江戸前セキュリティ勉強会201602

1. AWSにおける
セキュリティの考え方
クラスメソッド株式会社
AWSコンサルティング部 森永 大志

2. 自己紹介

3. Morinaga Taishi(@morimoritaitai)
AWS Solution Archetect
✦ 趣味 : ゲーム(全般) / 酒 / カメラ
✦ 興味 : DevOps / Security
AWS Certified
Solutions Architect - Professional
Developer -Associate
SysOps Administorator - Associate

4. 最近はもっぱら娘の写真ばか
り撮ってます

5. すんごい可愛いです。

6. 弊社リモートワーク可なので
育児しながら仕事してます。
有り難い。。。

7. 会社紹介

8. Classmethod,Inc.

9. 世の中のクリエイティブに
貢献する会社

10. 技術を使って事業会社の
お手伝いをする会社

11. 技術を使って事業会社の
お手伝いをする会社
AWS / Mobile / BigData
IoT / Security and more..

12. 技術大好きエンジニアが
たくさん集まっています

13. そんなエンジニアが書いている
弊社メインコンテンツ

14. Developers.IO

15. 5400本の技術記事
2300本のAWS記事
月間100万PV

16. AWSにおける
セキュリティの考え方

17. いきなりですが質問です

18. Q. オンプレとクラウドの
どっちが安全でしょう？

19. A. 適切なセキュリティ対策を
施しているほうがより安全

20. Q. 適切なセキュリティ対策、
何をすればよいでしょう？

21. 情報セキュリティとは
機密性
完全性
可用性
を維持することらしい

22. 認められた人以外は100％情報に
アクセスできないような対策？
（機密性）

23. 情報が100％破壊、改ざん、消
去されないような対策？
（完全性）

24. どんなときも100％情報に
アクセスできるような対策？
（可用性）

25. セキュリティに100％はない

26. でも出来る限り安全を求めたい

27. それを意識したうえで
AWSのセキュリティ

28. http://aws.amazon.com/jp/security/

29. http://aws.amazon.com/jp/security/

30. 「AWS のクラウドセキュリティは
まったく手間がかかりません。」

31. ちょっと言い過ぎ

32. ユーザ側がやらないといけない
ことがちゃんとあります。

33. 上司
「AWSとの責任分界点どこよ？」

34. 安心して下さい。

35. 定義されてますよ！

36. https://aws.amazon.com/jp/compliance/shared-responsibility-model/

37. 責任共有モデル

38. 責任共有モデル
• • • •

39. クラウドのこと
→AWSが責任を持つよ
クラウドの中でやってること
→ユーザが責任を持ってね

40. AWS Global
Infrastructure
Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network
Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory &
Config
Access
Control
Data
Security

41. AWSが責任をもつこと

42. AWSのサービスを実行するための
• ハードウェア
• ソフトウェア
• ネットワーク
• データセンタ

43. ユーザが責任をもつこと

44. クラウドの中の
• データ
• オペレーティングシステム
• ネットワーク
• アクセス管理
• アプリケーション

45. AWSを使えばセキュリティから
解放される、わけではないです。

46. が、AWSが責任持ってくれて
いるだけ手間は減る。

47. AWS Global
Infrastructure
Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network
Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory &
Config
Access
Control
Data
Security

48. AWS Global
Infrastructure
Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network
Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory &
Config
Access
Control
Data
Security
スコープ外！

49. http://aws.amazon.com/jp/security/

50. http://aws.amazon.com/jp/security/

51. セキュリティを最も重視する
組織の要件を満たすよう構築

52. セキュリティを最も重視する
組織の要件を満たすよう構築
（恐らく）金融機関

53. PCI DSSPayment Card Industry Data Security Standard

54. クレジットカード業界の
セキュリティ基準

55. その実は情報セキュリティの
具体的な実装要求

56. PCI データセキュリティ基準 ‒ 概要
安全なネットワークとシステム
の構築と維持
1. カード会員データを保護するために、ファイアウォールをインス
トールして維持する
2. システムパスワードおよびその他のセキュリティパラメータにベ
ンダ提供のデフォルト値を使用しない
カード会員データの保護
3. 保存されるカード会員データを保護する
4. オープンな公共ネットワーク経由でカード会員データを伝送する
場合、暗号化する
脆弱性管理プログラムの維持
5. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフト
ウェアを定期的に更新する
6. 安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入
7. カード会員データへのアクセスを、業務上必要な範囲内に制限す
る
8. システムコンポーネントへのアクセスを識別・認証する
9. カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視
およびテスト
10.ネットワークリソースおよびカード会員データへのすべてのアク
セスを追跡および監視する
11.セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの
維持
12.すべての担当者の情報セキュリティに対応するポリシーを維持す
る

57. 安全なネットワークとシステム
の構築と維持
1. カード会員データを保護するために、ファイ
アウォールをインストールして維持する
2. システムパスワードおよびその他のセキュリ
ティパラメータにベンダ提供のデフォルト値
を使用しない

58. カード会員データの保護
3. 保存されるカード会員データを保護する
4. オープンな公共ネットワーク経由でカード会
員データを伝送する場合、暗号化する

59. 脆弱性管理プログラムの維持
5. マルウェアにしてすべてのシステムを保護し、
ウィルス対策ソフトウェアを定期的に更新する
6. 安全性の高いシステムとアプリケーションを開
発し、保守する

60. 強力なアクセス制御手法の導入
7. カード会員データへのアクセスを、業務上必
要な範囲内に制限する
8. システムコンポーネントへのアクセスを識
別・認証する
9. カード会員データへの物理アクセスを制限す
る

61. ネットワークの定期的な監視
およびテスト
10.ネットワークリソースおよびカード会員デー
タへのすべてのアクセスを追跡および監視する
11.セキュリティシステムおよびプロセスを定期
的にテストする

62. 情報セキュリティポリシーの
維持
12.すべての担当者の情報セキュリティに対応す
るポリシーを維持する

63. クレジットカードに限らず
個人情報を扱う場合
準拠しておきたい基準

64. PCI DSS関連参考URL
• Official PCI Security Standards Council Site
• PCI DSS v3.0 要件
• PCI DSS v3.0から 3.1 への変更点のまとめ
• PCI DSS v3.1 を取得する方法 | ロードバラン
スすだちくん

65. その他AWSが準拠している
コンプライアンス規格

66. • SOC 1/SSAE 16/ISAE 3402 (formerly SAS 70)
• SOC 2
• SOC 3
• FISMA, DIACAP, and FedRAMP
• DOD CSM Levels 1-5
• ISO 9001 / ISO 27001
• ITAR
• FIPS 140-2
• MTCS Level 3
• Criminal Justice Information Services (CJIS)
• Cloud Security Alliance (CSA)
• Family Educational Rights and Privacy Act
(FERPA)
• Health Insurance Portability and Accountability
Act (HIPAA)
• Motion Picture Association of America (MPAA)

67. （補足）
準拠しているかはAWSの
サービスによって違います
https://aws.amazon.com/compliance/

68. AWS Global
Infrastructure
Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network
Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory &
Config
Access
Control
Data
Security

69. AWS Global
Infrastructure
Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network
Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory &
Config
Access
Control
Data
Security
AWSの部分は準拠済み

70. AWS Global
Infrastructure
Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network
Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory &
Config
Access
Control
Data
Security
Network
Security
Customer Applications & Content
Inventory &
Config
Access
Control
Data
Security

71. AWS Global
Infrastructure
Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network
Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory &
Config
Access
Control
Data
Security
Network
Security
Customer Applications & Content
Inventory &
Config
Access
Control
Data
Security
ユーザはAWSがカバーしていない
部分を準拠させれば良い

72. 曖昧な部分もある

73. AWS Global
Infrastructure
Edge Location
Region
Availability Zone
AWS Foundation Services
Compute Storage Database Networking
Network
Security
Customer Applications & Content
https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf
Inventory &
Config
Access
Control
Data
Security
このへん

74. • 継承統制
• ハイブリッド統制
• 共有統制
• ユーザ固有の統制

75. 継承統制
• AWSから完全に継承される
• AWSが準拠していればユーザも準拠したもの
とみなされる
• 例えば、物理的や環境面など

76. ハイブリッド統制
• AWSが部分的な実装を提供
• AWSが一部に責任を持ち、残りはユーザが責
任を持つ必要がある
• 例えば、アクセスコントロールなど

77. 共有統制
• AWSが特定のレイヤの実装を提供
• あるレイヤはAWSが、あるレイヤはユーザが
責任を持つ
• 例えば、パッチの適用、構成管理など

78. 「AWSと当社の責任分界点は
どこですか？」

79. AWSはこれを明確にしていま
すので、安心して自分の責任
範囲に集中しましょう。

80. まとめ

81. クラウドを使ったら
安全！

82. クラウドを使ったら
危険！

83. 適切なセキュリティ対策
とってなかったら危険です

84. AWSのセキュリティは
⃝⃝⃝⃝モデル

85. AWSのセキュリティは
責任共有モデル

86. 自分の責任範囲に
注力しましょう！

87. おしまし

88. Developers.IO 2016
• 開催日時：2016年2月20日(土)
• 開催場所：SAPジャパン(麹町)
88
Developers.IO 2016
http://devio2016.classmethod.jp/
2016.2.20@ SAP Japan