15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由
- 1. 15分でわかるAWSクラウドで オンプレ以上のセキュリティを実現できる理由 2013年10月11日 アマゾン データ サービス ジャパン 株式会社 テクニカルエバンジェリスト 堀内康弘 (@horiuchi)
- 8. クラウドのセキュリティ クラウドのセキュリティのアドバンテージ • セキュリティへの⼤大規模な投資 • セキュリティへの継続的な投資 • セキュリティ専⾨門部隊の設置 • 24時間/365⽇日の対応 クラウドならではのセキュリティ • 物理理的な持ち出しが不不可能 情報漏漏洩の8割を占める内部犯⾏行行においても、データセンターの場所を隠匿匿した クラウドでは不不可
- 10. 徹底したAWSの物理理セキュリティ管理理 各DCは物理理的に隔離離、洪⽔水⾯面を考慮。地盤が安定している場所の選定 無停⽌止電源(UPS)、バックアップ電源、異異なる電源供給元の確保 冗⻑⾧長化されたTier-‐‑‒1ネットワークの接続 厳格に管理理された物理理的なアクセス • 多要素認証 • 必要に応じて定められたアクセス を都度度付与 全てのアクセスはログされる
- 11. AWSは多くの第三者認証を取得・維持 SSAE 16/ISAE 3402 • 外部委託作業における内部統制の監査を効率率率化する規定 • 体制、従業員ライフサイクル、物理理/論論理理セキュリティ、データ保存/可⽤用性、変更更管理理、インシデント発⽣生 時対応などの項⽬目についての認証 ISO27001 • 組織のISMS(情報セキュリティマネジメントシステム)の認証 PCI DSS Level1 Service Provider • Payment Card Industry Data Security Standard • カード業界のグローバルセキュリティ基準 • VISA,MC,Amex,JCB等が策定 FISMA Moderate • Federal Information Security Management Moderate • 連邦情報セキュリティマネジメント法 • 情報システムのセキュリティ強化、安全な運⽤用
- 12. FedRAMP -‐‑‒ ⽶米国政府のお墨付き The Federal Risk and Authorization Management Program クラウド製品やサービスに対するセキュリティー評価、認証、そして継続的なモニタリ ングを⾏行行う標準化されたアプローチを提供する政府全体のプログラム 「クラウドファースト」政策を実現するため、コンプライアンスを改善、最適化 • 三つの重要省省庁の協同プロジェクト • 連邦政府調達局 • 国⼟土安全保障省省 • 国防総省省 • NISTのクラウドの定義とSP 800-‐‑‒53に基づき、100%クラウドに焦点 • 認証者を認証するモデル • 第三者監査機関:3PAO ⼆二種類の重要なトラック • JAB P-‐‑‒ATOs • • The Joint Advisory Boardの共同認証 Agency ATOs • Agencyの認証 AWSは認証を取得した最初のメジャーなサービス提供者 • 保健福祉省省とのAgency ATO • 名⽬目上は⽶米国リージョンにしか適⽤用されませんが、全世界のリージョンを同じ基準で運⽤用 管理理しています
- 17. AWSはセキュリティを容易易に⾼高められる機能を提供 セキュリティグループ = ファイアーウォール Amazon VPC = プライベートクラウド AWS IAM = AWSリソースへのアクセス権限の管理理
- 18. セキュリティーグループ = ファイアーウォール インターネットからのトラフィック(Inbound)をブロックするだけでなく、EC2 からのトラフィック(Outbound)を制限する事も可能 Port 80 (HTTP) EC2 Instance Security Group Port 22 (SSH)
- 19. Amazon VPC = プライベートクラウド AWS上にプライベートネットワーク空間を構築 オンプレミスとのハイブリッドが簡単に実現 • 社内からVPN接続して閉域網でAWS利利⽤用 • AWSが社内インフラの⼀一部に⾒見見える § 社内システム、ソフトウェアの移⾏行行がより容易易に § 例例:業務システム、バッチ処理理、ファイルサーバ
- 22. AWS Identity and Access Management = AWSリソースへのアクセス権限の管理理 AWS操作をよりセキュアに⾏行行うための認証・認可の仕組み AWS利利⽤用者の認証と、アクセスポリシーを管理理 § AWS操作のためのグループ・ユーザーの作成が可能 § グループ、ユーザーごとに、実⾏行行出来る操作を規定できる § ユーザーごとに認証情報の設定が可能 開発チーム 運用チーム
- 26. 共有責任モデルで今まで難しかったことが可能に スマートフォン決済サービスを提供するス タートアップ Coiney様 インフラにAWSを採⽤用することで、リソー スの少ないスタートアップ企業が短期間で 業界標準の⾼高いセキュリティ環境を実現 責任分担することで、PCI DSSに完全準拠した環境を実現 C e as “PCI DSSへの準拠をはじめ、導⼊入や運⽤用のコスト⾯面及びサービスの スケーラビリティも考慮すると、AWSを使わない⼿手はありません。” ud St コイニ―株式会社 代表取締役 佐俣奈奈緒⼦子様 y
- 27. 業務システムをクラウドで稼動 本部基幹システム SAP・業務システム SAP BusinessSuite 本番環境 AWS上に全⾯面移⾏行行 ・売上・売掛⾦金金管理理 ・仕⼊入・買掛管理理 ・テナント管理理 ・管理理会計 従来のコストで2倍の 性能向上を実現 SAPのAWS移⾏行行を⽪皮 切切りに、様々な業務 システムの移⾏行行を実 施 2020年年まで保守期限があ るERP6.0に対してインフ ラリプレースは今回限りに したいためAWSを選択 導⼊入決定から6ヶ⽉月で稼 動。5年年で60%以上のコス ト削減を実現
- 30. 業務パッケージソフトもクラウドで実⾏行行 SFA: ソフトブレーン『eセールスマネージャー』 ⼈人事: ワークスアプリケーションズ『COMPANY』 会計: NTTデータ Biz∫『Biz∫会計』 Workflow:NTTデータイントラマート 『intra-‐‑‒mart ワークフロー』 DWH: SAP 『Sybase IQ』 BI: DTS 『データスタジオ』 ⽂文書管理理 :富⼠士ゼロックスの⽂文書管理理ソフト AWSクラウド SFA・⼈人事・会計・Workflow・ DWH・BI・ ⽂文書管理理など 既存のパッケージソフトを AWS上で動かすことでス ピードとコスト削減を実現
- 34. まとめ