20151030_オープンデータとセキュリティonAWS

1. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.1
オープンデータとセキュリティ on AWS
アマゾン データ サービス ジャパン株式会社
⾼高岡 将
[講演5 特別講演]
2015年年１0⽉月30⽇日
09:15-‐‑‒10:15

2. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.2
クラウドサービスにおける
セキュリティとコンプライアンス
• AWSのセキュリティと責任共有モデル
• AWSのコンプライアンス
• 諸外国のクラウド利利⽤用動向
• AWSインフラストラクチャーのセキュリティ
• AWSサービスのセキュリティ
• AWSで組み⽴立立てるセキュリティアプローチ
• AWS Security Reference Architecture

3. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.3
オープンデータとAWS（実例例）

4. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.4
1. Linked Open Data(LOD)チャレンジにて滋賀県琵琶湖
花⽕火⼤大会アプリケーション（AWS（Virtuoso AMI）利利⽤用）
びわこ花⽕火⼤大会2014
告知⽂文と作成されたアプリケーション
http://opendata.shiga.jp/hanabi2014_̲app/
Virtuosoで作られたSPARQLエンドポイント(Closed)
http://lod.opendata.shiga.jp/hanabi2014/sparql/
WordPressとマッシュアップさせた例例（Slideshare）
http://www.slideshare.net/HideOkamoto/ss-‐‑‒38514374
びわこ花⽕火⼤大会2015
告知⽂文と作成されたアプリケーション
http://opendata.shiga.jp/hanabi2015_̲app/
Virtuosoで作られたSPARQLエンドポイント
http://lod.opendata.shiga.jp/hanabi2015/sparql/

5. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.5
1. Linked Open Data(LOD)チャレンジにて滋賀県琵琶湖
花⽕火⼤大会アプリケーション（AWS（Virtuoso AMI）利利⽤用）
http://www.slideshare.net/HideOkamoto/ss-‐‑‒38514374

6. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.6
http://www.slideshare.net/HideOkamoto/ss-‐‑‒38514374
1. Linked Open Data(LOD)チャレンジにて滋賀県琵琶湖
花⽕火⼤大会アプリケーション（AWS（Virtuoso AMI）利利⽤用）

7. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.7
http://www.slideshare.net/HideOkamoto/ss-‐‑‒38514374
1. Linked Open Data(LOD)チャレンジにて滋賀県琵琶湖
花⽕火⼤大会アプリケーション（AWS（Virtuoso AMI）利利⽤用）

8. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.8
2. ⼤大阪市 警察署 x 犯罪発⽣生
〜～⼤大阪市の警察署・交番と犯罪発⽣生地点の重ね合わせ〜～（AWS（Virtuoso AMI）利利⽤用）
http://uedayou.net/osakacrimemap/
・LODチャレンジJapan2014 ビジュアライゼーション部⾨門 優秀賞
・⼤大阪から考えるCivicTech アプリコンテスト アプリ・Webサービス部
⾨門 特別賞（オープンデータ活⽤用賞） 受賞作品
ATRの上⽥田様による作品

9. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.9
2. ⼤大阪市から提供されるオープンデータ
http://www.city.osaka.lg.jp/toshikeikaku/page/0000250227.html

10. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.10
2. ⼤大阪市 警察署 x 犯罪発⽣生
〜～⼤大阪市の警察署・交番と犯罪発⽣生地点の重ね合わせ〜～（AWS（Virtuoso AMI）利利⽤用）

11. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.11
2. ⼤大阪市 警察署 x 犯罪発⽣生
〜～⼤大阪市の警察署・交番と犯罪発⽣生地点の重ね合わせ〜～（AWS（Virtuoso AMI）利利⽤用）

12. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.12

13. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.13

14. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.14
3.先進的事例例 LCMS LCMS Ver0.2(構想段階)
・WordPressデータが格納されたRDSをD2R Server経由でRDF化
・Lambda + API GatewayにてSPARQLをマッピング、フロントか
ら扱いやすく変換
・データ⾃自体はWordPressが保持しているため、通常のWordPress
サイトにも展開可能。 SPARQLによる複数WordPerssのマッシュ
アップなど期待
＊WordPress固有のテーブル形式のため、D2R ServerでのRDF変換フォーマット作
成と横展開が容易易

15. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.15
3.先進的事例例 LCMS LCMS Ver0.2(構想段階)

16. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.16
Buoy simulation
http://marinexplore.org/

17. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.17
クラウドサービスにおける
セキュリティとコンプライアンス
• AWSのセキュリティと責任共有モデル
• AWSのコンプライアンス
• 諸外国のクラウド利利⽤用動向
• AWSインフラストラクチャーのセキュリティ
• AWSサービスのセキュリティ
• AWSで組み⽴立立てるセキュリティアプローチ
• AWS Security Reference Architecture

18. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.18
アマゾンの３つのビジネス
⼀一般消費者様
向けサービス
セラー様向け
サービス
企業様向け
サービス
Eコマース
（Amazon.co.jp）
マーケットプレイス
物流流サービス提供
（Amazon Services）
クラウド
コンピューティング
（Amazon Web Services）

19. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.19
2011
82
159
2012
280
2013
516
2014
AWSのイノベーションの速度度
AWSは、2006年年のサービス開始以来:
1696以上の新サービスや機能をリリース
50以上のメジャーな新サービスを提供
50回の料料⾦金金値下げ
2015
+522(as of Oct. 15, 2015)

20. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.20
AWS イノベーションの歴史
2009
Amazon RDS
Amazon VPC
Auto Scaling
Elastic Load
Balancing
2010
Amazon SNS
AWS Identity
& Access
Management
Amazon
Route 53
2011
Amazon
ElastiCache
Amazon SES
AWS
CloudFormation
AWS Direct
Connect
AWS Elastic
Beanstalk
GovCloud
2012
Amazon SWF
Amazon
Redshift
Amazon
Glacier
Amazon
Dynamo DB
Amazon
CloudSearch
AWS Storage
Gateway
AWS Data
Pipeline
2013
Amazon
CloudTrail
Amazon
CloudHSM
Amazon
WorkSpaces
Amazon
Kinesis
Amazon Elastic
Transcoder
Amazon
AppStream
AWS OpsWorks
2014
AWS KMS
Amazon Config
Amazon Cognito
Amazon Mobile
Analytics
Amazon EC2
Container Service
Amazon RDS for
Aurora
Amazon Lambda
Amazon WorkDocs
AWS Directory
Service
AWS CodeCommit
AWS CodePipeline
2015
Amazon EFS
Amazon API
Gateway
Amazon WorkMail
Amazon Machine
Learning
AWS Device Farm
AWS WAF
Amazon
Elasticsearch Service
Amazon QuickSight
AWS Import/Export
Snowball
Amazon Kinesis Firehose
Amazon RDS for MariaDB
Amazon Inspector
AWS Database Migration
Service
AWS IoT
Amazon EC2 Container
Registry
Amazon Kinesis Analytics
AWS Mobile Hub
* As of 8 Oct 15
AWSは常にサービスの拡張を続け、ほぼどのようなワークロードでもサポートする
コンピュート、ストレージ、ネットワーキング、分析、アプリケーションサービス、デプロ
イメント、管理理、モバイルにわたる、50を超えるサービスを提供するに⾄至っています。

21. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.21
Networking AnalyticsCompute
Storage & Content Delivery
Developer Tools Management Tools Security & Identity
Application Services
Mobile Services Database Enterprise Applications
S3 CloudFront EFS Glacier
Storage
Gateway
API
Gateway
AppStream CloudSearch
Elastic
Transcoder
SES SQS SWF
Device Farm
Mobile
Analytics
Cognito SNS RDS DynamoDB ElastiCache RedShift WorkSpaces WorkDocs WorkMail
Lambda
EC2 Container
Service
Elastic
Beanstalk
EC2 VPC
Direct
Connect
Route 53 EMR
Data
Pipeline
Kinesis
Machine
Learning
Elastic Load
Balancing
QuickSight
Elasticsearch
Service
CodeCommit CodeDeploy CodePipeline CloudWatch
Cloud
Formation
CloudTrail Config OpsWorks
Service
Catalog
Identity &
Access
Management
Directory
Service
Trusted
Advisor
Cloud HSM
Key
Management
Service
Web App
Firewall
Snowball
Simple DB
Database
Migration
Service
IOT
IoT
Hubs
Mobile Hub

22. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.22
11のリージョン(地域) : ⽇日本国内は東京リージョン、データやシステムはお客様が選択したリージョンに配置
28のアベイラビリティゾーン ： 東京リージョンには⼆二つのアベイラビリティゾーン
(同⼀一災害で同時に被災しないよう配置したデータセンターのクラスター)
8,000億円企業だった頃のAmazon.comを⽀支えたサーバーの処理理能
⼒力力に等しいサーバーを毎⽇日追加しています。
190か国以上で、100万を超えるお客様がご利利⽤用中
AWSの特⻑⾧長：グローバルインフラストラクチャ

23. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.23
Gartner Magic Quadrant for
Cloud Infrastructure as a Service, Worldwide
Gartner “Magic Quadrant for Cloud Infrastructure as a Service, Worldwide,” Lydia Leong, Douglas Toombs, Bob Gill, May 18, 2015. This Magic Quadrant graphic was published by Gartner, Inc.
as part of a larger research note and should be evaluated in the context of the entire report. The Gartner report is available at http://aws.amazon.com/resources/analyst-‐‑‒reports/. Gartner
does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other
designation. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties,
expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.
23

24. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.24
1,700+
政府機関
4,500+
教育機関
全世界の公共機関のお客様 17,000+
⾮非営利利団体

25. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.25
⽇日本の公共機関、教育機関においても導⼊入が加速

26. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.26
ＡＷＳのセキュリティ⽅方針
• AWSクラウドのセキュリティ
– セキュリティはAWSにおいて最優先されるべき事項
– セキュリティへの⼤大規模な投資
– セキュリティに対する継続的な投資
– セキュリティ専⾨門部隊の設置
• 共有責任モデルの採⽤用
– AWSと利利⽤用者の2者でセキュリティを確保

27. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.27
世界最⾼高⽔水準のセキュリティチーム
セキュリティの世界で最⾼高⽔水準の⼈人々は、
⼤大規模でタフな挑戦のあるところに集ま
ります。
このため、AWSには世界最⾼高⽔水準のセ
キュリティとコンプライアンスのチーム
ができ、皆さんをお守りします。
他のAWSのお客様の厳しい要求から得
られた成果を全てのお客様にお届けしま
す。

28. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.28
常に改善が続くセキュリティ基盤
AWS基盤サービス
コンピュート ストレージ データベース
ネット
ワーキング
AWSグローバル
インフラ
リージョン
アベイラビリティ
ゾーン エッジ
ロケーション

29. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.29
クライアントサイド
暗号化
サーバーサイド
暗号化
ネットワーク
トラフィック保護
基盤、アプリケーション、AWS IAM
オペレーティングシステム、ネットワーク、
ファイアウォールの構成
お客様のコンテンツ
Customers
⼒力力仕事はお任せ下さい：共有責任モデル
お客様は
クラウド内の
お客様⾃自⾝身の
セキュリティや
コンプライアンスに
責任
AWSは
クラウドの
セキュリティに
責任を持ちます
AWS基盤サービス
コンピュート ストレージ データベース
ネット
ワーキング
AWSグローバル
インフラ
リージョン
アベイラビリティ
ゾーン エッジ
ロケーション

30. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.30
お客様の
認定資格
お客様ご⾃自⾝身のゴールを達成してください
お客様の
認証
お客様の
外部監査 お客様の責任範囲と
仕事を減らします
より狭い範囲に
フォーカスすること
で最善の結果を実現
AWSの⼀一貫した
基盤の上に構築
お客様
AWS基盤サービス
コンピュート ストレージ データベース
ネット
ワーキング
AWSグローバル
インフラ
リージョン
アベイラビリティ
ゾーン エッジ
ロケーション

31. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.31
AWSの第三者認証、保証プログラム準拠
多数の第三者認証の取得や保証プログラムへの準拠をしています。
AWSコンプライアンス http://aws.amazon.com/jp/compliance/
AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-‐‑‒23722701

32. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.32
AWS Region
US-‐‑‒WEST (N.
California) EU-‐‑‒WEST (Ireland) ASIA PAC
(Tokyo)
ASIA PAC
(Singapore)
US-‐‑‒WEST (Oregon)
SOUTH AMERICA (Sao
Paulo)
US-‐‑‒EAST (Virginia)
GOV CLOUD
ASIA PAC
(Sydney)
必要に応じてどこでも「On-‐‑‒Shore」

33. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.33
お客様のコンテンツは、お客様が選択したAWSリージョン
の中で常に「On-‐‑‒Shore」
• AWS makes no secondary use of customer content
• 個⼈人情報もお客様の意図する場所、⽅方法で管理理
• いつでも必要な時に、選択した形式でデータを保存、移動、削除
• 選択したAWSリージョンの外には、⾃自動的に複製しません
• お客様はいつでもお客様の選択した⽅方法でコンテンツを暗号化で
きます
オーナーシップとコントロールは常にお客様に

34. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.34
AWSクラウドを⽤用いて
お客様のセキュリティを
より堅固に
できます

35. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.35
全てのソリューションに⾼高い回復復⼒力力と耐障害性を実現
AWSはスケーラブルでフォールトトレラントなサービスを運⽤用
複数データセンターで運⽤用する回復復⼒力力の⾼高いソリューション
AWSを使えばActive-‐‑‒Avtiveの⾼高可⽤用性ソリューションを容易易に実現
全てのAWSファシリティは常時稼働
回復復性が⾼高く「DRデータセンター」は不不要
全てのAWSファシリティは同じグローバルスタンダードにより管理理
AWSの持つ堅牢牢な接続と帯域
全てのアベイラビリティゾーンは複数の冗⻑⾧長化されたTier 1 ISPと接続
回復復⼒力力に富むネットワークインフラ

36. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.36
クラウドサービスにおける
セキュリティとコンプライアンス
• AWSのセキュリティと責任共有モデル
• AWSのコンプライアンス
• 諸外国のクラウド利利⽤用動向
• AWSインフラストラクチャーのセキュリティ
• AWSサービスのセキュリティ
• AWSで組み⽴立立てるセキュリティアプローチ
• AWS Security Reference Architecture

37. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.37
レポート、認定、第三者認証
• 原点は共有責任モデル
• AWSは以下のような第三者認証を取得済み
– SSAE 16/ISAE 3402基準、SOC1レポート（旧SAS70)
– SOC2レポート、SOC3レポート
– ISO 27001 Certification
– ISO 27018 Certification
– ISO 9001 Certification
– PCI DSS Level 1 Service Provider
– FedRAMP
• AWSにシステムをデプロイし、第三者認証を取得することも可能
– HIPAA
– FISMA Moderate
– Sarbanes-‐‑‒Oxley (SOX)
– Pマーク
– ASP・SaaS安全・信頼性に係る情報開⽰示認定制度度

38. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.38
SSAE16/ISAE3402 SOC1レポート
• AWSの内部統制に関する保証報告書。
• AWSの各サービスにおけるセキュリティ、変更更管理理、運⽤用
等の情報を保証報告書という形式でお客様に提供
• NDAベースでSOC1レポートをご提⽰示可能
• 外部委託先の内部統制検証で使⽤用される基準は、評価の対象
期間の最終⽇日が2011年年6⽉月15⽇日以降降のものより、SAS70か
ら切切り替わりSSAE16/ISAE3402を適⽤用。

39. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.39
SOC2レポート
• 受託会社の財務報告に関連する内部統制以外の要望に応えるための報告書
• Trustサービスの基準に従って客観的に評価
– システムのセキュリティ
– 可⽤用性
– 処理理の完全性/整合性
– 機密保持
– プライバシー
• お客様にAWSのセキュリティに関して透明性をもたらす内容
• NDAベースでSOC2レポートをご提⽰示可能

40. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.40
SOC3レポート
• SOC 1 (SSAE 16/ISAE 3402)およびSOC 2 – Securityのレポー
トに加え、SOC3レポートの提供を開始
• NDAなしで参照可能なSOC2レポートの要約
• AWSインフラおよびサービスの統制の有効性について記述された
レポート
• http://aws.amazon.com/compliance/#soc3

41. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.41
PCI DSS Level1 Service Provider
• PCI DSS 2.0 コンプライアンス準拠
• 核になるインフラストラクチャとサービスをカバー
– EC2, EBS, S3, VPC, RDS, ELB, IAM
• 特に変更更しない標準設定を使⽤用して認定
• 認定セキュリティ評価機関(QSA)のタスクを利利⽤用
• AWSはビジネスでの利利⽤用が可能で、 Qualified Incident
Response Assessors (QIRA)として設計
– フォレンジック調査をサポートする事が可能
• 全てのリージョンで認定
• アップデートはこちらをご覧ください。
– http://aws.amazon.com/security/pci-‐‑‒dss-‐‑‒level-‐‑‒1-‐‑‒compliance-‐‑‒faqs/

42. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.42
ISO 27001認定
• ISO 27002 ベストプラクティスガイダンス準拠
• AWSのInformation Security Management System
(ISMS)をカバー
• 全リージョン含む
• アップデートはこちらをご覧ください。
– http://aws.amazon.com/security/iso-‐‑‒27001-‐‑‒certification-‐‑‒
faqs/

43. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.43
FedRAMP
セキュリティ・アセスメント、承認、継続的なクラウド製品とサー
ビスの確認を⾏行行うための標準化された⼿手段を⽶米国政府が定義
18ドメインにまたがる205のハイレベルコントロール
• アクセスコントロール
• トレーニング
• 監査·∙アカウンタビリティ
• セキュリティ評価及び認証
• 構成管理理
• 緊急時対応計画
• ID＆認証
• インシデント対応
• メンテナンス
• メディアの保護
• 物理理的·∙環境保護
• 計画
• ⼈人的セキュリティ
• リスクアセスメント
• システム＆サービス習得
• システム＆コミュニケーションの保護
• システム·∙情報の整合性
• プログラム管理理

44. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.44
FedRAMPの必要性
課題:
• 各省省庁がクラウドベンダーをチェック
すると、重複したり、⼀一貫性に⽋欠ける。
時間とコストがかかる。
解決策: FedRAMP
• 統⼀一されたリスクマネジメント
• 承認された⼀一連のセキュリティコント
ロール
• ⼀一貫性のあるアセスメント・プロセス

45. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.45
国防総省省暫定認証を取得
• AWSはアメリカ合衆国内にある全てのリージョンにおいてセキュリティインパクトレベル
1-‐‑‒2についての国防総省省暫定認証を取得
• アメリカ合衆国国防総省省の諸機関がAWSを評価する際に莫⼤大な時間と費⽤用を節約
• DISA（国防情報システム局）のEnterprise Cloud Service Brokerに掲載
• 数多くの国防総省省の諸機関が既にAWSのサービスを利利⽤用
– アメリカ合衆国海軍⻑⾧長官 -‐‑‒ ポータルをAWS上に
– アメリカ合衆国海軍CIO -‐‑‒ 公開⽤用ホストに保存された⼤大量量のデータをAWSに移⾏行行中
• 国防総省省の諸機関はAWSを評価する際に、このAWS暫定認証を利利⽤用し、彼ら⾃自⾝身の認証
を発⾏行行
• 国防総省省内の組織や連邦政府との契約者は、FedRAMP/DoD Compliance Support
Requestを発⾏行行し、AWSをレベル1-‐‑‒2の国防総省省ATOとする認可プロセスを開始

46. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.46
アメリカ海軍における利利⽤用例例
• The U.S. Navy is shifting large
amounts of data to the Amazon
Web Services cloud, and expects
the move to produce huge savings.
• “We are in the process of putting
most of our public-‐‑‒facing data in
an Amazon cloud service,” said
Terry Halvorsen, the Chief
Information Officer of the
Department of the Navy.
• Halvorsen said the move could save
the Navy as much as 60 percent
versus the cost of managing that
data in its own data centers.

47. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.47
Cloud Security Alliance (CSA)
CSA Consensus Assessments Initiative Questionnaire には、クラウド使⽤用
者およびクラウド監査⼈人がクラウドプロバイダに要求すると CSA が想定して
いる質問を記載。クラウドプロバイダの選択やセキュリティの評価など、幅広
い⽤用途に使⽤用可能。
セキュリティ、統制、およびプロセスに関する⼀一連の質問にAWSは回答済み。
*CSAの詳細はhttp://aws.amazon.com/jp/security/ AWS リスクとコンプライアンスのホワイトペーパーを参照

48. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.48
『Amazon Web Services』対応
セキュリティリファレンス
• FISC安全対策基準（第8版追補）へのAWSの準拠状況を調査した資料料を
⼀一般公開
• システムインテグレーター/パッケージベンダーが7社が共同で調査
• AWSと利利⽤用者で責任分担することで、基準を満たせるとの⾒見見解

49. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.49
AWS Security Center
(http://aws.amazon.com/jp/security/)
• セキュリティホワイトペーパー
• セキュリティとプライバシーの回答
• 半年年に1度度アップデート
• セキュリティ速報
• 顧客によるペネトレーションテストのポリシ
• セキュリティベストプラクティス
• AWS Identity & Access Management (AWS IAM)
• AWS Multi-‐‑‒Factor Authentication (AWS MFA)

50. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.50
AWSコンプライアンス
(http://aws.amazon.com/jp/compliance/)
• AWS 保証プログラム
– HIPAA
– SOC 1/SSAE 16/ISAE 3402（旧称 SAS70）
– SOC 2
– SOC 3
– PCI DSS レベル 1
– ISO 27001
– ISO 27018
– ISO 9001
– FedRAMP
– DIACAP および FISMA
– ITAR
– FIPS 140-‐‑‒2
– CSA
– MPAA
• AWS コンプライアンスフォーラム
• AWS コンプライアンスのホワイトペーパー
• 第三者の証明書、レポートおよび認証
• コンプライアンスレポートおよび認証に関するAWSへのお問い合わせ
• よくある質問
– SOCレポート
– PCI DSS レベル 1
– ISO 27001
– FedRAMP
– DoD CSM

51. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.51
クラウドサービスにおける
セキュリティとコンプライアンス
• AWSのセキュリティと責任共有モデル
• AWSのコンプライアンス
• 諸外国のクラウド利利⽤用動向
• AWSインフラストラクチャーのセキュリティ
• AWSサービスのセキュリティ
• AWSで組み⽴立立てるセキュリティアプローチ
• AWS Security Reference Architecture

52. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.52
諸外国のクラウド利利⽤用動向
• クラウド化に向けた政策
– クラウド・ファースト政策 アメリカ合衆国
– パブリック・クラウド・ファースト政策 英国
– コストメリットとセキュリティがあればクラウドを選択
オーストラリア
– 政府全体でクラウド・インフラを提供する シンガポール

53. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.53
諸外国のクラウド利利⽤用動向
• セキュリティポリシー
– 連邦情報セキュリティ管理理法（Federal Information Security
Management Act: FISMA） アメリカ合衆国
– G-‐‑‒Cloud Information Assurance Requirements and
Guidance 英国
– Cross Agency Services Architecture Principle及びProtective
Security Policy Framework (PSPF) オーストラリア
– ISO／IEC27001「情報セキュリティマネジメントシステム」シ
ンガポール

54. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.54
諸外国のクラウド利利⽤用動向
• クラウド認定プログラム
– FedRAMP（Federal Risk Authorization Management
Program） アメリカ合衆国
– CESG Pan Government Accreditation Services英国
– Australian Government Information Management Officeに
て作成中 オーストラリア
– シンガポール マルチティアクラウドセキュリティ基準（MTCS
SS）認証シンガポール

55. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.55
各国のガイドライン等への対応の進化
国 ガイドライン等 概要 AWSの対応
アメリカ合衆国 FedRAMP ⽶米国連邦政府の政府調達に関するクラウド
サービスプロバイダー認定プログラム
Moderate Impact LevelのAgent Authority to Operate
を取得
アメリカ合衆国 DoD CSM The Department of Defense (DoD)
Cloud Security Model (CSM)： DoDの諸
機関が利利⽤用できる調達資格認証
Level 3-‐‑‒5の資格認証を取得
アメリカ合衆国 CJIS Criminal Justice Information Services
(CJIS) Security Policy
CJIS基準を満たすためのワークブック、テンプレートを
提供
アメリカ合衆国 FERPA The Family Educational Rights and
Privacy Act
AWSでFERPAに準拠したシステムを構築するためのホワ
イトペーパーを発⾏行行
アメリカ合衆国 HIPAA the U.S. Health Insurance Portability
and Accountability Act
Protected Health Information（PHI）を保管、処理理、
送信するHIPAA準拠アプリケーションを構築するために、
6つのサービスにおいて、Business Associate
Agreement (BAA) addendumが利利⽤用可能
英国 G-‐‑‒Cloud 認定したサービスをG-‐‑‒Cloud Marketplace
に掲載
11のサービスが認定されカタログに掲載
オーストラリア IRAP The Information Security Registered
Assessors Program (IRAP)：オーストラリ
ア政府向けICTサービスについての第三者認
証
AWS Sydneyリージョンにおいて、Unclassified情報を
処理理、保管、伝送するために必要な要件を充⾜足
シンガポール MTCS The Multi-‐‑‒Tier Cloud Security (MTCS)：
ISO27001/02を基にしたセキュリティ基準
Tier 3 Certification取得

56. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.56
クラウドサービスにおける
セキュリティとコンプライアンス
• AWSのセキュリティと責任共有モデル
• AWSのコンプライアンス
• 諸外国のクラウド利利⽤用動向
• AWSインフラストラクチャーのセキュリティ
• AWSサービスのセキュリティ
• AWSで組み⽴立立てるセキュリティアプローチ
• AWS Security Reference Architecture

57. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.57
DCレベルの障害対策
（各地域で最低2つ以上のDCを⽤用意）
EU (Ireland)
Availability
Zone A
Availability
Zone C
Availability
Zone B
Asia Pacific (Tokyo)
Availability
Zone A
Availability
Zone B
US West (Oregon)
Availability
Zone A
Availability
Zone B
US West(Northern California)
Availability
Zone A
Availability
Zone B
Asia Pacific (Singapore)
Availability
Zone A
Availability
Zone B
Asia Pacific (Sidney)
Availability
Zone A
Availability
Zone B
South America (Sao Paulo)
Availability
Zone A
Availability
Zone B
US East (Northern Virginia)
Availability
Zone D
Availability
Zone C
Availability
Zone B
Availability
Zone A
AWS GovCloud (US)
Availability
Zone A
Availability
Zone B
複数DC設置におけるAWSのポリシー
• 物理理的に離離れたデータセンター群
• 洪⽔水を考慮
• 地盤が安定している場所
• 無停⽌止電源(UPS)、バックアップ電源、異異なる電源供給元
• 冗⻑⾧長化されたTier-‐‑‒1ネットワーク
Note: 図はコンセプト図です。リージョンやアベイラビリィゾーンは変更更される可能性があります。
詳細はhttp://aws.amazon.com/jp/about-‐‑‒aws/globalinfrastructure/ をご覧ください

58. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.58
データセンターの物理理的なセキュリティ
• Amazonは、⻑⾧長年年、⼤大規模なデータセンターを構築運営
• 重要な特性:
– 場所の秘匿匿性
– 周囲の厳重なセキュリティ
– 物理理アクセスの厳密なコントロール
– 2要素認証を2回以上で管理理者がアクセス
• 完全管理理された、必要に基づくアクセス
• 全てのアクセスは記録され監査対象
• 職務の分離離
– 物理理アクセス可能な従業員は論論理理権限にアクセス不不可

59. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.59
ストレージの破棄に関する施策
• 顧客データが 権限のない⼈人々に流流出しないようにするス
トレージ 廃棄プロセスを保持
• DoD 5220.22-‐‑‒M（⽶米国国防総省省⽅方式）
– 3回の書き込みでの消去を実施
– 固定値→補数→乱数
• NIST 800-‐‑‒88（メディアサニタイズのための ガイドライン)
– 情報処分に対する体制、運営やライフサイクルに関するガイドライン
– 情報処分に対しする組織的に取り組み
• 上記の⼿手順を⽤用い ハードウェアデバイスが廃棄できない
場合、 デバイスは業界標準の慣⾏行行に従って、消磁するか、
物理理的に破壊する

60. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.60
Amazon EC2 ハードウェア専有インスタンス
• VPC内でハードウェア専有、シ
ングルテナント保証
• 規制に対応しなければいけない
お客様のご要望に応えるサービ
ス
• クラウドのメリット確保
• 従量量課⾦金金
• 柔軟にスケールアップ
• 瞬時に調達
顧客A
物理理サーバー
通常のEC2
顧客B 顧客C
顧客A
物理理サーバー
顧客B 顧客C
ハードウェア専有インスタンス

61. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.61
AWSのネットワークセキュリティ対策
• Distributed Denial of Service (DDoS)対策:
– 効果的かつ標準的な緩和対策を実施
• 中間者攻撃対策:
– 全エンドポイントはSSLによって保護
– 起動時に新しいEC2ホストキーを⽣生成
• IPなりすまし対策:
– ホストOSレベルで全て遮断
• 許可されていないポートスキャニング対策:
– AWSサービス利利⽤用規約違反に該当
– 検出され、停⽌止され、ブロックされる
– インバウンドのポートはデフォルトでブロックされているため、事実上無効
• パケットの盗聴対策:
– プロミスキャスモードは不不許可
– ハイパーバイザ―レベルで防御

62. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.62
攻撃を吸収しスケールアウトするウェブサイト
インターネット
ストレージ
Amazon S3
分散攻撃の
アタッカー
ユーザー
ユーザー
DNSサービス
Route53
東京リージョン
CDNサービス
Amazon
CloudFront
お客様のVPC
WAFWAF WAFWA
F
ELB ELB
ELB ELB
App App App App
Auto
Scaling
Auto
Scaling
Auto
Scaling
Auto
Scaling

63. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.63
ネットワークトラフィックフローセキュリティ
• セキュリティグループ
– 仮想サーバーインスタンス単位のファイア
ウォール
– インバウンド／アウトバウンドのプロトコル、
ポートまたはセキュリティグループにより明⽰示
的に指定
• ネットワークACL
– サブネット単位のファイアウォール
– インバウンドとアウトバウンドのステートレス
フィルタ
• OSファイアウォールも使⽤用可能
• サブネット・ルーティングテーブル・
ゲートウェイ
– VPCで作成可能
• セキュリティレイヤはユーザが完全に制
御可能
Encrypted
File System
Encrypted
Swap File
OS Firewall
Amazon Security Groups
Inbound Traffic

64. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.64
Amazon EC2インスタンスの独⽴立立性
Physical Interfaces
Customer 1
Guest OS
Hypervisor
Customer 2
Guest OS
Customer n
Guest OS…
…
Virtual Interfaces
Firewall
Customer 1
Security Groups
Customer 2
Security Groups
Customer n
Security Groups

65. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.65
VMセキュリティ
• ハイパーバイザー（ホストOS）
– AWS管理理者の拠点ホストからの個別のSSHキーによるログイン
– 全てのアクセスはロギングされ、監査されます
• Firewall / Security Group
– AWS利利⽤用者設定に従い、トラフィックをコントロール
– 設定しない通信は不不可
• ゲストOS（EC2インスタンス）
– 顧客による完全なコントロール (顧客がルート/管理理者権限を保有)
– AWS管理理者はログイン不不可能
– 顧客が⽣生成したいキーペアを使⽤用

66. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.66
クラウドサービスにおける
セキュリティとコンプライアンス
• AWSのセキュリティと責任共有モデル
• AWSのコンプライアンス
• 諸外国のクラウド利利⽤用動向
• AWSインフラストラクチャーのセキュリティ
• AWSサービスのセキュリティ
• AWSで組み⽴立立てるセキュリティアプローチ
• AWS Security Reference Architecture

67. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.67
Amazon VPC
AWS上に、好きなネットワーク体系の論論理理的なネットワークを構築できるサービス
パブリックまたはプライベートなサブネットにプライベートIPのアドレスレンジを指定
サブネットによるネットワークのアイソレーション
セキュリティグループ
– インバウンドとアウトバウンド両⽅方の指定
– セキュリティグループの動的な追加/削除
ネットワークACL
– セキュリティグループに加え、ステートレスなフィルターを使⽤用可能
ENI(Elastic Network Interface)
– EC2に追加のネットワークカードを付与
VPN/専⽤用線接

68. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.68
Amazon VPCによるプライベートクラウド
クラウド内にプライベートネットワークを構築
既存DCの延⻑⾧長/1拠点としてAWSを利利⽤用
機密性3情報は省省庁システム、機密性1情報はAWSなどの構成が可能
インスタンス単位、サブネット単位のファイアウォール
東京リージョン
VPC
省省庁システム
プライベート
サブネット
パブリック
サブネット
インターネット
分離離したNW領領域
(アドレスレンジ)を作成
ゲートウェイ
VPN接続
専⽤用線
セキュリティ
グループ
ネットワーク
ACL

69. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.69
AWSによるセキュアな構成
データセンターA
Amazon
EC2
Amazon
EC2
Amazon
RDS
Amazon
RDS
公開⽤用サーバー
データセンターB東京リージョン
Amazon
EC2
Amazon
EC2
内部向けサーバー
ハードウェア専有も可能
専⽤用線接続
VPN
AWS内にプライベートなネットワーク空間を作成

70. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.70
VPCを組み合わせて柔軟に
ハイブリッドなネットワークを構築可能
お客様
A事業部⾨門 B事業部⾨門
C業務部⾨門 D業務部⾨門
A
システム
C
システム
D
システム
B
システム
Amazon
S3
Amazon
Glacier
Storage/
Backup

71. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.71
アカウントごとのユーザとグループの作成
セキュリティクレデンシャル
– アクセスキー
– ログイン/パスワード
– 多要素認証デバイス(オプション)
AWS APIを使ったポリシーコントロールアクセス
API コールは以下のサインどちらかが必須:
– X.509 certificate
– シークレットキー
幾つかのサービスではより厳格なインテグレーション
– S3: オブジェクト及びバケット毎のポリシー設定
AWSマネージメントコンソールのユーザログオンサポート
OSやアプリケーションレベルのログインではない
既存のお客様ディレクトリと連携させ、SAML2.0でSSOも可能
AWS Identity and Access Management (IAM)
AWS account
owner (master)
Network
management
Security
management
Server
management
Storage
management

72. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.72
既存のディレクトリサービスとのID連携
既存のディレクトリサービスを利利⽤用した
コントロールをAWS上でも使⽤用可能
SAML 2.0のサポート
Active Directoryといった既存のディレ
クトリサービスとSAML 2.0による連携
Active Directoryのユーザーとグループ
を認証と認可に使⽤用可能

73. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.73
Web ID連携のサポート
ソーシャルサービスの認証を元に、AWSサービスへのアクセスが可能
ソーシャルサービス認証を確認するサーバが不不要
例例えばスマートフォンアプリとS3だけでシステムが作成可能
現在Google, Facebook, Amazon(Login with Amazon)に対応

74. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.74
HTTPSによるAWS APIの呼び出し
– SOAP over HTTPS
– REST over HTTPS
HTTPSによる管理理コンソールへのアクセス
サーバーへの管理理者アクセス
– ⾮非対称鍵もしくはX.509証明証によるSSHアクセス
– RC4やSSLを利利⽤用したRDPアクセス
セキュアなアプリケーションレベルプロトコルの使⽤用
転送中のデータの保護

75. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.75
バケットとオブジェクトレベルでアクセスコントロールを設定
– 可能な限りアクセスと権限を制限し、定期的にアクセスログをレビュー
– 重要なデータに関してはバージョニングを有効化
– 重要なデータの消去にはMFAの利利⽤用を要求
S3の暗号化機能の利利⽤用
– サーバーサイドでの暗号化
• AES-‐‑‒256により等価的にデータの暗号化が可能
– クライアントサイドでの暗号化
• データをS3に送る前に暗号化の実施
• ⾃自⾝身の暗号化環境の利利⽤用かもしくはAWS Java SDKの利利⽤用
– MD5によりS3に転送されたデータのインテグリティチェック
99.9%の可⽤用性
99.999999999%の耐久性
ストレージサービス
Amazon S3上のデータの保護

76. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.76
暗号化機能を提供
⾃自⾝身の暗号化の仕組み、商⽤用の暗号化ソリューションの利利⽤用も可能
– Windows BitLocker
– Linux LUKS
– TrueCrypt
– SafeNet Protect-‐‑‒V
– Trend Secure Cloud
暗号鍵の管理理が重要
– AWS KMSの活⽤用
– どのように鍵を管理理するか
– 鍵が必要な時に確実に使⽤用可能か
– どのように鍵の紛失を防ぐか
– どのように鍵のローテーションを⾏行行うか
仮想サーバーと⽤用いるブロックストレージ
Amazon EBS上のデータの保護
EBS

77. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.77
RDS⾃自⾝身の持つセキュリティ機能の利利⽤用
– セキュリティグループによるRDSインスタンスへのアクセス制限
– IAMによるRDS管理理機能へのアクセス制限
転送中のデータの暗号化
– Oracle Native Network Encryption
– SSL for SQL Server, MySQL and PostgreSQL
RDS上のデータの暗号化
– MySQL cryptographic function
– Oracle Transparent Data Encryption
– Microsoft SQL -‐‑‒ Microsoft Transact-‐‑‒SQL data protection
リレーショナルデータベースサービス
Amazon RDS上のデータの保護
DBA

78. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.78
AWS Key Management Service (KMS)
• 特徴 (http://aws.amazon.com/jp/kms/)
– 暗号鍵の管理理を⼀一元化
– 鍵の機密性、可⽤用性を確保
– アクセスニーズに合わせて⾃自動的にスケール
– 様々なAWSサービスとのインテグレーション
• 価格体系 (http://aws.amazon.com/jp/kms/pricing/)
– 1つの鍵につき⽉月間$1で利利⽤用可能
– APIリクエストは10,000リクエストごとに
$0.03
– 20,000リクエストまでは無料料
フルマネージドの暗号鍵管理理サービス
Customer Master
Key(s)
Data Key 1
Amazon
S3 Object
Amazon
EBS
Volume
Amazon
Redshift
Cluster
Data Key 2 Data Key 3 Data Key 4
Custom
Application
AWS KMS

79. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.79
AWS CloudHSM
• 概要
– AWSクラウド内の専⽤用ハードウェアセキュリティモ
ジュール（HSM）を利利⽤用して安全に暗号鍵を保護
– 業界標準の、不不正使⽤用防⽌止策が施された HSM アプライ
アンス
• Common Criteria EAL4+
• NIST FIPS 140-‐‑‒2
– アプライアンスの管理理を⾏行行うAmazonの管理理者はアクセ
ス権を持たない
– HA構成、オンプレミスのHSMへのレプリケーションが
可能
• 対応リージョン
– US East (Virginia)
– US West (Oregon)
– EU (Ireland)
– Asia Pacific (Sydney)

80. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.80
必要ならお客様ご⾃自⾝身のHSMも使えます
お客様センター
アプリケーション
お客様のHSM
NATCloudHSM NATCloudHSM
Volume, object,
database
encryption
Signing / DRM /
apps
EC2
SYNC
EBS
S3
Amazon S3
Amazon
Glacier

81. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.81
AWS Cloud Trail
• AWS管理理操作のログを取得
し、暗号化してAmazonS3
に保存
– MFA Delete（多要素認証デバイス
を⽤用いた消去⼿手法）に対応
– ログファイルは、AWSアカウント
ID、リージョン、サービス名、⽇日
付、時間の情報毎に分類、圧縮
• 主な活⽤用⽤用途
– コンプライアンス準拠
– リソースのライフサイクル管理理
– トラブルシューティング
– セキュリティ⾯面の分析

82. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.82
AWS Inspector
• ⾃自動化されたセキュリティ診断サービス
• APIで制御できるので、開発プロセスの中
に組み込むことで均質なセキュリティ診
断を⾃自動的に実⾏行行できる
• 内容についてはルールセットにより制御
が可能
• 診断対象のインスタンスにエージェント
をインストールした後にInspectorを起動
して利利⽤用する

83. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.83
AWS Inspector ルールセットと診断結果
• 診断内容はルールセットを指定す
ることで変更更できる
• 初期リリースでは下記のルール
セットがプリセット済み
– ⼀一般的な脆弱性や情報漏漏洩
– ネットワークセキュリティのベストプ
ラクティス
– 認証に関するベストプラクティス
– OSのセキュリティベストプラクティス
– アプリケーションセキュリティのベス
トプラクティス
– PCI DSS 3.0のアセスメント

84. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.84
AWS Config
• 特徴 (http://aws.amazon.com/jp/config/)
– AWSリソースの変更更履履歴、構成情報を管理理
– アカウント内のAWSリソース間の関係をリ
レーションシップとして関連付ける
• 価格体系 (http://aws.amazon.com/jp/config/pricing/)
– 1 回の設定項⽬目の記録につき 0.003 USD
– ログが保存されるAmazon S3の料料⾦金金
– Amazon SNSの料料⾦金金
構成変更更の通知、構成履履歴を記録する構成管理理マネージドサービス

85. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.85
AWS Config Rules
• AWS Config -‐‑‒ AWSリソースの構成管理理
• 構成変更更の履履歴の蓄積
• 構成変更更の通知
• 構成情報のスナップショットの取得

86. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.86
AWS Config Rules
• AWS Config -‐‑‒ AWSリソースの構成管理理
• 構成変更更において、守るべきルールを事前に設定し、その内
容に沿った構成変更更が⾏行行われているか、モニタリングするこ
とが可能
• 全てのEBSボリュームが暗号化されていること
• EC2インスタンスが適切切にタグ付されていること
• Elastic IP address(EIP)がインスタンスにアタッチされている
こと

87. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.87

88. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.88
AWS Config Rules
• AWS Config
• 中国リージョン、Govcloudリージョンを除く全リージョン
で利利⽤用可能
• AWS Config Rules
• プレビューを開始

89. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.89
VPC Flow Logsとは
■ネットワークトラフィックをキャプチャし、CloudWatch LogsへPublishする機能
■ネットワークインタフェースを送信元/送信先とするトラフィックが対象
■セキュリティグループとネットワークACLのルールでaccepted/reject
されたトラフィックログを取得
■キャプチャウインドウと⾔言われる時間枠(約10分間)で収集、プロセッシング、保存
■RDS, Redshift、ElasticCache、WorkSpacesのネットワークインタフェース
トラフィックも取得可能
■追加料料⾦金金はなし(Cloudwatch Logsの標準料料⾦金金は課⾦金金）

90. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.90
VPC Flow Logsのユースケース
■ネットワークのトラブルシュート
疎通ができないのはネットワーク設定の影響？
■ネットワークトラフィックの監査
いつ、どの通信元からどのようなアクセスがあったか？
■ネットワークトラフィック監視
不不正な通信を検知してアラート
■ネットワークトラフィック統計情報
プロトコル別、通信元IP別・・・

91. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.91
構成イメージ
セキュリティ
グループ
ネットワーク
ACL
Log Group
CloudWatch Logs
ネットワークインタフェース
(ENI)
Log Stream
VPC Flow Logs
VPC

92. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.92
クラウドサービスにおける
セキュリティとコンプライアンス
• AWSのセキュリティと責任共有モデル
• AWSのコンプライアンス
• 諸外国のクラウド利利⽤用動向
• AWSインフラストラクチャーのセキュリティ
• AWSサービスのセキュリティ
• AWSで組み⽴立立てるセキュリティアプローチ
• AWS Security Reference Architecture

93. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.93
独⾃自ですべきセキュリティ対策
Amazon VPC(Virtual Private Cloud)の利利⽤用
MFA(Multi Factor Authentication)デバイスの利利⽤用
IAM(Identity and Access Management)の利利⽤用
AWS上のデータの保護
モニタリング及びアラート

94. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.94
AWS利利⽤用者のセキュリティ対策
ファシリティ(設置環境)
物理理セキュリティ
コンピュートインフラ
ストレージインフラ
ネットワークインフラ
仮想化レイヤー
アプリケーション
ミドルウェア
OS
ファイアーウォール
ネットワーク設定
アカウント管理理
+
Customer
OS〜～アプリケーション
つまりサービスやコンテンツに対する外部か
らの脅威は
オンプレと同様に様々なアプローチが…

95. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.95
サービスやコンテンツに対する
外部からの脅威と対応
• OSやミドルウェアの脆弱性を突いた外部からの不不正な侵⼊入、不不正
なアクセス・改ざん
– →DMZだけでなく、社内向けの業務システムを配置するプライベートネットワークの外部
との接点にIDS/IPSを配備
• Webアプリケーションのコード上に存在するセキュリティホールを
突いた攻撃 (SQL Injection, XSS, CSRF…)
– →セキュアプログラミングの励⾏行行を前提にそれを補う形でWeb Application Firewall
(WAF)をWebサービスフロントエンドに配備
• 不不正な操作を監査するための管理理運営者、サービス利利⽤用者の⾏行行動履履
歴のログ取得
– →監査機能をもったIDS/IPSやWAFを利利⽤用するか、各サーバーOSの監査機能をON、アプ
リケーションがアクセスログを残すように設計(AWSの操作ログはCloudTrailで取得可能)

96. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.96
OSやミドルウェアの脆弱性を突いた
不不正な侵⼊入を検知・防御する
IPS IPSゲートウェイ
型
• ゲートウェイ型IDS/IPSまたは
ホスト(エージェント)型IDS/IPSの導⼊入
ネットワークを通じた不不正な通信
や悪意のあるアクセスに対応する
ため、保護対象のネットワークに
ゲートウェイとしてIDS/IPSを
導⼊入するか、保護対象のサーバー
⾃自体にエージェントとしてホスト
型のIDS/IPSを導⼊入します。
あらかじめ定義した不不審なアクセス
やレジストリやファイルへの変更更
を検出することが可能。

97. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.97
Webアプリケーションのコード上に存在
するセキュリティホールを突いた攻撃を防御
• WAFプロキシー構成の導⼊入
IDS/IPSに導⼊入する不不正アクセスの
ブラックリストでは個別に開発される
Webアプリケーションの脆弱性まで
カバーすることができません。
セキュアプログラミングが実施される
ことを前提としつつより⾼高度度で複雑な
攻撃に対応するためにWAFの導⼊入を
検討します。
参考資料料 AWS クラウドデザインパターン
http://aws.clouddesignpattern.org/

98. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.98
AWS WAF
• CloudFrontのエッジにてWebアプリケー
ションを攻撃から保護する機能を提供
• リクエストURI、クエリ⽂文字列列、HTTPヘッ
ダ、HTTPメソッドやIPアドレスを判定条
件(Conditions)として設定できる
• 条件に応じて許可・拒否・カウントを選択
• 費⽤用
– 1WebACLあたり⽉月額5ドル
– 1ルールあたり⽉月額1ドル
– 100万リクエストあたり0.6ドル
http://aws.typepad.com/aws_̲japan/2015/10/waf.html

99. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.99
Webアプリケーションの攻撃対象の⼀一例例
• SQLなどへのインジェクション
• 認証やセッション管理理の不不備による管理理権限の奪取
• クロスサイトスクリプティング(XSS)
• 意図せず公開されるオブジェクト
• セキュリティ設定上のミス
• アクセス可能な機密情報
• 機能レベルアクセス制御の⽋欠陥
• クロスサイトリクエストフォージェリ(CSRF)
• 既知の脆弱なコンポーネントの利利⽤用
• 未検証のリダイレクトやフォワードを悪⽤用
参考資料料 OWASP Top10 プロジェクト
https://www.owasp.org/images/7/79/OWASP_̲Top_̲10_̲2013_̲JPN.pdf

100. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.100
AWSで組み⽴立立てるセキュリティアプローチ
攻撃対象 脅威の種類 対策ジャンル ソリューション・プロダ
クト
Webアプリケーション Webアプリケーションへの攻
撃
WAF （例例）APNパートナー製品
ミドルウェア
サーバーOS
内部ネットワーク
内部ネットワークへの不不正な
アクセスと改ざん
IDS/IPS
システムログの監視
（例例）APNパートナー製品
ファイアウォール 意図しないポートやIPレンジ
の公開
ファイアウォール VPC、NACL、
セキュリティグループ設定
仮想ネットワーク 他の利利⽤用者からのスキャン プライベートクラウド Amazon VPC (仮想プライ
ベートクラウド)
管理理アカウント AWSアカウントの
乗っ取り、不不正利利⽤用
多要素認証
操作ログ保管
AWS IAM
AWS CloudTrail
仮想化レイヤーを
構成する物理理環境
及びネットワーク
DDoS攻撃
MITM(中間者)攻撃
ポートスキャン等
専⾨門部隊による対策を実施、特許取得済みの
DDoS 緩和技術など適⽤用、プロセスや統制内容については多
数の第三者機関の認証を取得
DCファシリティ 不不正侵⼊入、内部犯⾏行行 所在地の秘匿匿、２要素認証を最低２回必要とするアクセス、作
業ベースの⼊入室権限付与、すべての物理理的アクセスを記録し、
定期的に監査

101. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.101
You can enforce consistent security on your hosts
Launch
instanc
e
EC2
AMI catalogue Running instance Your instance
Hardening
Audit and logging
Vulnerability management
Malware and HIPS
Whitelisting and integrity
User administration
Operating system
Configur
e
instance
You
control
the
configura0on
of
your
EC2
compute
instances
and
can
configure
and
harden
opera0ng
environments
to
your
own
specs
Use host-based protection software
• Apply best-practice top 5 mitigation strategies!
Think about how you will manage administrative users
• Restrict access as much as possible
Build out the rest of your standard security environment
• Connect to your existing services, e.g. SIEM

102. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.102
クラウドサービスにおける
セキュリティとコンプライアンス
• AWSのセキュリティと責任共有モデル
• AWSのコンプライアンス
• 諸外国のクラウド利利⽤用動向
• AWSインフラストラクチャーのセキュリティ
• AWSサービスのセキュリティ
• AWSで組み⽴立立てるセキュリティアプローチ
• AWS Security Reference Architecture

103. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.103
Design
Reference Architectureの構成要素
• ライフサイクルの各段階
• 保護対象
• 基盤
People
Instance
Database
Storage & Content
Network
Platform
Manage
Monitor

104. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.104
People
Monitor
Manage
Network
Storage & Content
Instance
Database
Platform
Design
構成要素を整列列

105. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.105
Including Capabilities & Controls for Each Component
People
Monitor
Manage
Network
Storage
&
Content
Instance
Database
Log,
Audit,
&
Analyze
Monitor
&
Alert
Pla9orm
Amazon
CloudWatch
Amazon
SNS
No0fica0ons
AWS
Abuse
No0fica0ons
Trusted
Advisor
Amazon
EMR
Amazon
Kinesis
S3,
ELB,
CloudFront
Access
Logs
Applica0on
Logs
Database
Logs
Opera0ng
System
Logs
AWS
Internet
Security
VPC
Peering
Security
Groups
VPC
VPN
Gateway
VPC
Subnets
VPC
NACLs
VPC
Rou0ng
Tables
Direct
Connect
Geographic
Diversity
S3
ACLs,
Bucket
Policies
S3,
Glacier
Server-­‐Side
Encryp0on
S3
MFA
Delete
Lifecycle
Rules
CloudFront
Custom
SSL
S3,
Glacier
SSL
S3
Object
Metadata
Storage
Gateway
SSL
CloudFront
Signed
URLs
Auto
Scaling
SSH
Keys
Bas0on
Host
Bootstrapping
Amazon
Machine
Images
(AMIs)
CloudFront
Load
Distribu0on
Penetra0on
Tes0ng
Process
Oracle
Transparent
Data
Encryp0on
MS-­‐SQL
SSL
Oracle
NNE
Redshfit
Cluster
Encryp0on
RDS
Auto
Minor
Patching
MS-­‐SQL
Transparent
Data
Encryp0on
DynamoDB
SSL
EMR
Job
Flow
Roles
Access
Policy
Language
AWS
SA’s
&
ProServe
AWS
Sales,
Support,
TAM
Security
Opera0ons
Center
Elas0c
Beanstalk
Rolling
Patching
MySQL
SSL
PostgreSQL
SSL
SimpleDB
SSL
Redshi]
Encrypted
S3
Backups
DynamoDB
Fine
Grained
Access
Route
53
Health
Checks
Access
Policy
Simulator
Authen0cate
&
Authorize
IAM
Users,
Groups
&
Roles
IAM
MFA
AWS
Marketplace
Offerings
IAM
STS
Federa0on
IAM
Password
Policy
IAM
SAML
2.0
IAM
Web
Iden00es
S3
Object
Versioning
S3
Object
ETags
AWS
Forums
&
Documenta0on
AWS
Service
Level
Agreements
AWS
Training
&
Cer0fica0on
AWS
CloudTrail
Server
Cer0ficates
AWS
System
Integra0on
Partners
Resource-­‐Level
Permissions
Client-­‐Side
Encryp0on
CloudFront
Geoloca0on
AWS
CloudHSM
Amazon
Redshi]
HIPAA
SOC
1
/
2
/
3
PCI
DSS
Level
1
ISO
27001
FedRAMP
DIACAP
and
FISMA
ITAR
FIPS
140-­‐2
CSA
MPAA
AWS
Assurance
Programs
Organize,
Deploy,
&
Operate
AWS
OpsWorks
AWS
CloudForma0on
Resource
Tagging
Snapshots
&
Replica0on
AWS
Elas0c
Beanstalk
Design
Overview
of
Security
Processes
Logging
in
AWS
Whitepapers
Governance
for
AWS
AWS
Webinars
&
Videos
AWS
Security
Best
Prac0ces
AWS
Security
Test
Drive
Labs
Opera0onal
Checklists
for
AWS
Security
for
Microso]
Apps
on
AWS
Plan
AWS
Compliance
Forum
AWS
Simple
Monthly
Calculator
AWS
Reference
Architectures
AWS
Risk
and
Compliance
AWS
Audi0ng
Security
Checklist
Customer
&
Partner
Whitepapers
Dedicated
Instances
Cross-­‐Region
Backups/
Replica0on
Route
53
Failover
Thresholds
ELB
Perfect
Forward
Secrecy
ELB
SSL
ELB
SSL
Security
Policies

106. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.106
Align with Familiar Enterprise Security Models
• Policies and Standards
• Threat IntelligenceAnticipate
• Access Control
• Network Architecture
• Active Response
Deter
• IDS
• Log analysis
• Alerting
• Security Operations Center
Detect
• Incident Response to
CompromiseRespond
• Disaster Recovery/BCP
• Known Good State
• Forensics
Recover
Confidentiality
Integrity
Availability
Identity
Authentication
Authorization
Audit
Security Fundamentals Security Capabilities Framework

107. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.107
"Anticipate" Objective
People
Monitor
Manage
Network
Storage
&
Content
Instance
Database
Log,
Audit,
&
Analyze
Monitor
&
Alert
Pla9orm
Amazon
CloudWatch
Amazon
SNS
No0fica0ons
AWS
Abuse
No0fica0ons
Trusted
Advisor
Amazon
EMR
Amazon
Kinesis
S3,
ELB,
CloudFront
Access
Logs
Applica0on
Logs
Database
Logs
Opera0ng
System
Logs
AWS
Internet
Security
VPC
Peering
Security
Groups
VPC
VPN
Gateway
VPC
Subnets
VPC
NACLs
VPC
Rou0ng
Tables
Direct
Connect
Geographic
Diversity
S3
ACLs,
Bucket
Policies
S3,
Glacier
Server-­‐Side
Encryp0on
S3
MFA
Delete
Lifecycle
Rules
CloudFront
Custom
SSL
S3,
Glacier
SSL
S3
Object
Metadata
Storage
Gateway
SSL
CloudFront
Signed
URLs
Auto
Scaling
SSH
Keys
Bas0on
Host
Bootstrapping
Amazon
Machine
Images
(AMIs)
CloudFront
Load
Distribu0on
Penetra0on
Tes0ng
Process
Oracle
Transparent
Data
Encryp0on
MS-­‐SQL
SSL
Oracle
NNE
Redshfit
Cluster
Encryp0on
RDS
Auto
Minor
Patching
MS-­‐SQL
Transparent
Data
Encryp0on
DynamoDB
SSL
EMR
Job
Flow
Roles
Access
Policy
Language
AWS
SA’s
&
ProServe
AWS
Sales,
Support,
TAM
Security
Opera0ons
Center
Elas0c
Beanstalk
Rolling
Patching
MySQL
SSL
PostgreSQL
SSL
SimpleDB
SSL
Redshi]
Encrypted
S3
Backups
DynamoDB
Fine
Grained
Access
Route
53
Health
Checks
Access
Policy
Simulator
Authen0cate
&
Authorize
IAM
Users,
Groups
&
Roles
IAM
MFA
AWS
Marketplace
Offerings
IAM
STS
Federa0on
IAM
Password
Policy
IAM
SAML
2.0
IAM
Web
Iden00es
S3
Object
Versioning
S3
Object
ETags
AWS
Forums
&
Documenta0on
AWS
Service
Level
Agreements
AWS
Training
&
Cer0fica0on
AWS
CloudTrail
Server
Cer0ficates
AWS
System
Integra0on
Partners
Resource-­‐Level
Permissions
Client-­‐Side
Encryp0on
CloudFront
Geoloca0on
AWS
CloudHSM
Amazon
Redshi]
HIPAA
SOC
1
/
2
/
3
PCI
DSS
Level
1
ISO
27001
FedRAMP
DIACAP
and
FISMA
ITAR
FIPS
140-­‐2
CSA
MPAA
AWS
Assurance
Programs
Organize,
Deploy,
&
Operate
AWS
OpsWorks
AWS
CloudForma0on
Resource
Tagging
Snapshots
&
Replica0on
AWS
Elas0c
Beanstalk
Design
Overview
of
Security
Processes
Logging
in
AWS
Whitepapers
Governance
for
AWS
AWS
Webinars
&
Videos
AWS
Security
Best
Prac0ces
AWS
Security
Test
Drive
Labs
Opera0onal
Checklists
for
AWS
Security
for
Microso]
Apps
on
AWS
Plan
AWS
Compliance
Forum
AWS
Simple
Monthly
Calculator
AWS
Reference
Architectures
AWS
Risk
and
Compliance
AWS
Audi0ng
Security
Checklist
Customer
&
Partner
Whitepapers
Dedicated
Instances
Cross-­‐Region
Backups/
Replica0on
Route
53
Failover
Thresholds
ELB
Perfect
Forward
Secrecy
ELB
SSL
ELB
SSL
Security
Policies

108. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.108
"Deter" Objective
People
Monitor
Manage
Network
Storage
&
Content
Instance
Database
Log,
Audit,
&
Analyze
Monitor
&
Alert
Pla9orm
Amazon
CloudWatch
Amazon
SNS
No0fica0ons
AWS
Abuse
No0fica0ons
Trusted
Advisor
Amazon
EMR
Amazon
Kinesis
S3,
ELB,
CloudFront
Access
Logs
Applica0on
Logs
Database
Logs
Opera0ng
System
Logs
AWS
Internet
Security
VPC
Peering
Security
Groups
VPC
VPN
Gateway
VPC
Subnets
VPC
NACLs
VPC
Rou0ng
Tables
Direct
Connect
Geographic
Diversity
S3
ACLs,
Bucket
Policies
S3,
Glacier
Server-­‐Side
Encryp0on
S3
MFA
Delete
Lifecycle
Rules
CloudFront
Custom
SSL
S3,
Glacier
SSL
S3
Object
Metadata
Storage
Gateway
SSL
CloudFront
Signed
URLs
Auto
Scaling
SSH
Keys
Bas0on
Host
Bootstrapping
Amazon
Machine
Images
(AMIs)
CloudFront
Load
Distribu0on
Penetra0on
Tes0ng
Process
Oracle
Transparent
Data
Encryp0on
MS-­‐SQL
SSL
Oracle
NNE
Redshfit
Cluster
Encryp0on
RDS
Auto
Minor
Patching
MS-­‐SQL
Transparent
Data
Encryp0on
DynamoDB
SSL
EMR
Job
Flow
Roles
Access
Policy
Language
AWS
SA’s
&
ProServe
AWS
Sales,
Support,
TAM
Security
Opera0ons
Center
Elas0c
Beanstalk
Rolling
Patching
MySQL
SSL
PostgreSQL
SSL
SimpleDB
SSL
Redshi]
Encrypted
S3
Backups
DynamoDB
Fine
Grained
Access
Route
53
Health
Checks
Access
Policy
Simulator
Authen0cate
&
Authorize
IAM
Users,
Groups
&
Roles
IAM
MFA
AWS
Marketplace
Offerings
IAM
STS
Federa0on
IAM
Password
Policy
IAM
SAML
2.0
IAM
Web
Iden00es
S3
Object
Versioning
S3
Object
ETags
AWS
Forums
&
Documenta0on
AWS
Service
Level
Agreements
AWS
Training
&
Cer0fica0on
AWS
CloudTrail
Server
Cer0ficates
AWS
System
Integra0on
Partners
Resource-­‐Level
Permissions
Client-­‐Side
Encryp0on
CloudFront
Geoloca0on
AWS
CloudHSM
Amazon
Redshi]
HIPAA
SOC
1
/
2
/
3
PCI
DSS
Level
1
ISO
27001
FedRAMP
DIACAP
and
FISMA
ITAR
FIPS
140-­‐2
CSA
MPAA
AWS
Assurance
Programs
Organize,
Deploy,
&
Operate
AWS
OpsWorks
AWS
CloudForma0on
Resource
Tagging
Snapshots
&
Replica0on
AWS
Elas0c
Beanstalk
Design
Overview
of
Security
Processes
Logging
in
AWS
Whitepapers
Governance
for
AWS
AWS
Webinars
&
Videos
AWS
Security
Best
Prac0ces
AWS
Security
Test
Drive
Labs
Opera0onal
Checklists
for
AWS
Security
for
Microso]
Apps
on
AWS
Plan
AWS
Compliance
Forum
AWS
Simple
Monthly
Calculator
AWS
Reference
Architectures
AWS
Risk
and
Compliance
AWS
Audi0ng
Security
Checklist
Customer
&
Partner
Whitepapers
Dedicated
Instances
Cross-­‐Region
Backups/
Replica0on
Route
53
Failover
Thresholds
ELB
Perfect
Forward
Secrecy
ELB
SSL
ELB
SSL
Security
Policies

109. © 2015 Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified or distributed in whole or in part without
the express consent of Amazon.com, Inc.109
"Detect" Objective
People
Monitor
Manage
Network
Storage
&
Content
Instance
Database
Log,
Audit,
&
Analyze
Monitor
&
Alert
Pla9orm
Amazon
CloudWatch
Amazon
SNS
No0fica0ons
AWS
Abuse
No0fica0ons
Trusted
Advisor
Amazon
EMR
Amazon
Kinesis
S3,
ELB,
CloudFront
Access
Logs
Applica0on
Logs
Database
Logs
Opera0ng
System
Logs
AWS
Internet
Security
VPC
Peering
Security
Groups
VPC
VPN
Gateway
VPC
Subnets
VPC
NACLs
VPC
Rou0ng
Tables
Direct
Connect
Geographic
Diversity
S3
ACLs,
Bucket
Policies
S3,
Glacier
Server-­‐Side
Encryp0on
S3
MFA
Delete
Lifecycle
Rules
CloudFront
Custom
SSL
S3,
Glacier
SSL
S3
Object
Metadata
Storage
Gateway
SSL
CloudFront
Signed
URLs
Auto
Scaling
SSH
Keys
Bas0on
Host
Bootstrapping
Amazon
Machine
Images
(AMIs)
CloudFront
Load
Distribu0on
Penetra0on
Tes0ng
Process
Oracle
Transparent
Data
Encryp0on
MS-­‐SQL
SSL
Oracle
NNE
Redshfit
Cluster
Encryp0on
RDS
Auto
Minor
Patching
MS-­‐SQL
Transparent
Data
Encryp0on
DynamoDB
SSL
EMR
Job
Flow
Roles
Access
Policy
Language
AWS
SA’s
&
ProServe
AWS
Sales,
Support,
TAM
Security
Opera0ons
Center
Elas0c
Beanstalk
Rolling
Patching
MySQL
SSL
PostgreSQL
SSL
SimpleDB
SSL
Redshi]
Encrypted
S3
Backups
DynamoDB
Fine
Grained
Access
Route
53
Health
Checks
Access
Policy
Simulator
Authen0cate
&
Authorize
IAM
Users,
Groups
&
Roles
IAM
MFA
AWS
Marketplace
Offerings
IAM
STS
Federa0on
IAM
Password
Policy
IAM
SAML
2.0
IAM
Web
Iden00es
S3
Object
Versioning
S3
Object
ETags
AWS
Forums
&
Documenta0on
AWS
Service
Level
Agreements
AWS
Training
&
Cer0fica0on
AWS
CloudTrail
Server
Cer0ficates
AWS
System
Integra0on
Partners
Resource-­‐Level
Permissions
Client-­‐Side
Encryp0on
CloudFront
Geoloca0on
AWS
CloudHSM
Amazon
Redshi]
HIPAA
SOC
1
/
2
/
3
PCI
DSS
Level
1
ISO
27001
FedRAMP
DIACAP
and
FISMA
ITAR
FIPS
140-­‐2
CSA
MPAA
AWS
Assurance
Programs
Organize,
Deploy,
&
Operate
AWS
OpsWorks
AWS
CloudForma0on
Resource
Tagging
Snapshots
&
Replica0on
AWS
Elas0c
Beanstalk
Design
Overview
of
Security
Processes
Logging
in
AWS
Whitepapers
Governance
for
AWS
AWS
Webinars
&
Videos
AWS
Security
Best
Prac0ces
AWS
Security
Test
Drive
Labs
Opera0onal
Checklists
for
AWS
Security
for
Microso]
Apps
on
AWS
Plan
AWS
Compliance
Forum
AWS
Simple
Monthly
Calculator
AWS
Reference
Architectures
AWS
Risk
and
Compliance
AWS
Audi0ng
Security
Checklist
Customer
&
Partner
Whitepapers
Dedicated
Instances
Cross-­‐Region
Backups/
Replica0on
Route
53
Failover
Thresholds
ELB
Perfect
Forward
Secrecy
ELB
SSL
ELB
SSL
Security
Policies