AWSを題材に

1. セキュリティを捉えてクラウドを使うため
のポイント 荒木靖宏
アマゾンデータサービスジャパン
ソリューションアーキテクト
Twitter: @ar1

2. おことわり
本発表はAmazon Web Services(AWS)の宣伝を意図したも
のではありません。
ただし、本発表のテーマをお話しする上で出典を明らかにすること
で、理解が深まると考え、AWSにおけるサービスを明示して解説
します。

3. クラウドのポジション
技術の親和性
アプリ アプリ アプリケーショ
ケーショ ケーショ アプリケーション ン
ン ン
SaaS
ﾐﾄﾞﾙｳｪｱ ﾐﾄﾞﾙｳｪｱ ﾐﾄﾞﾙｳｪｱ PaaS
仮想
OS 仮想OS
OS
・・・・・・ ・・・・・・
既存社内環境 / IaaS PaaS / SaaS
データセンター
従量制課金と拡張性

4. 責任共有モデル
http://star.ap.teacup.com/kazponpo/33.html

5. 本日のAgenda
責任共有モデル
セキュリティ設計と認証
物理的セキュリティ
データのバックアップ
アカウント管理
バーチャルマシンのセキュリティ
ネットワークセキュリティ

6. 責任共有モデル(Shared Responsibility Model)
責任共有モデルで、高い柔軟性と高いセキュリティ
を効率よく達成する
 クラウド事業者は、セキュアなリソース(ミドルウェア、ホス
トOS、仮想レイヤー、物理環境)を責任をもって提供する
 お客様は、ゲストOS、ミドルウェア、アプリケーションを責
任もって管理する

7. IaaS(AWS)の責任共有モデル
Customer 1 Customer 2 … Customer n
顧客が管理 Hypervisor
Virtual Interfaces
Customer 1
Security Groups
Customer 2
Security Groups … Customer n
Security Groups
Firewall
AWSが管理
Physical Interfaces

8. PaaSでの責任共有モデル
Customer 1 Customer 2 … Customer n
Business Logic
顧客が管理
Hypervisor
Virtual Interfaces
Customer 1
Security Groups
Customer 2
Security Groups … Customer n
Security Groups
Firewall
事業者が管理
Physical Interfaces

9. 顧客は「何に使うのか」を
SaaSでの責任共有モデル 管理する
Service 1 Service 2 … Service n
Business Logic
Hypervisor
Virtual Interfaces
Customer 1
Security Groups
Customer 2
Security Groups … Customer n
Security Groups
Firewall
事業者が管理
Physical Interfaces

10. クラウド事業者の責任／努力

11. AWSのセキュリティデザイン＆認証
セキュリティのベストプラクティス適用
 設計レビュー、脅威モデリング、リスク査定、静的コード分析、侵
入テスト
認証
 SAS70 Type II
 ISO 27001
 PCI DSS Provider Level 1
 FISMA-Low level
AWSを使ったお客様による取得実績
 医療用認証HIPAA
 ASP・SaaS安全・信頼性に係る情報開示認定制度

12. 物理的セキュリティ
Amazonは世界最大級のEコマースをセキュアに運営してき
ており、そのノウハウをAmazonクラウドに利用
厳格に管理された拠点
 侵入検出システム、監視カメラ
 物理的アクセスを厳格に管理
 多重認証を最低2回以上実施
従業員のアクセスレベルの管理
 必要に応じたときだけ最低限の権利を与える
(least privilege)
全てのアクセスのログがとられ、
レビューされる

13. データのバックアップ
Amazon S3、Amazon SimpleDBのデータは複数の物理拠
点に冗長的に保存される
 DHT技術
 Amazon S3、Amazon SimpleDBは、自動的に、複数の物理拠点
(複数のAZ)で、冗長的にバックアップをとる
 99.999999999%(11桁)の耐久性を提供
EBSは個別アベイラビリティーゾーンに限って冗長的に保存
される
 適宜、EBSのスナップショットをとる(S3上)
既存のバックアップと同じ考えだが、より高い利便性、可用
性、スループット

14. ストレージの破棄
データ消去基準
 DoD 5220.22-M (“National Industrial Security Program
Operating Manual”)
 NIST 800-88 (“Guidelines for Media Sanitization”)
物理的に故障した場合は、消磁および破壊

15. 障害分離のための、物理的な分散
US East Region (N. VA) EU Region (IRE)
AZの中も複数の
Availability Availability
物理拠点が Zone A Zone B
Availability Availability
使用されている Zone A Zone B
Availability
Zone C
US West Region APAC Region APAC Region
(N. CA) (Singapore) (Tokyo)
Availability Availability Availability Availability Availability Availability
Zone A Zone B Zone A Zone B Zone A Zone B
必要に応じて、顧客側で冗長構成可能

16. アカウントのセキュリティ
多要素認証デバイス
オプション
アカウントのキーローテー
ション
複数のキーペア、認証をサ
ポート

17. IAM – AWS Identity and Access
Management
アカウント内に、複数ユーザー、グ
ループを作成し、適切なアクセス管
理が可能
個別ユーザーが下記のセキュリティ
要素をもてる
 アクセスキー
 ログイン/パスワード
 MFAデバイスオプション
個別ユーザー、グループ毎にポリ
シーステートメントを作成
 リソース、APIへのアクセスを適切に
制限

18. Amazon EC2のセキュリティ
ゲストOS
 顧客がルートレベルで管理する
 AWSのアドミニストレーターでもログインできない
 ユーザーが独自にキーペアを作成可能
ホストOS
 全てのアクセスのログを取得し、監査する
 必要なときにだけ最低限のレベルでAWS管理者にアクセス権を与え
る
 ホストOSへのアクセスは必ずSSHが使われる
Statefull Firewall
 デフォルトで全てのインバウンドをはじく
 顧客が必要なポートだけを空ける
暗号化されたAPIコール
 X.509 証明書もしくは、AWSアカウントのキーペアが必要

19. 仮想メモリとローカルディスク
• Amazonのディスク管理システムは、他のインスタンスの仮想メ
モリ＆ディスクを読めないようにしている(特許技術)
• もちろん、顧客は独自に、データを暗号化することも可能
Amazon EC2
Instances
Encrypted
File System Amazon EC2
Instance
Encrypted
Swap File

20. Amazon EC2 インスタンスの分離
Customer 1 Customer 2 … Customer n
Hypervisor
Virtual Interfaces
Customer 1
Security Groups
Customer 2
Security Groups … Customer n
Security Groups
Firewall
Physical Interfaces

21. ネットワークの分離
• インバウンドは、セキュリティグループで、使用するプロトコル/
ポートレベルを明確に指定
• Iptablesを使ってさらに、インバウンド/アウトバウンドのユーザー独
自の管理が可能
Inbound Traffic
Amazon EC2
セキュリティグループ
Instances
iptables
Encrypted
File System Amazon EC2
Instance
Encrypted
Swap File

22. DDOSとその対策
AWSではDDOSの検出と対応をする専任のスタッフを持つ
各拠点に複数のアクセスポイントを持つ
発信元にならないようにする
 EC2ではホストのファイヤウォールで送信元IPアドレスの偽装が不可
能
カスタマは、IDS/IPSを動作させることができる
 セキュリティグループによる分離
 Snort:オープンソースで人気のある実装
 商用（SourceFire, Trend Micro, Symantecなど）もあり

23. ネットワーク上の脅威に対する対策
MITM
 AWS APIは全てSSL保護
 EC2へはSSH接続
ポートスキャニング
 セキュリティグループによりデフォルトで全てのポートは閉じられて
いる
 検出された場合、EC2を停止させる
 許可のないポートスキャンは利用ポリシーに反する
パケットスニッフィング
 ハイパーバイザのレベルで禁止
 プロミスキャスモード(無差別受信)でも、異なるインスタンスの通信
傍受はできない
 物理的に同一ホストの同一顧客にインスタンスが存在しても、互い
のトラフィックは傍受できない
 もちろん、一般的に、重要なトラフィックは暗号化すべき

24. セキュリティは、AWSにおいて最重要項目
エグゼクティブのコミット
 半年に一度の戦略改定
従業員へのガバナンス
 ハイアリングプロセス、セキュリティガイド、教育
セキュリティデザインに長年の経験
 Amazon.comで培った物理データセンター、ハードウェア、ネットワー
クの知識を適用
 顧客の要望に応え、さらに改善を継続
SAS-70 Type II、 ISO 27001、PCI DSS Provider Level1取得
高いセキュリティという市場の評判
 AWSを調査したお客様はセキュリティの高さに驚かれる
 お客様がAWSを適用することで、セキュリティを向上するケースも多
い

25. クラウドをつかってセキュアにサービス構築す
るために
共有責任を理解する
 プロバイダは自分にできる範囲を定義している
 自分ができる範囲に注力する
セキュリティ面での構築技術はこなれてきている
 考えは多々あるがオープンソースによるコモディティ化が進展
運用
 「どのように」「継続して」日々運用するか

26. Question?

27. backup

28. AWS Cloud Security Model Overview
Shared Responsibility Model
Certifications & Accreditations
Customer/SI Partner/ISV controls
Sarbanes-Oxley (SOX) compliance guest OS-level security, including
ISO 27001 Certification patching and maintenance
PCI DSS Level I Certification Application level security, including
HIPAA compliant architecture password and role based access
SAS 70 Type II Audit Host-based firewalls, including
FISMA Low ATO Intrusion Detection/Prevention
 Pursuing FISMA Moderate ATO Systems
 Pursuing DIACAP MAC II I -Sensitive Encryption/Decryption of data.
 FedRAMP Hardware Security Modules
Service Health Dashboard Separation of Access
Physical Security VM Security Network Security
Multi-level, multi-factor controlled Multi-factor access to Amazon Instance firewalls can be configured
access environment Account in security groups;
Controlled, need-based access for Instance Isolation The traffic may be restricted by
AWS employees (least privilege) • Customer-controlled firewall at protocol, by service port, as well as
Management Plane Administrative Access the hypervisor level by source IP address (individual IP
• Neighboring instances or Classless Inter-Domain Routing
Multi-factor, controlled, need-based
prevented access (CIDR) block).
access to administrative host
• Virtualized disk management Virtual Private Cloud (VPC)
All access logged, monitored,
layer ensure only account provides IPSec VPN access from
reviewed
owners can access storage existing enterprise data center to a
AWS Administrators DO NOT have set of logically isolated AWS
access inside a customer’s VMs, disks (EBS)
resources
including applications and data Support for SSL end point
encryption for API calls

29. AWS Certifications
Sarbanes-Oxley (SOX) compliant
SAS70 Type II audit
 Goal: validate efficacy and efficiency of internal controls
 SAS 70 continues as a compliment to ISO 27001
ISO 27001 certification in all regions
 Finalized in November 2010
 Standard is licensed content –purchase a copy from ISO
 Copy of report is available to you
National Institute of Standards & Technology (NIST)
Certification in progress
Customers have deployed HIPAA-compliant healthcare
applications now (whitepaper at aws.amazon.com)

30. SAS70 Type II
Amazon Web Services publishes a Statement on Auditing
Standards No. 70 (SAS 70) Type II Audit report every six
months and maintains a favorable unbiased and
unqualified opinion from its independent auditors. AWS
identifies those controls relating to the operational
performance and security to safeguard customer data.
Through the SAS 70 report, the auditors evaluate the design
of the stated control objectives and control activities and
attest to the effectiveness of their design. They also audit the
operation of those controls, attesting that the controls are
operating as designed. This report is available to customers
under NDA who require a SAS70 Type II to meet their own
audit and compliance needs.

31. ISO 27001
AWS has achieved ISO 27001 certification of our
Information Security Management System (ISMS)
covering AWS infrastructure, data centers in all
regions worldwide, and services including Amazon
Elastic Compute Cloud (Amazon EC2), Amazon Simple
Storage Service (Amazon S3) and Amazon Virtual
Private Cloud (Amazon VPC). We have established a
formal program to maintain the certification.

32. PCI DSS Level 1
AWS has been successfully validated as a Level 1
service provider under the most recently published
Payment Card Industry (PCI) Data Security Standard
(DSS). Merchants and other service providers can run
their applications on our PCI-compliant technology
infrastructure for storing, processing, and transmitting
credit card information in the cloud. Amazon Elastic
Compute Cloud (EC2), Amazon Simple Storage
Service (S3), Amazon Elastic Block Storage (EBS) and
Amazon Virtual Private Cloud (VPC) are included in
the PCI compliance validation.

33. AWS Security Resources
http://aws.amazon.com/security/
Security Whitepaper
Risk and Compliance Whitepaper
Latest Versions May 2011
Regularly Updated
Feedback is welcome