« IAM新機能:アクセスキーが最後に使われたのはいつかを簡単に知ることができるようになりました | メイン | AWS New Service Meetupを開催しました(資料まとめあり) »

AWS初心者向けWebinar「利用者が実施するAWS上でのセキュリティ対策」資料公開

こんにちは、ソリューションアーキテクトの舟崎です。

2015/4/23に開催されたAWS初心者向けWebinar「利用者が実施するAWS上でのセキュリティ対策」の資料が公開されました。内容としましては、ネットワークセキュリティ・論理アクセス管理・データの保護・監視・ログといったソリューション観点で、幅広く対策方法についてカバーされた資料となっております。そして、AWS初心者の方にご理解いただけるように、本Webinarに関連するAWSサービスの概要や用語の紹介、操作のイメージを掴むためのスクリーンショットなどを多数掲載しております。

AWS初心者はもちろんのこと、すでにAWSをご利用中の方にとってもご参考になるコンテンツになっているはずです!是非ご覧ください。

頂いたご質問と回答

Q1. システム管理者がVPCを不正に操作(ペアリングなど)して本番システムのデータを盗むことについて、一般的にはどのような権限分離で対応すべきでしょうか。

A1. システムの構成による部分が大きいかと思いますが、OSやアプリケーションといったシステムにアクセスできる権限を持つユーザーと、VPCの操作権限を持つユーザーとを別けることが考えられます。
IAMのドキュメントには様々な権限管理のポリシーの例が載せられていますので、是非ご参照ください。
http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/ExampleIAMPolicies.html


Q2. アベイラビリティゾーンは、物理的にまったく別のロケーションにあるという理解でよろしいですか?

A2. はい。各アベイラビリティゾーンは、独立した障害ゾーンとして設計されています。つまり、アベイラビリティゾーンは、一般的な都市地域内で物理的に分離されており、洪水の影響が及ばないような場所にあります(洪水地域の分類はリージョンによって異なります)。個別の無停電電源装置(UPS)やオンサイトのバックアップ生成施設に加え、シングルポイントの障害の可能性を減らすために、別々の電力供給施設から異なる配管網を経由して、個別に電力供給を行っています。これらはすべて、冗長的に、複数の Tier-1 プロバイダに接続されています。
詳しくは下記URLを参照ください。

リージョンとアベイラビリティーゾーン
http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/using-regions-availability-zones.html
Whitepaper:セキュリティプロセスの概要(p.7事業継続性管理)
https://s3.amazonaws.com/awsmedia/jp/wp/AWS+Security+Whitepaper+-+May+2011.pdf

Q3. 改ざん検知でAWSのリポジトリでおすすめの物は有りますか? またCloudWatchとの連携は可能でしょうか?

A3. Amazon LinuxではAIDEのパッケージが含まれています。
またAWS MarketplaceにはSecurity のカテゴリがあり、様々なセキュリティ関連の製品を確認することができます。
お客様のご用件に合わせて製品を選択してください。
CloudWatchとの連携に関しては各製品のイベント取り扱い機能等を確認ください。
https://aws.amazon.com/marketplace/b/2649363011/ref=gtw_navlft_node_2649363011?page=1&category=2649363011


Q4. CloudTrailのログ解析ツールでお薦めは有りますか?

A4. 下記のサイトでCloudTrailとの連携を行うパートナー様のご紹介をさせて頂いております。
http://aws.amazon.com/jp/cloudtrail/partners/

Q5. CloudWatchでWindowsログ(イベントログ)を監視することはできますか?

A5. AWSのサービスでWindowsのログを監視することをご検討の際はCloudWatch LogsとEC2Configという機能を連携させます。
詳細に関しては以下のURLを参照ください。
http://aws.typepad.com/aws_japan/2014/11/additional-cloudwatch-logs-windows.html
http://blogs.aws.amazon.com/application-management/post/Tx1KG4IKXZ94QFK/Using-CloudWatch-Logs-with-Amazon-EC2-Running-Microsoft-Windows-Server

Q6. マイナンバー制度導入の要件は満たされているのでしょうか

A6. お客様は AWS クラウドインフラストラクチャを基盤にシステムを構築することになりますので、セキュリティ上の責任は分担となります。基盤となるインフラストラクチャのセキュリティは AWS が確保していますが、そのインフラストラクチャにお客様が配置または接続するもののセキュリティは、すべてお客様が保護する必要があります。

お客様が適切なセキュリティ管理が実施されていることを確認するために、AWS はサードパーティによる認証および評価を受けています。AWS は、ISO 27001 認証を取得しているほか、Payment Card Industry(PCI)データセキュリティ基準(DSS)のレベル 1 サービスプロバイダとしても認定されています。AWS は、毎年 SOC 1 監査を受け、米国連邦政府システムの Moderate レベルおよび DoD システムの DIACAP Level 2 としての評価を獲得しています。

いずれの認証も、特定のセキュリティ管理が目的どおりに実施、運用されていることが監査人によって検証されたことを意味しています。該当するコンプライアンスレポートを参照するには、AWS の顧客担当者までお問い合わせください。AWS が準拠する規制や基準についての詳細は、AWS コンプライアンスウェブページまたは AWS リスクとコンプライアンス ホワイトペーパーを参照してください。

AWSコンプライアンス
http://aws.amazon.com/jp/compliance/

Whitepaper : AWS リスク及びコンプライアンス
http://d36cz9buwru1tt.cloudfront.net/jp/wp/AWS%20Risk%20and%20Compliance%20Whitepaper.pdf

以上です。5月のAWS初心者向けWebinarについては、こちらの記事で掲載いたしております。多くの方のご参加をお待ちしております。

コメント

Twitter, Facebook

このブログの最新情報はTwitterFacebookでもお知らせしています。お気軽にフォローください。

2018年4 月

1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30