安心してください、やってますよ。〜○○○も認めるセキュリティへの取り組み〜

株式会社D2C

ドコモ事業本部　技術開発部

金澤幸治

2015年11月27日(金)

2

D2C？

3

株式会社D2C

×

・デジタルマーケティング事業・ドコモ事業・海外事業

4

誰？

5

自己紹介

名前　：　金澤　幸治（かなざわ　こうじ）

所属　：　株式会社D2C　ドコモ事業本部 技術開発部

仕事　：広告配信システムの開発・運用を担当している部署のマネージャー　　　　　（10月まで、全社の情報セキュリティ・システム監査もみてました）

　　　　　　PMP(米国PMI)、認定スクラムマスター、認定スクラムプロダクトオーナー

好きなAWSのサービス：Amazon Machine Learning

趣味：読書、ダイエット 　個人情報：恐妻家　　　　　　　　　

kozykana

　

⇒この10年で10キロの増減を4,5回繰り返す・・・

　⇒　でも、自分の奥さんを「鬼嫁」と言われると怒る

6

今日のお話し

①はじめに②AWS導入までの話③セキュリティに対する取り組み④おまけ＆まとめ

7

①はじめに

8

①はじめに

いきなりですが

9

①はじめに

親会社の言うことは、絶対〜！！(笑)

10

①はじめに

○T○ド○モ

11

①はじめに

D2Cのシステムはド○モの基準に準拠しています

12

①はじめに

高品質！品質 　⇒SLA 　⇒納期 　⇒セキュリティ　⇒　通信会社と同等のセキュリティ！！

落としちゃダメ！

厳守！

13

①はじめに

要求が高い。。。

14

①はじめに

やっている方は面倒くさいが、なかなか出来ない経験を得られる。

大変だ

15

②AWS導入までの話

16

②AWS導入までの話

ちょっと、懐かしい話をします。

17

②AWS導入までの話

あれは今からまだ7〜8年以上前・・・・・・

18

②AWS導入までの話

「オンプレ」や「クラウド」なんて言葉もない時代

19

②AWS導入までの話

携帯電話と言えば、まだ「ガラケー」

20

②AWS導入までの話

余談：フューチャーフォン　　　　フィーチャーフォン

21

②AWS導入までの話

インターネット

ケータイインターネット≒

22

②AWS導入までの話

キャリア網

通信キャリアキャリアGateWay

携帯端末 コンテンツ提供企業

専用ネットワーク

インターネット

23

②AWS導入までの話

・通信はキャリア網で安全・JavaScriptは使えない・トラフィックも予測可能（かつ少ない）

24

②AWS導入までの話

かなり古いOS／ミドルウェアを使っていても

⇒なんとかなんじゃね？

25

②AWS導入までの話

不自由だけど安全

26

②AWS導入までの話

そんな時代でした

27

②AWS導入までの話

時は流れ・・・・・・

28

②AWS導入までの話

携帯電話と言えば「スマホ」

29

②AWS導入までの話

・通信はインターネット回線・PCと同じScriptが使えてしまう・トラフィックが予測不可能

30

②AWS導入までの話

自由だけどセキュリティに注意を払わなければならない

31

②AWS導入までの話

クラウドの登場！

32

②AWS導入までの話

でも、

33

②AWS導入までの話

クラウドサービスなんてもってのほか親会社も同じ方針

34

②AWS導入までの話

「情報資産はデータセンターに格納したサーバ上で管理しなければならない。」

35

②AWS導入までの話

クラウドって、大丈夫なの？

36

②AWS導入までの話

なんか、クラウドは使ってはいけない「暗黙の了解」縛り

37

②AWS導入までの話

・「パトリオット法」問題・性能が良くない・セキュリティに問題がある

なんて都市伝説を自分に都合のいいように解釈して

自分を慰めてました。。。

38

②AWS導入までの話

転機は、忘れもしない2013年

39

②AWS導入までの話

2013 re:Invent

40

②AWS導入までの話

41

②AWS導入までの話

使えるなら

42

②AWS導入までの話

まずは使ってみる

43

②AWS導入までの話

最初は遠隔地バックアップのリプレイスで利用

44

②AWS導入までの話

AWS cloud corporate data center virtual private cloud

45

②AWS導入までの話

これで大きな効果を得る（コスト３０分の１に減）

46

②AWS導入までの話

AWS導入の際に背中を押してくれたポイント

・第３者認証を数多く取得している／　FBIも使っている・導入事例が豊富・セキュリティ要件を満たせる

47

②AWS導入までの話

48

②AWS導入までの話

自社で賄おうとしても無理！！

49

②AWS導入までの話

AWS導入の際に背中を押してくれたポイント

・第３者認証を数多く取得している／　FBIも使っている・導入事例が豊富・セキュリティ要件を満たせる・親会社（ド○モ）が使っている

50

2015年10月にリリースした広告配信システムでAWSを全面採用！

②AWS導入までの話

51

③セキュリティに対する取り組み

52

③セキュリティに対する取り組み

サービスリリース前はセキュリティチェック必須

53

③セキュリティに対する取り組み

チェック項目は、250以上！

54

③セキュリティに対する取り組み

一例を

・権限管理、アカウント管理、PC管理ポリシー

【クラウド利用の際は】・第３者認証を取得していること・撤退時の条件が確認できているのか？・（クラウドサービスは）安全な場所のデータセンター を使っているのか？

55

③セキュリティに対する取り組み

チェックリスト以外にも、ネットワーク＆アプリケーションの

脆弱性診断試験

56

③セキュリティに対する取り組み

脆弱性診断試験時はAWSに伝えてください

57

プライバシーマークとISMS(ISO27001)も取得しているので、

それらに準拠した独自のガイドライン

③セキュリティに対する取り組み

58

③セキュリティに対する取り組み

・アクセス制御ルール・ログの保存期間・業務委託先のチェック・情報資産管理と漏洩時のリスク

をチェック

59

③セキュリティに対する取り組み

目的はなんだっけ？

60

③セキュリティに対する取り組み

AWSにおけるセキュリティの取り組み

61

「AWS」「セキュリティ」といえば、共有責任モデル

③セキュリティに対する取り組み

62

・仮想インフラ・ネットワークインフラ・物理インフラ・物理セキュリティ・ファシリティ

・アカウント管理・セキュリティグループ・アプリケーション・ネットワーク設定・OS

共有責任モデル

ユーザー

AWS

③セキュリティに対する取り組み

63

③セキュリティに対する取り組み

OS以上は自分たちで守る

64

③セキュリティに対する取り組み

・AWSのアカウント管理を行う機能

・必要なユーザーに必要な権限を与え、 必要なアクセスのみを許可できる

・権限の設定は適切か、見直しがなされているのか？ 定期的な確認が必要

・ルートアカウントと呼ばれるAWSアカウントではなく、 IAMを利用

IAM(Identity and Access Management)

65

③セキュリティに対する取り組み

・AWSのAPIコールのログを管理することが出来る

・どのアカウントがいつ何を行ったかが、記録可能　⇒問題発生時の原因追跡、再発予防につなげる

・IAMやS3バケットのポリシーを利用して　ログファイルのアクセス制御も可能

・ログは半永続的に保存

Cloudtrail

66

③セキュリティに対する取り組み

VPC(Virtual Private Cloud)/DirectConnect

・グローバルIPを持たずインターネットと通信をしない　セキュアな環境を作ることが可能

・専用線（Direct Connect）接続を利用することで、　既存の物理的なデータセンターと同等の　セキュリティ環境を整えることが可能

・使ってみるとセキュリティよりも、回線速度が◎

67

③セキュリティに対する取り組み

セキュリティグループ　・仮想ファイアーウォール　　⇒不要なPortやアクセスを閉じる

MFA(Multi-Factor Authentication)　・多要素認証

暗号化　・通信、データ

その他

68

③セキュリティに対する取り組み

セキュリティは運用も大事

69

③セキュリティに対する取り組み

・緊急の脆弱性対応・年次の点検

も実施

70

③セキュリティに対する取り組み

「完全に防ぐ」という観点も必要だが、「被害を最小限にする」観点も必要

71

おまけ

72

おまけ

re:Inventに行けなかった人間が、re:Inventで発表されたセキュリティ関連サービスを試してみた件

少し

73

④おまけ re:Invent2015セキュリティ関連

1.AWS WAF

74

④おまけ re:Invent2015セキュリティ関連

・WAFとは？　⇒Web Application Firewallの略、　　　Webアプリケーションへの攻撃を防ぐための機能

・CloudFrontと連動

・XSS/SQLインジェクション対策、特定UserAgent・　IPアドレスからの攻撃を防御

・あくまでWAFこれだけでは不十分

mobile client CloudFront

Web App Firewall

EC2

75

２．Amazon Inspector

④おまけ re:Invent2015セキュリティ関連

76

④おまけ re:Invent2015セキュリティ関連

・Amazon Inspectorとは　⇒自動セキュリティ診断サービス

・一般的な脆弱性、OSやアプリケーションにおける　ベストプラクティスも用意

・Agentのインストール必要

・脆弱診断試験時のAWSへの事前連絡必要なし

・要望：AWSによるレポート

77

３．AWS Config Rules

④おまけ re:Invent2015セキュリティ関連

78

④おまけ re:Invent2015セキュリティ関連

・AWS Config Rulesとは　⇒AWS configの拡張機能、今までのAWSリソース　　設定値の記録・確認だけではなく、　　ルールに基づく検査が可能に

・監査、コンプライアンスルールに則った運用が可能に

・AWSで決められたマネージドルールの他にLambdaを　使ったカスタムルールも設定可能

・設定ミスも防げる(IAMにも対応予定)

79

④おまけ re:Invent2015セキュリティ関連

色々なサービスが出てくるので、どれが自分たちに合うのか検証・検討が必要

80

④おまけ re:Invent2015セキュリティ関連

セキュリティ対策は重要だが、それ自体が売上に直結するわけではない

81

④おまけ re:Invent2015セキュリティ関連

でも

82

④おまけ re:Invent2015セキュリティ関連

やっぱ、re:Invent行きたかったな〜

83

まとめ

84

④まとめ

・AWS導入の際に一番の後ろ盾は「○○○も使っている」

・AWS上で適切な対策をすれば○○○向けの　セキュリティ要件も満たすことができる

・セキュリティ対策は、　目的を持って、やりっ放しにしない、どこまでやるか見極める

・re:Invent2015でリリースされた、セキュリティ関連サービスは　WAF、Inspector、Config Rules

・来年こそはre:Invent行きた〜い！

85

ありがとうございました！