AWS を熟知したエキスパートから直接 AWS の機能について学び、疑問の答えを得られる • 自信をもって IT ソリューションに関する決定を下せるようになる提供方法 e ラーニングや動画セルフペースラボクラスルームトレーニング AWSトレーニングでは様々な学習方法をご提供しています

69. 公式Twitter/Facebook AWSの最新情報をお届けします @awscloud_jp 検索最新技術情報、イベント情報、お役立ち情報、お得なキャンペーン情報などを日々更新しています！もしくは http://on.fb.me/1vR8yWm

70. AWSの導入、お問い合わせのご相談 • AWSクラウド導入に関するご質問、お見積り、資料請求をご希望のお客様は、以下のリンクよりお気軽にご相談ください https://aws.amazon.com/jp/contact-us/aws-sales/ ※「AWS 問い合わせ」で検索してください

71. ご清聴ありがとうございました！

AWS セキュリティとコンプライアンス

Amazon Web Services Japan

AWS セキュリティとコンプライアンス