JAWS-UG 初心者支部_20151127
-
Upload
koji-kanazawa -
Category
Technology
-
view
1.958 -
download
1
Transcript of JAWS-UG 初心者支部_20151127
安心してください、やってますよ。〜○○○も認めるセキュリティへの取り組み〜
株式会社D2C
ドコモ事業本部 技術開発部
金澤幸治
2015年11月27日(金)
2
D2C?
3
株式会社D2C
×
・デジタルマーケティング事業・ドコモ事業・海外事業
4
誰?
5
自己紹介
名前 : 金澤 幸治(かなざわ こうじ)
所属 : 株式会社D2C ドコモ事業本部 技術開発部
仕事 :広告配信システムの開発・運用を担当している部署のマネージャー (10月まで、全社の情報セキュリティ・システム監査もみてました)
PMP(米国PMI)、認定スクラムマスター、認定スクラムプロダクトオーナー
好きなAWSのサービス:Amazon Machine Learning
趣味:読書、ダイエット 個人情報:恐妻家
kozykana
⇒この10年で10キロの増減を4,5回繰り返す・・・
⇒ でも、自分の奥さんを「鬼嫁」と言われると怒る
6
今日のお話し
①はじめに②AWS導入までの話③セキュリティに対する取り組み④おまけ&まとめ
7
①はじめに
8
①はじめに
いきなりですが
9
①はじめに
親会社の言うことは、絶対〜!!(笑)
10
①はじめに
○T○ド○モ
11
①はじめに
D2Cのシステムはド○モの基準に準拠しています
12
①はじめに
高品質!品質 ⇒SLA ⇒納期 ⇒セキュリティ ⇒ 通信会社と同等のセキュリティ!!
落としちゃダメ!
厳守!
13
①はじめに
要求が高い。。。
14
①はじめに
やっている方は面倒くさいが、なかなか出来ない経験を得られる。
大変だ
15
②AWS導入までの話
16
②AWS導入までの話
ちょっと、懐かしい話をします。
17
②AWS導入までの話
あれは今からまだ7〜8年以上前・・・・・・
18
②AWS導入までの話
「オンプレ」や「クラウド」なんて言葉もない時代
19
②AWS導入までの話
携帯電話と言えば、まだ「ガラケー」
20
②AWS導入までの話
余談:フューチャーフォン フィーチャーフォン
21
②AWS導入までの話
インターネット
ケータイインターネット≒
22
②AWS導入までの話
キャリア網
通信キャリアキャリアGateWay
携帯端末 コンテンツ提供企業
専用ネットワーク
インターネット
23
②AWS導入までの話
・通信はキャリア網で安全・JavaScriptは使えない・トラフィックも予測可能(かつ少ない)
24
②AWS導入までの話
かなり古いOS/ミドルウェアを使っていても
⇒なんとかなんじゃね?
25
②AWS導入までの話
不自由だけど安全
26
②AWS導入までの話
そんな時代でした
27
②AWS導入までの話
時は流れ・・・・・・
28
②AWS導入までの話
携帯電話と言えば「スマホ」
29
②AWS導入までの話
・通信はインターネット回線・PCと同じScriptが使えてしまう・トラフィックが予測不可能
30
②AWS導入までの話
自由だけどセキュリティに注意を払わなければならない
31
②AWS導入までの話
クラウドの登場!
32
②AWS導入までの話
でも、
33
②AWS導入までの話
クラウドサービスなんてもってのほか親会社も同じ方針
34
②AWS導入までの話
「情報資産はデータセンターに格納したサーバ上で管理しなければならない。」
35
②AWS導入までの話
クラウドって、大丈夫なの?
36
②AWS導入までの話
なんか、クラウドは使ってはいけない「暗黙の了解」縛り
37
②AWS導入までの話
・「パトリオット法」問題・性能が良くない・セキュリティに問題がある
なんて都市伝説を自分に都合のいいように解釈して
自分を慰めてました。。。
38
②AWS導入までの話
転機は、忘れもしない2013年
39
②AWS導入までの話
2013 re:Invent
40
②AWS導入までの話
41
②AWS導入までの話
使えるなら
42
②AWS導入までの話
まずは使ってみる
43
②AWS導入までの話
最初は遠隔地バックアップのリプレイスで利用
44
②AWS導入までの話
AWS cloud corporate data center virtual private cloud
45
②AWS導入までの話
これで大きな効果を得る(コスト30分の1に減)
46
②AWS導入までの話
AWS導入の際に背中を押してくれたポイント
・第3者認証を数多く取得している/ FBIも使っている・導入事例が豊富・セキュリティ要件を満たせる
47
②AWS導入までの話
48
②AWS導入までの話
自社で賄おうとしても無理!!
49
②AWS導入までの話
AWS導入の際に背中を押してくれたポイント
・第3者認証を数多く取得している/ FBIも使っている・導入事例が豊富・セキュリティ要件を満たせる・親会社(ド○モ)が使っている
50
2015年10月にリリースした広告配信システムでAWSを全面採用!
②AWS導入までの話
51
③セキュリティに対する取り組み
52
③セキュリティに対する取り組み
サービスリリース前はセキュリティチェック必須
53
③セキュリティに対する取り組み
チェック項目は、250以上!
54
③セキュリティに対する取り組み
一例を
・権限管理、アカウント管理、PC管理ポリシー
【クラウド利用の際は】・第3者認証を取得していること・撤退時の条件が確認できているのか?・(クラウドサービスは)安全な場所のデータセンター を使っているのか?
55
③セキュリティに対する取り組み
チェックリスト以外にも、ネットワーク&アプリケーションの
脆弱性診断試験
56
③セキュリティに対する取り組み
脆弱性診断試験時はAWSに伝えてください
57
プライバシーマークとISMS(ISO27001)も取得しているので、
それらに準拠した独自のガイドライン
③セキュリティに対する取り組み
58
③セキュリティに対する取り組み
・アクセス制御ルール・ログの保存期間・業務委託先のチェック・情報資産管理と漏洩時のリスク
をチェック
59
③セキュリティに対する取り組み
目的はなんだっけ?
60
③セキュリティに対する取り組み
AWSにおけるセキュリティの取り組み
61
「AWS」「セキュリティ」といえば、共有責任モデル
③セキュリティに対する取り組み
62
・仮想インフラ・ネットワークインフラ・物理インフラ・物理セキュリティ・ファシリティ
・アカウント管理・セキュリティグループ・アプリケーション・ネットワーク設定・OS
共有責任モデル
ユーザー
AWS
③セキュリティに対する取り組み
63
③セキュリティに対する取り組み
OS以上は自分たちで守る
64
③セキュリティに対する取り組み
・AWSのアカウント管理を行う機能
・必要なユーザーに必要な権限を与え、 必要なアクセスのみを許可できる
・権限の設定は適切か、見直しがなされているのか? 定期的な確認が必要
・ルートアカウントと呼ばれるAWSアカウントではなく、 IAMを利用
IAM(Identity and Access Management)
65
③セキュリティに対する取り組み
・AWSのAPIコールのログを管理することが出来る
・どのアカウントがいつ何を行ったかが、記録可能 ⇒問題発生時の原因追跡、再発予防につなげる
・IAMやS3バケットのポリシーを利用して ログファイルのアクセス制御も可能
・ログは半永続的に保存
Cloudtrail
66
③セキュリティに対する取り組み
VPC(Virtual Private Cloud)/DirectConnect
・グローバルIPを持たずインターネットと通信をしない セキュアな環境を作ることが可能
・専用線(Direct Connect)接続を利用することで、 既存の物理的なデータセンターと同等の セキュリティ環境を整えることが可能
・使ってみるとセキュリティよりも、回線速度が◎
67
③セキュリティに対する取り組み
セキュリティグループ ・仮想ファイアーウォール ⇒不要なPortやアクセスを閉じる
MFA(Multi-Factor Authentication) ・多要素認証
暗号化 ・通信、データ
その他
68
③セキュリティに対する取り組み
セキュリティは運用も大事
69
③セキュリティに対する取り組み
・緊急の脆弱性対応・年次の点検
も実施
70
③セキュリティに対する取り組み
「完全に防ぐ」という観点も必要だが、「被害を最小限にする」観点も必要
71
おまけ
72
おまけ
re:Inventに行けなかった人間が、re:Inventで発表されたセキュリティ関連サービスを試してみた件
少し
73
④おまけ re:Invent2015セキュリティ関連
1.AWS WAF
74
④おまけ re:Invent2015セキュリティ関連
・WAFとは? ⇒Web Application Firewallの略、 Webアプリケーションへの攻撃を防ぐための機能
・CloudFrontと連動
・XSS/SQLインジェクション対策、特定UserAgent・ IPアドレスからの攻撃を防御
・あくまでWAFこれだけでは不十分
mobile client CloudFront
Web App Firewall
EC2
75
2.Amazon Inspector
④おまけ re:Invent2015セキュリティ関連
76
④おまけ re:Invent2015セキュリティ関連
・Amazon Inspectorとは ⇒自動セキュリティ診断サービス
・一般的な脆弱性、OSやアプリケーションにおける ベストプラクティスも用意
・Agentのインストール必要
・脆弱診断試験時のAWSへの事前連絡必要なし
・要望:AWSによるレポート
77
3.AWS Config Rules
④おまけ re:Invent2015セキュリティ関連
78
④おまけ re:Invent2015セキュリティ関連
・AWS Config Rulesとは ⇒AWS configの拡張機能、今までのAWSリソース 設定値の記録・確認だけではなく、 ルールに基づく検査が可能に
・監査、コンプライアンスルールに則った運用が可能に
・AWSで決められたマネージドルールの他にLambdaを 使ったカスタムルールも設定可能
・設定ミスも防げる(IAMにも対応予定)
79
④おまけ re:Invent2015セキュリティ関連
色々なサービスが出てくるので、どれが自分たちに合うのか検証・検討が必要
80
④おまけ re:Invent2015セキュリティ関連
セキュリティ対策は重要だが、それ自体が売上に直結するわけではない
81
④おまけ re:Invent2015セキュリティ関連
でも
82
④おまけ re:Invent2015セキュリティ関連
やっぱ、re:Invent行きたかったな〜
83
まとめ
84
④まとめ
・AWS導入の際に一番の後ろ盾は「○○○も使っている」
・AWS上で適切な対策をすれば○○○向けの セキュリティ要件も満たすことができる
・セキュリティ対策は、 目的を持って、やりっ放しにしない、どこまでやるか見極める
・re:Invent2015でリリースされた、セキュリティ関連サービスは WAF、Inspector、Config Rules
・来年こそはre:Invent行きた〜い!
85
ありがとうございました!