AWSのPCI DSSへの取り組みと押さえておきたい耳寄り情報

© 2020, Amazon Web Services, Inc. or its Affiliates.
1
アマゾンウェブサービスジャパン株式会社
2020年5⽉25⽇
AWSのPCI DSSへの取り組みと
押さえておきたい⽿寄り情報
Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯

2
⾃⼰紹介
名前：中島智広（なかしまともひろ）
所属：技術統括本部
職種：セキュリティソリューションアーキテクト
業務：お客様のセキュリティの取り組みを
AWSの利活⽤の視点からご⽀援
• セキュリティアーキテクチャ、運⽤設計の⽀援
• PCI DSSをはじめとするコンプライアンスプログラムへの準拠⽀援
• 公式トレーニング「Security Engineering on AWS」インストラクター

3
Table of contents
• はじめに
• AWSにおけるPCI DSS準拠の基本的な考え方
• AWSの取り組みとリファレンスマテリアルの紹介
• 準拠と維持に有用なAWSサービス
• まとめにかえて

4
はじめに

5
PCI DSSが改めて着⽬されている背景
デジタル化へシフト
スマートフォンの採⽤拡⼤
と⾮現⾦取引のための新し
いチャネルにより加速
新しいノンバンクと
決済サービスプロバイ
ダ (PSPs) が伝統的な
チャネル外で取引を可能に
する決済サービス、技術を
提供
ストレスのない決済経験、
ワンタッチオプション、イ
ンスタント決済などの
顧客ニーズの変化
透明性、セキュリティ、イ
ノベーション、相互運⽤性、
競争を促進する規制当局
の漸進的な変化
変わりつつあるグローバル決済の様相

6
PCI DSS準拠・維持のよくある課題感
• 準拠・維持運⽤の負荷
• レギュレーションへの追従と設備投資
• 担当者で異なるQSA（審査⼈）の解釈
etc・・・

7
PCI DSS準拠に対するAWSのお客様の声
“AWSの活⽤により、全てにおいて時間の掛かる⾦融業界で、スピード
感を持って対応をしている。我々は、⾦融プロダクトのみにフォーカ
スできる。AWS CloudFormationの活⽤により、PCI対応を容易
にすることができました。”
‒—Tom Wanielista, Engineer, Simple
“Stripe は、2011年以来、AWS 上にてPCI DSSに準拠した決済プラット
フォームを運⽤しています。AWS のセキュリティ、監査の容
易性を⾼く評価し、AWS 活⽤する決め⼿となりました。”
— Jorge Ortiz, Infrastructure Manager, Stripe
“弊社のようにすべてのサービスをAWS上で稼働しているような状態
でも全く問題なく、PCI DSSに準拠することができました。
その上、導⼊や運⽤のコスト⾯及びサービスのスケーラビリティも
考慮すると、AWSを使わない⼿はありません。
— コイニー株式会社代表取締役佐俣奈緒⼦⽒
Online payment processor
Online US bank

8
AWSを利⽤すると準拠が容易になる？
このあと「なぜ？」を解説します。

9
AWSにおける
PCI DSS準拠の基本的な考え⽅

10
クラウドにおけるPCI DSS準拠の指針
Information Supplement: PCI DSS Cloud Computing Guidelines
カード保有者のデータ環境を管理しているお客様向けに、クラウドでの
PCI DSS 管理作業の留意事項を記載したもの
https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Cloud_Guidelines_v3.pdf

11
責任共有モデル
AWS
クラウドのセキュリティ
に対する責任
SECURITY ʻOFʼ THE
CLOUD
お客様
クラウド内のセキュリティ
に対する責任
SECURITY ʻINʼ THE
CLOUD
お客様のデータ
プラットフォーム、アプリケーション、IDとアクセス管理
オペレーティングシステム、ネットワークとファイアウォール構成
クライアント側データ暗号化
データ整合性認証
サーバー側暗号化
(ファイルシステムやデータ)
ネットワークトラフィック保護
(暗号化、整合性、アイデンティ
ティ)
ハードウェア/AWSグローバルインフラストラクチャー
ソフトウェア
リージョン
アベイラビリティ
ゾーン
エッジロケーション
コンピュートストレージデータベースネットワーキング
https://aws.amazon.com/jp/compliance/shared-responsibility-model/

12
マネージドサービス利⽤による審査範囲の削減
Power, HVAC, net
Rack & stack
Server maintenance
OS patches
DB s/w patches
Database backups
Scaling
High availability
DB s/w installs
OS installation
App optimization
Power, HVAC, net
Rack & stack
Server maintenance
OS patches
DB s/w patches
Database backups
Scaling
High availability
DB s/w installs
OS installation
App optimization
Power, HVAC, net
Rack & stack
Server maintenance
OS patches
DB s/w patches
Database backups
Scaling
High availability
DB s/w installs
OS installation
App optimization
オンプレミス On EC2 RDS
お客様
たとえば、データベース管理のフルマネージド化

13
オンプレミスとAWS、審査⼿法の違い
お客様の統制領域
AWSの統制領域
お客様の統制領域
QSAとお客様が
合意した⼿法で
全体を審査
AWSの提供する
ドキュメント※を
確認
QSAとお客様が
合意した⼿法で
審査
お客様の審査範囲
オンプレミス AWS
※「PCI DSS Attestation of Compliance (AOC)およびResponsibility Summary 」

14
PCI DSSワークロードをAWSに移⾏するメリット/考え⽅
• 責任共有モデルに基づく審査範囲の⼤幅な削減
• AWSの豊富なサービスや機能を活⽤
• より効率的に、より⾼いセキュリティを実現

15
AWSの取り組みと
リファレンスマテリアル

16
PCIコンプライアンスへの取り組み
認定審査機関（QSA）のチームを組織し、AWSとお客様ワークロードの
PCIコンプライアンス準拠を⽀援
https://ja.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors

17
AWS is a PCI DSS-compliant Level 1 Service Provider
https://aws.amazon.com/jp/compliance/services-in-scope/

18
PCI Compliance Package
PCI DSS Cloud Computing Guidelinesに沿った内容を、AWS Artifactを
通じて提供しています
• PCI DSS Attestation of Compliance (AOC)
• PCI SSC 認定審査機関によって提供され、AWSがPCI DSSレベル1に準拠
したサービスプロバイダであることを証明する準拠証明書
• Responsibility Summary
• PCI SSC 認定審査機関（QSA）によって提供され、AWS とお客様の間で
コンプライアンスに関する責任をどのように分担するかを説明

19
スプレッドシート版 Responsibility Summary
整理に便利なスプレッドシート版のご⽤意があります
Responsibility Summary PDF内に
スプレッドシートが埋め込まれている

20
AWSにおけるスコーピングの考え⽅
https://aws.amazon.com/jp/blogs/news/new-
whitepaper-available-architecting-for-pci-dss-
segmentation-and-scoping-on-aws/

21
AWSにおけるPCI DSS準拠のガイダンス
https://d1.awsstatic.com/whitepapers/compli
ance/pci-dss-compliance-on-aws.pdf

22
PCI DSS コンプライアンスの標準化アーキテクチャ
https://aws.amazon.com/jp/quickstart/architecture/compliance-pci/

23
準拠と維持に有⽤なAWSサービス

24
AWS セキュリティ・ソリューション
AWS Identity & Access
Management (IAM)
AWS Single Sign-On
AWS Directory Service
Amazon Cognito
AWS Organizations
AWS Secrets Manager
AWS Resource Access
Manager
AWS Security Hub
Amazon GuardDuty
AWS Config
AWS CloudTrail
Amazon CloudWatch
VPC Flow Logs
AWS Systems Manager
AWS Shield
AWS WAF – Web
application firewall
AWS Firewall Manager
Amazon Inspector
Amazon Virtual Private
Cloud (VPC)
AWS Key Management
Service (KMS)
AWS CloudHSM
AWS Certificate Manager
Amazon Macie
AWS Config Rules
AWS Lambda
アイデンティティ &
アクセス管理
発見的
統制
インフラストラクチャ
保護
インシデント
対応
データ
保護
豊富なサービスや機能をPCI DSS準拠に利用可能

25
本⽇は以下2つをピックアップしてご紹介します
Amazon Macie
⼤規模な機密データを検出して保
護する
AWS Security Hub
セキュリティアラートの⼀元的な
表⽰および管理を⾏い、セキュリ
ティチェックを⾃動化する
2020年
2月
機
能
追
加
2020年
5月
新
バ
ー
ジ
ョ
ン

26
AWS Security Hub
AWS
Security Hub
• アカウント、サービス、サードパーティー製品のセキュリ
ティ検出結果を統合
• サポートする「セキュリティ標準」のルールに対して⾃動
的かつ継続的なチェックを実⾏した結果を⽣成
PCI DSS v3.2.1
CIS Benchmark
AWS 基礎セキュリティのベストプラクティス
サポートする「セキュリティ標準」（2020年5⽉現在）

27
AWS Security Hub セキュリティ標準の活⽤
煩雑なコンプライアンスプログラムの準拠と維持を効率化
たとえば「 PCI DSS v3.2.1 セキュリティ標準」を有効化し、検出結果のナビ
ゲーションに従うことで、PCI DSS準拠に必要な統制が整う。
さらに運⽤フェーズの準拠状況を継続的モニタリングにより確実にする。
AWS Security Hubセキュリティ基準に
よってナビゲーションされる統制
コンプライアンス
準拠に必要な統制

28
Amazon Macie
Amazon
Macie
• クレジットカード番号(PAN)、個⼈特定情報 (PII)、個⼈医
療情報 (PHI)、知的財産 (IP)、ソースコード、認証情報など
の機密データを識別
• データアクセスに対する可視性を提供する
• Amazon S3 に保存されたデータを保護する
• 東京を含む17のリージョンで利⽤できる
2020年5⽉拡張された新しいバージョンをローンチ、
旧バージョンをMacie Classicに改称

29
Amazon Macie ‒ ユースケース例
データプライバシーとセキュリティのチェック
データ・セキュリティを適切なレベルで維持することは重要な観点であり、すなわちそれ
は継続的に機微情報を特定し、セキュリティの状況とアクセス管理の状況を評価すること
である
レギュレーションとコンプライアンスへの適合状況を維持
コンプライアンスチームは、機微情報がどこにあるか監視し、それを正しく保護する、そ
して法規制、コンプライアンスが要求するデータ・セキュリティとプライバシー要件を満
たしていることをエビデンスをもって証明する必要がある
⼤量のデータをAWSに移⾏するとき、安全なAmazon S3 環境を初期のステージングエリア
として設定し、そこでMacieに機微情報を検出させることが出来る。この検出結果により、
移⾏したデータをどこで保管するか、暗号化リソースタグなどのセキュリティコントロー
ルをどのように適⽤するかを判断出来る
データ移⾏時の機微情報の検出

30
Amazon Macie - Macie Classic からの主要な変更点
ユーザーエクスペリエンスと
スケーラビリティ
• ネイティブAWS コンソール対応とフルAPIサ
ポート
• カスタマー定義のデータ特定ルールによる柔軟
な設定
• 拡張されたマネージド機微データ検出モジュー
ル
• タグ、 AWS Organizations、Cloud Formation
のサポート
• 全てのオブジェクトを分類 (Classic は先頭
20MBの制限があった)
価値の向上
• 価格設定の単純化
• CloudTrailのデータイベントコストの削減
• 利⽤状況をAWSコンソール上で可視化
• サポートAWSリージョンの拡⼤
（東京リージョンで利⽤可能に）
異常検知機能、 CloudTrailのS3データイベントの監視機能は GuardDutyに移⾏予定

31
まとめにかえて

32
Key Takeaways
• PCI DSSワークロードをAWSに移⾏するメリット/考え⽅
• 責任共有モデルに基づく審査範囲の⼤幅な削減
• AWSの豊富なサービスや機能を活⽤
• より効率的に、より⾼いセキュリティを実現
• 新しい2つのサービス/機能をぜひご利⽤ください
• AWS Security Hub PCI DSS v3.2.1セキュリティ標準
• Amazon Macie

33
参照リソース①
AWS PCI Compliance Packages
https://console.aws.amazon.com/artifact/
PCI DSS スコーピングおよび AWS 上でのセグメンテーションのためのアーキテクチャの設計
https://d1.awsstatic.com/whitepapers/ja_JP/pci-dss-scoping-on-aws.pdf
PCI DSS 3.2.1 on AWS Compliance Guide
https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws.pdf
AWS での PCI DSS コンプライアンスの標準化アーキテクチャ
https://aws.amazon.com/jp/about-aws/whats-new/2016/05/pci-dss-standardized-architecture-
on-the-aws-cloud-quick-start-reference-deployment/

34
参照リソース②
AWS Security Hub PCI DSS v3.2.1 コンプライアンス標準の使⽤⽅法
https://aws.amazon.com/jp/blogs/news/how-to-use-the-aws-security-hub-pci-dss-v3-2-1-
standard/
Amazon Macie の⼤幅な機能強化、80% 以上の値下げ、およびグローバルリージョンの拡⼤を発表
https://aws.amazon.com/jp/about-aws/whats-new/2020/05/announcing-major-enhancements-
to-amazon-macie-an-80-percent-plus-price-reduction-and-global-region-expansion/
責任共有モデルとは何か、を改めて考える
https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/

35
Q&A

36
ご質問への回答①
Q. スプレッドシート版Responsibility Summary はArtifactからダウンロードできる
PDFに含まれていますか？
A.はい。ArtifactからダウンロードできるPDFの中に、Responsibility Summaryの
PDFが含まれており、さらにその中にスプレッドシート版が含まれています。
Q. Security HubのPCI DSS v3.2.1 セキュリティ標準について、PCI DSSの要件に対
するカバレッジを教えてください。
A. PCI DSS v3.2.1 セキュリティ標準のコントロール項⽬は以下に⼀覧がございます。
https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub-
pci-controls.html

37
ご質問への回答②
Q. Macieの⽇本語対応について教えてください。
A. カスタマー定義のデータ特定ルールでは、⽇本語を含むUnicode⽂字をサポートし
ています。
Q. Amazon Macieはどのぐらいの頻度でクロールしますか？
A. ワンタイムおよびスケジュールでの実⾏（毎⽇、毎週、毎⽉）をサポートしていま
す。 https://docs.aws.amazon.com/ja_jp/macie/latest/user/discovery-jobs.html
Q. Macieは、トークナイズなどによって、スコープの縮⼩はできますか？
A. Macieは機微情報の検出、可視化、評価を⾏います。検出結果を他のサービスと連
携することによって追加の処理を実⾏（⾃動化）することが可能です。

38
Thank you!

AWSのPCI DSSへの取り組みと押さえておきたい耳寄り情報

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to AWSのPCI DSSへの取り組みと押さえておきたい耳寄り情報

Similar to AWSのPCI DSSへの取り組みと押さえておきたい耳寄り情報 (20)

More from Tomohiro Nakashima

More from Tomohiro Nakashima (11)