aws セキュリティの最新情報 セキュリティサービスおよび ... · 2018-09-07 ·...
TRANSCRIPT
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS セキュリティの最新情報
セキュリティサービスおよびコンプライアンス梅谷 晃宏
Office of The CISO, AWS Security
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
OR
これまでは…
セキュリティ・コンプライアンスの方向性
クラウド環境やサービスそのものが安全であるかどうか?
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
セキュリティ・コンプライアンスの方向性
いま現在は…
クラウド環境上のベストなセキュリティをどう実現していくか?
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
お客様事例
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
金融業界の事例
<2017年ご講演資料より>
<2018年ご講演資料より>
ソニー銀行様 – AWS Summit Tokyo ご講演資料より勘定系(総勘定元帳)でのAWS活用を決定
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
本番運用に向けて、経営層を含む社内の了承を取る必要がありましたが、いちばん大きな説得力をもったのが国内 SIer 各社が作成した「金融機関向け AWS 対応セキュリティリファレンス」の存在でした。
これは金融業界が AWS クラウドを採用してもセキュリティ的にはほぼ問題がないことを示したガイドラインでしたが、金融のように規制がきびしい業界においてもアウトソースできる環境なら、製造業界である自分たちのリソースを預ける場所として信頼できる、という意識を社内で共有することができました。
https://aws.amazon.com/jp/solutions/case-studies/kyowa-kirin/
医療、製薬・医療機器業界の事例協和発酵キリン株式会社様
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
医療機関で撮影したエックス線や、CT、MRI などの画像データを、東芝メディカルシステムズが提供する「PACS(RapideyeCore™)」の電子保存および運用管理技術 と(株)東芝が持つICTクラウド技術を組み合わせ、AWSが提供するクラウドサービス(東京リージョン)上の Amazon Simple Storage Service (Amazon S3) に外部保存するサービスを開始
*2012年時点
https://aws.amazon.com/jp/solutions/case-studies/toshiba-medicalsystems/
医療、製薬・医療機器業界の事例東芝メディカルシステムズ株式会社様
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
規制やガイドラインの動向
金融ケース
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
日本における規制、ガイドラインの動向
*出典:公益財団法人 金融情報システムセンター, https://www.fisc.or.jp
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
*出典:公益財団法人 金融情報システムセンター, https://www.fisc.or.jp
日本における規制、ガイドラインの動向
*出典:公益財団法人 金融情報システムセンター, https://www.fisc.or.jp
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSのセキュリティ
コンプライアンスのポイント
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
サービス連携によるセキュリティ自動化
包括的なセキュリティとコンプライアンス
統制の継承
プライバシーとデータセキュリティ
セキュリティパートナー
ソリューションの広範なエコシステム
優れた可視性と統制による安全な拡張
AWS環境とセキュリティを考える上でのポイント
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSの統制実施内容
責任共有モデル
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSのインフラストラクチャーセキュリティ
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSのインフラストラクチャーセキュリティ
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSのインフラストラクチャーセキュリティ
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
グローバルの規制、基準、セキュリティ、コンプライアンス
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
金融機関
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
FISC安全対策基準
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
医療・製薬・医療機器
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
製薬・医療機器関連:GxP省令
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
医療情報関連:3省ガイドライン
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSのパートナー様を支援し、お客様が対応する必要のある日本の主要なガイドライン・コンプライアンスへの取り組みを強化
https://aws.amazon.com/jp/compliance
政府・省庁2017
金融2012
製薬・医療機器2016
個人情報2018
医療情報2018
日本の規制、基準、セキュリティ、コンプライアンス
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSがAWS環境・サービスに対して認証、認定、監査をグローバルで取得お客様の世界中の規制当局のコンプライアンス要件への準拠負担を軽減
責任共有モデルとセキュリティ・コンプライアンス要件
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
プライバシー
データセキュリティ
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
拡張性のある暗号化
AWS Key Management Service (KMS)で暗号鍵を
効率的に管理
FIPS 140-2 Level 3準拠のハードウェアセキュリティモジュール、CloudHSMで暗号鍵を管理可能
データレジデンシー要件の実現
データの格納場所は好きなAWSリージョンを
選択可能。
AWSはAWS顧客が権利を持つデータを移動したり、データに
アクセスしない
規制要件に準拠したインフラ
ストラクチャー
AWSのアクセス管理サービスやツールを利用してAWS上に
規制要件に準拠可能なシステムを構築
地域のデータプライバシー法への
準拠
データへのアクセス可否データライフサイクルデータ廃棄の統制
プライバシー、個人情報
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSのGDPR対応
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
可視化、自動化、統制
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Infrastructure as Code:コーディング可能なインフラ
Code、Value、APIでインフラを定義
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Tag
ログ管理サービス
ログイン成功
ログイン成功ログイン失敗
権限を変更
構成管理サービス
サーバー1新規作成
ネットワーク1新規作成サーバー1に紐づけ
サーバー1に管理用のタグを作成 サーバー2新規作成
”ユーザーアクティビティ“ を切り口に時系列ベースでロギング
”クラウド上の構成要素 “ を切り口に時系列ベースでロギング
可視性、統制、サービス連携と自動化
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS CloudTrail
管理コンソール
AWS リソース AWS CloudTrailトラブルシューティング
S3 バケット アーカイブおよび監査
Amazon CloudWatch モニタ、アラーム、および対処
アクセスアクティビティのモニタリング – AWS CloudTrail
可視性、統制、サービス連携と自動化
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
GuardDuty を有効にする
コンソールを数回クリックするだけで、すべての AWS アカウントをモニタできます。追加のセキュリティソフトウェアまたはインフラストラクチャの導入や
管理は不要です。
継続的に分析する
AWS アカウントを広範囲に継続してモニタリングして、ネットワークおよびアカウントのアクティビティを規模に応じて自動
的に分析できます。
脅威をインテリジェントに検出する
GuardDuty は、AWS セキュリティの管理ルールセット、脅威に関するインテリジェンスと、サードパーティのインテリジェンスパートナー、アノマリ検出法、および ML を組み合わせて、悪意のある行動や不正な行動をインテリジェントに検出し
ます。
処置を行う
コンソールで詳細な検出事項を確認し、イベント管理システムまたはワークフローシステムへの統合を行い、また AWS Lambda で自動修復措置と予防措置を開始しま
す。
アカウント 1
アカウント 2
アカウント 3
CloudTrail イベント
VPC フローのログ
DNS のログ
Amazon GuardDuty
可視性、統制、サービス連携と自動化
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
CloudWatch Events
Amazon
CloudWatch
CloudWatch
Event
Lambda
Lambda
Function
AWS Lambda
GuardDuty
Amazon
GuardDuty
自動化された脅威への対応プロセス
脅威の検知 インシデント通知 インシデント対応
可視性、統制、サービス連携と自動化
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
FISC関連基準PCI DSS
ISO 27001
AWS FinTech リファレンス・アーキテクチャー
要求事項を整理、検討
要求事項を機能で実装
AWS FinTech リファレンス・テンプレート 日本版
AWS FinTech リファレンス・ガイド日本版
新サービスの追加や新しいガイドライン発行などに合わせて、継続して更新、対応予定
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSセキュリティサービス
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Identity & Access Management (IAM)
AWS Organizations
AWS Cognito
AWS Directory Service
AWS Single Sign-On
AWS CloudTrail
AWS Config
AmazonCloudWatch
Amazon GuardDuty
VPC Flow Logs
AWS IoT Device Defender
AWS Systems Manager
Amazon EC2Systems Manager
AWS Shield
AWS Web Application Firewall (WAF)
Amazon Inspector
Amazon Virtual Private Cloud (VPC)
AWS Key Management Service (KMS)
AWS CloudHSM
Amazon Macie
Certificate Manager
Server Side Encryption
AWS Config Rules
AWS Lambda
AWS Systems Manager
ID とアクセス管理 発見的対策AWS上の
インフラストラクチャー保護
インシデントレスポンス
データ保護
AWS セキュリティ・ソリューション
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Identity and Access Management (IAM) AWS サービスとリソースへのアクセスをセキュアに管理
AWS Organizations 複数の AWS アカウントをポリシーベースで管理
Amazon Cognitoウェブアプリケーションやモバイルアプリにユーザーのサインアップ、サインイン、アクセスを管理する機能を追加
AWS Directory Service AWS クラウド内のマネージド型 Microsoft Active Directory
AWS Single Sign-On複数の AWS アカウントとビジネスアプリケーションへのシングルサインオン (SSO) アクセスの一元管理
AWS のサービスやアクション、
リソースにアクセスできるユー
ザーの権限を定義、監査
Identity & accessmanagement
ID とアクセス管理
AWS セキュリティ・ソリューション
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS CloudTrailAWS アカウントのガバナンス、コンプライアンス、運用/リスク監査を有効
AWS ConfigAWS リソースの設定を評価、記録。コンプライアンス監査、セキュリティ分析、設定履歴、トラブルシューティングを
Amazon CloudWatchAWS クラウドリソースと AWS 上のアプリケーションをモニタリングし、メトリクスを収集し、ログファイルをモニタリングし、アラームを設定することでリソースの変更に自動的に反応
Amazon GuardDutyインテリジェントな脅威検出と継続的な監視で AWS アカウントとワークロードを保護
VPC Flow LogsVPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャできるようにする機能。フローログのデータは、Amazon CloudWatch Logs を使用して保存
AWS上に構築されたシステムに
関する事象を包括的に把握し、
脅威検知や具体的な対応可能
発見的対策
AWS セキュリティ・ソリューション
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon Systems ManagerAWS でご利用のインフラストラクチャを可視化し、制御。Systems Manager を使用すると、統合ユーザーインターフェイスで AWS のさまざまなサービスの運用データを確認、AWS リソース全体に関わる運用タスクを自動化
AWS Shieldマネージド型の分散サービス妨害 (DDoS) に対する保護サービスで、AWS で実行しているアプリケーションを保護
AWS Web Application Firewall (WAF)お客様のウェブアプリケーションを、アプリケーションの可用性、セキュリティの侵害、リソースの過剰な消費などに影響を与えかねない一般的なウェブの弱点から保護するウェブアプリケーションファイアウォール
Amazon InspectorAWS にデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるための、自動化されたセキュリティ評価サービス
Amazon Virtual Private Cloud (VPC)AWS クラウドの論理的に分離されたセクションをプロビジョニングし、お客様が定義した仮想ネットワーク内の AWS リソースを起動
AWS環境上に構築されたシス
テムのエッジ箇所の脅威に対
応可能
インフラストラクチャー保護
AWS セキュリティ・ソリューション
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Key Management Service (KMS)データの暗号化に使用する暗号化キーを簡単に作成および管理
AWS CloudHSMAWS クラウドのマネージド型のハードウェアセキュリティモジュール (HSM)
Amazon Macie機械学習によって AWS 内の機密データを自動的に検出、分類、保護するセキュリティサービス
AWS Certificate ManagerAWS の各種サービスで使用する Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書のプロビジョニング、管理し、簡単にデプロイを実行
Server Side EncryptionAWS KMSやお客様の暗号化キーを使ってフレキリブルにデータを暗号化するオプション
暗号化と暗号鍵管理、および
データの秘匿性を維持可能
データ保護
AWS セキュリティ・ソリューション
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Config Rulesルールを作成して、ルールの条件に違反しているリソースの確認やリソース全体が最適な設定に準拠しているかどうかを調べ、準拠していない特定のリソースを特定し、お客様のリソースの設定内容を自動的に評価。
AWS LambdaLambda を使用すれば、サーバーのプロビジョニングや管理なしでコードを実行可能。お客様はインシデントに自動的にレスポンスをするようプログラムをスケール可能
AWS Systems ManagerAWS Systems Manager では、インスタンスのパッチ、設定、およびカスタムポリシーに対するスキャンを実行し、セキュリティとコンプライアンスの維持に役立てることができます。パッチのベースラインの定義、アンチウイルス定義の更新、ファイアウォールポリシーの適用が可能です。また、大規模なサーバー群でも、各サーバーに手動でログインすることなく、リモートで管理できます。
インシデントに自動的に対応す
る、インシデント前後のシステ
ム状況の把握が可能
インシデントレスポンス
AWS セキュリティ・ソリューション
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
https://aws.amazon.com/jp/compliance/
https://aws.amazon.com/jp/security/
AWS Security and Compliance情報