際際滷

クラウドは
セキュリティ議に
裡ないのか
cloudpackが�g樹するセキュリティ��貨から僥ぶ
2015定9埖17晩

�R儲 ��
アイレット幄塀氏芙
cloudpack並�I何
2013定8埖秘芙
‐ブログ／
ロ�`ドバランスすだちくん
http://blog.animereview.jp/

その念はHPCやってました
�ハイ?パフォ�`マンス?コンピュ�`ティング�

赫永雨いっぱいのせて

クラスタ
�Mんだり
するわけです

その念は2定くらい
ニ�`トしてました
�24/365輩�妝�
�ずっとゲ�`ムしてた�

厚にその念は
ドスパラの
隈繁何�にいました

2009定に
GMOさんの
サ�`バ�`恬った�rの
�並
�ITmediaさん�

ある晩シンジは
朕�めるのです

扮旗はクラウドじゃね�

そしてアイレットに
�wび�zむ

まず毅輝したのは
プロジェクトマネ�`ジャ�`

そして徭芙安艶恢厚仟

秤烏セキュリティ砿尖夭販宀

�U�sとセキュリティの
シンクロ楕が�~李議

きっかけは
仟たな�O��鬉�
念販の曜�

CTO�直
仝シンジ埴セキュリティやって�`々

1から�F��梅気�譴�
書に崛ります

室�g薦�ITリテラシ�`�と
セキュリティリテラシ�`は
畠くもって曳箭しない

セキュリティについて僥ぶ

セキュリティって
採のことですか�

箭えばおうちのセキュリティ

かけてるとか
匚でも��欷兇韻襪箸�

まぁいろいろありますよね

こ�`ゆ�`��任い�
セキュリティというのは
だいたいが
秤�鵐札⑤絅螢謄�里海�

じゃあ
秤�鵐札⑤絅螢謄�辰�
なんのことですか

秤�鵐札⑤絅螢謄�蓮�
JIS Q 27002�すなわちISO/
IEC 27002�によって、
秤�鵑了暿榻圈⇒衄�圈�
辛喘來を�S隔することと
協�xされている。
�Wikipedia�

なんのことだか
よくわかりませんが

勣するに
二�Iにおけるセキュリティは
匯協の児�覆�
駅勣ということです

徭芙で児�覆鬚弔�襪發茲�
でも採から返を原けたら
よいのやら

そこで
翌何の�O�忙��

いろんな児�覆�△辰�
それぞれ叨護が�`います

ホ�`ムペ�`ジに
こんなロゴ�Nってたりします

そもそも
プライバシ�`マ�`クとは
なんなのか

��繁秤�鵑砲弔い�
�m俳な隠�o企崔を�vずる
悶崙を屁�笋靴討い�
並�I宀吉を�J協する崙業

��繁秤�鵑糧，�Qいに
フォ�`カスしている崙業

この崙業は
仝忽坪児�福�
だということ

プライバシ�`に
蒙晒しているということ

蝶芙仝ウチは
プライバシ�`マ�`ク
函ってますので
セキュリティは
芦伉して和さい々

隔ってない匍宀よりはね�

シンジが�I宀�x協するときに
プライバシ�`マ�`クを
�つけたら
駅ずやることがあります

JIPDECの巷塀WEBで
�_�J竃栖ます

�g�Hにそこそこいます
�臨阿靴討觧疉腓気�

それほどまでに
プライバシ�`マ�`クの
嗤�塵圓呂△襪里�

函哈枠から
仝プライバシ�`マ�`ク、
函誼されてますよね�々

�Y��ある
シチュエ�`ションです

プライバシ�`マ�`クの
�J岑業は互く、
��繁秤�鵑鯣，�Qううえで
�u��気譴�
匯協の児�覆箸覆襪錣韻任�

これでセキュリティも嵐畠

あくまで��繁秤�鵑�
フォ�`カスしたわけです

じゃあ麿にどんな児�覆��

ISMSとは
秤�黜Y�bを便りながら、
リスク�X�pを佩いましょう
という�m栽來�u��洞�

プライバシ�`マ�`クよりも
秤�黜Y�b畠違に�vする
函り�Qいになりましたね

秤�鵐札⑤絅螢謄�箸郎里寸�
丹�^で�Xく乾れましたね

アクセスを�J辛された宀だけが
秤�鵑亡_�gに
アクセスできること

秤�黜Y�bが頼畠な
彜�Bで隠贋され、
坪否が屎�_であること

秤�黜Y�bが駅勣になったとき、
旋喘できる彜�Bにあること

蒙に酌�砲盃慴�咾気譴襪里�

ISMSを
�_羨
��
�\喘
�O�
�岷し
�S隔し
嗤�燭�C嬬させなさい

クラウト?はセキュリティ議に裡ないのか

ISMSがあるかないかで
芙坪はかなり�笋錣蠅泙�

�M�だった�\喘が駅勣
箭えば
IS溜�T氏�トップ鹿めて埖箭�
IS�\喘溜�T氏��F��2�Lに1指�

�n�}の砿尖
頁屎�I崔
�鷂�
�鮫
PDCAを指す

ISMS函ってる氏芙だ�
これで芦伉だね�

2015定09埖15晩
�人秤�鵑梁��村�k伏

送竃の辛嬬來がある秤��
?お人��のお兆念��h忖およびフリガナ�、
�]宴桑催、ご廖侭、��桑催
?メ�`ルアドレス
?パスワ�`ド
?クレジットカ�`ド秤�鵤┘�`ド氏�T兆、
ご廖侭、カ�`ド桑催、嗤�親斛泯�
?�B兆の圭のお兆念��h忖およびフリガナ�
?お徨��橿ちゃん�の來�e?伏定埖晩?
お兆念��h忖およびフリガナ�?悶嶷 ?フォト
カ�`ド喘の鮫�とメッセ�`ジ
?斌瞳お曙け枠��のお兆念��h忖およびフリガナ�
�]宴桑催、ご廖侭、��桑催

お人��秤�鸛��
辛嬬來のある周方
輝�サイト氏�T21,994周
�坪クレジットカ�`ド秤�鵑△�
13,713周�
斌瞳お曙け枠��を根む�t周方
131,096周

でもなんかぶっちゃけ

晩械画傾並な�櫃�靴泙擦鵤�

たぶんこう房ってるんだと
房うんです

�功��は涙いけど�

その功��を恬る
措い児�覆�△蠅泙�

PCI DSS
Payment Card Industry
Data Security Standard

PCI DSS児�覆�
護と�l訓に厚仟されていて、
書はVersion 3.1です

クレジットカ�`ド秤�鵑�
函哈秤�鵑魄家�吠悗襪燭瓩法�
JCB、アメリカンエキスプレス、
Discover、マスタ�`カ�`ド、
VISAの忽�Hペイメントブランド
5芙が慌揖で貨協した、
クレジット�I順における
グロ�`バルセキュリティ児��

そう、これも
忽�H�鯉

�O�砲鯤椶韻襪箸茲�屬��
ISMSとの�`い

�g廾するWebアプリに
巌樋來が�oいか莿弋弔�
澣かれる

�g廾するインフラに
巌樋來が�oいか
畠�O協�朕を�られる

ミドルウェアなどに
パッチがリリ�`スされたら、
1ヶ埖參坪に�m喘している並を
�^苧しなさい

カ�`ド氏�Tデ�`タを�Qう
システムは、
ほかのシステムと
頼畠に蛍�xしなさい

畠�朕で
400�朕參貧の
�O�吠瀧�

ISMSの��呂蓮�
仝こんな湖じにしてください々

PCI DSSの��呂�
仝こうしなさい々

セキュティとは
こうあるべきだと
はっきりと苧幣している

PCI DSSは嗤�燭覆里��

はっきり冱って、ユ�`ザ�`が
仝あ、PCI DSS隔ってる、
芦伉゛々
なんて冱わないでしょう

PCI DSSを隔ってない
ところとは
返を�Mめませんね
�なんていうことも
あるでしょう�

ユ�`ザ�`に岷俊議には
�v�S�oいかもしれませんが

PCI DSS函誼氏芙で
秤�鸞��靴��

砿尖�販のあるカ�`ド氏芙に
箔められる�p墾の�a��の
�x�佞�瞶�されます

児云議にPCI DSS函誼�rには
�O�暴M�
式び
コンサル氏芙
の2芙が�jみますので

並周�k伏から�{��?粁函り
��O�忙疉腓筌灰鵐汽襪悗�
宥�鵑�薐�咾泙韮��腓�

掲械に�薦な
セキュリティ児��

クレジットカ�`ドを
�Qわない二�Iも
PCI DSSを函誼するように
なってきています

ま�`た400�朕參貧
�tなめします
�バ�`ジョン貧がると
��えることが謹いです�

1定�g�協宥りに
�\喘されているかまで
�O�砲気譴泙�

勣するに
�@�Aが階寄��

ベライゾンジャパン栽揖氏芙
の
2015定の�{��鷂��砲茲襪�

PCI DSSを�@�A議に
��竃栖ている二�Iの護栽は

PCI DSSは、2定參貧
�@�Aしているかどうかで
寄きく�圭が�笋錣蠅泙�
�シンジの�圭�

PCI DSSが芦協議に
�\喘竃栖ている氏芙は
芦伉だね�

いや、�gは�Fがあります

PCI DSSは、
屡贋のシステムとは
蛍�xしたところで
システムを�\喘しなさいと
冱っています

屡贋のシステムは酌��翌

�O�帽��譴�
かなり�協議にできる

PCI DSS函ったし�
ウチの氏芙のセキュリティは
便られているね�
とは冱えない

じゃあどうしたらいいんすか

セキュリティには児�覆�慴�

その児�覆�
どの��譴梅m喘するかも嶷勣

cloudpackの��
AWSを�\喘��Bしている
それをお人��に戻工している
勣するにここが��

じゃあ粥安皆徭附は�

なんかいっぱいあった

? PCI DSS レベル 1
? SOC 1/ ISAE 3402
? SOC 2
? SOC 3
? FIPS 140-2
? CSA
? FedRAMP (SM)
? DIACAP および FISMA
? ISO 27001
? MPAA
? 及 508 訳/VPAT
? HIPAA
? DoD CSM レベル 1-2、3-5
? ISO 9001
? CJIS
? FERPA
? G-Cloud
? IT-Grundschutz
? IRAP�オ�`ストラリア�
? MTCS Tier 3 Certi?cation

AWSが函ってるなら
cloudpackも函ってないと
お人��に芦伉をお曙けできない

クラウドには
こういう深え圭があります

芦畠なインフラは
戻工するけど、
そのうえで�咾�肯錣�
岑らんよ�`

ちょっと
融き慧されている湖も
ありますが、
そうではなくて

オンプレだったら
畠何�なきゃ
いけなかったでしょ�
AWSにすればインフラ中は
販せてくれ�`い

ということなんですね
厚に

OSの�O協が己いよ�`
セキュリティの�O協が己いよ�`
好�鎚椶韻討襪荅`
�岷してくれないとアカウン
トロックしちゃうぞ℃�

なんて縮えてくれますけど
ロックされたら
システム峭まるやん。。。

AWSが恷互の
セキュリティ悶崙を
�Mんでくれていたとしても、
聞う�箸�櫂鵐灰弔世�
畠何ポンコツになるっていう�`

じゃあAWSが函誼している
��しい�O�忙�覆里覆�如�
聞う�箸�海譴笋辰討�韻�
恷互みたいなの
なんかないんですかね

蒙協掲�喟睆�啖��
晩云セキュリティ�O��f氏
JASA

SOC 2
と
SOC 3
って匯桑貧に��い討△�
�ISMSが麗怎りないとか
��譴討泙垢��

致忽巷�J氏�平�f氏
�AICPA�が協めた
サ�`ビス�M��Service
Organization Control�の
�y崙に�vわる
�u��I�佞諒暴Mみ

SOC 3の圭が�イぃ�
�方忖議に�

岷俊、酌�坊�砲卜鼎い討澆�

まず
SOC 1
SOC 2?
SOC 3
があります

SOC 2
セキュリティ
辛喘來
�I尖のインテグリティ
�C畜隠隔
プライバシ�`
これのどれか1つ參貧

SOC 3
SOC 2の坪否を�殆にして
巷�_猟嫗にしたもの

なるほど
叨護が�`うのか
書指はセキュリティに
フォ�`カスしたいので
SOC 2ですね�

いや�gはもう1泣ありまして

Type 1
ある1晩を俳り竃して�O�砲垢�

Type 2
3ヶ埖參貧の豚�gを俳り竃して
�O�砲垢�

なるほど
朕峺すはSOC 2 Type 2
ということですね�

�O�坊��
仝はい、ですが
まずはType 1から
函誼されるのが
措いと房います々

よ�`し
じゃあ
SOC 2 Type 1だ�

そして
2定もの�r埖がかかり

なんやかんややって
2015定8埖31晩
アイレット幄塀氏芙
cloudpack並�I何
SOC2 Type1 鞭�I
�セキュリティと辛喘來�

SOC 2 はこれまでの�O�砲箸�
まるで�`う�O�坊酬�

SOC 2 Type1�鷂��砲蓮�
翌何の�O�坊�砲�蚋�た
ありのままの
畠てが�峰されます

戻竃した�Y創の方
方為ペ�`ジ

システムの借�P彜�rを
採業も採業も
デモンストレ�`ション

ほんと畠何、
並�かく融っ�zまれるので
それが�鷂��譴�
お人��の朕に乾れると房うと

ダメだ
1から畠何恬り岷しだ

�I�佞琶垢�
WindowsやMacなどの
極挑砿尖から兵めた

1岬1岬�{べて
砿尖岬､に��dして
�_�Jして覚�Jして
レビュ�`して

極挑酌篇ソフトを秘れよう

ライセンスも砿尖する

これは宴旋だ
でもサ�`バ�`が駅勣だ

芙坪デ�`タが
インタ�`ネットを
�U喇するってこと�

ダメだ
そんなレポ�`トじゃダメだ

寄昜にも��泣があるし
これから��えるかもしれない
�これが辛喘來�

芙坪�Y�bを�]囃にする��]ざす�
ことにこだわった
インタ�`ネットから侯�xする

インタ�`ネットを聞う氏芙
なので

畠ての指�を��喘�の
庇�L��撹にしました
�並�I�@�A來?辛喘來�

麗尖はどうか
�ファシリティ�

? カ�`ドキ�`による秘曜片砿尖
? �O�カメラ�O崔
? ビルそのものの?
塚寳などのスペック�_�J

蒙に莿廚靴慎磴�
�坿�O��
�並�I�@�A來�

融隼の唯�はもちろんですが
オフィスビルには
定1指の隈協泣��
というのがあり
駅ず唯��r�gが
�k伏します

cloudpackは
24�r�g365晩の�\喘を
佩います

なので
3ライン
ひいた

拶ノ�Tヒルズオフィスでは、
? 詰�嚥A喘�薦工�o
? 互�嚥A喘�薦工�o
? 掲械喘�k��C�薦工�o
この3ライン哈いています

厚に
UPSも方岬�O崔しているので
嵐が匯、2ライン棒んで
�k��Cが�咾㌍爾瓩襪泙任�
40昼�gも塚えられます

仟しくチ�`ムも羨ち貧げました
CSIRT

遺皆鴛檎意ってご贋じですか�

コンピュ�`タセキュリティ
インシデント��鬋践`ム
(Computer Security
Incident Response 意艶温馨�

協械議に巌樋來秤�鵑�Ъ��
佩い、�g�Hにソフトウェア巌
樋來が�k�された��呂砲蓮�
堀やかにその唹�の嗤�oおよ
び�o識業について登僅し、ユ�`
ザ�`��のシステムを契�oする
ために�m俳な��鬉鯰个い泙�

ミドルウェアの巌樋來って
�Y��あるじゃないですか

それ融かれてお人��の
システムが瓜墾鞭けたら
cloudpackも丑しい

ついでに
芙坪インフラも契囮竃栖る
匯墳屈�B

AWSを根む
クラウドサ�`ビスに
俊�Aする�Hに駅勣な麗

インタ�`ネット
アカウント兆
パスワ�`ド

インタ�`ネットは碧圭�oい
でも圧催晒されているか
PCI DSS 3.1児�覆�召┐弌�
SSL3.0はNG
TLS1.2�協

圧催晒宥佚は
芙坪インフラも
畠てそれに��する

そしてアカウント兆と
パスワ�`ド

みなさん
クラウドサ�`ビス
聞われていますか�

駅ずと冱っていいほど
アカウント兆とパスワ�`ドが
駅勣ですよね

そのアカウント兆と
パスワ�`ドが
蝶賞寄��尚紊箸��
��譴燭�

そこで謹勣殆範�^ですよね

2粁�A�J�^を嗤�燭砲垢譴�
アカウント兆や
パスワ�`ドが息れていた
としても、2粁�A朕の�J�^を
宥さなければ
ログイン竃栖ない

そこでシンジは深えた

謹勣殆�J�^しつつ
アカウント兆と
パスワ�`ドが
�oくなればいいんじゃないの

峠たく冱えば
シングルサインオンです

まずパソコンの
�坿を秘れます

ユ�`ザ�`兆と
パスワ�`ド�かれます

シングルサインオンは、
ここで�かれたユ�`ザ�`兆と
パスワ�`ドを聞って、
クラウドサ�`ビスにログイン
しようとします
��かく冱うとちょっと
�`いますがイメ�`ジです�

で、或皆ログインしますよね

とあるクラウドサ�`ビスに
ログインしようとします

そうするとスマホに
宥岑が栖ます
�謹勣殆�J�^�

ようやくログイン
できるわけです

畠てのアカウント兆
パスワ�`ドは
�y栽�J�^サ�`バ�`で
砿尖されています
�Active Directory�

曜芙、俚�、
インシデント�k伏�rでも
�y栽�J�^サ�`バ�`の
アカウントを
ロックするだけで、
AWSはもちろん
畠てのサ�`ビスへの
アクセスを奮い峭めます

PCI DSS児�覆杷鵑瓩蕕譴�
ログ�O�?砿尖?レビュ�`

PCI DSS�O�帽��譴世韻世辰�
これらの恬�Iを畠悶にして、
畠てのネットワ�`ク�C匂や
サ�`バ�`のログを
ログサ�`バ�`に�Ъ�靴�
協械議に蛍裂?アラ�`ト

やたらとログインを
�みようとする極挑を
蒙協したりします

これらは
畠てのネットワ�`クが
�]囃�Wにあるからこそ
できる�g廾なのですが

芙翌から芙坪リソ�`ス�たい
ときはどうすりゃいいの�

��Iが翌竃枠で��e��鰈��
かもしれない
��B�\喘が竃枠でお人��h廠
にログインするかもしれない

OpenVPN根む、
氏芙が�Jめていない俊�Aは
畠て詳倦

氏芙が��襪靴討い�VPNは、
仝�^苧��J�^圭塀々
を�駻�

なのでここにもアカウント兆
とパスワ�`ドがありません

�^苧��離ぅ鵐好肌`ルは、
匯協のワ�`クフロ�`をへて、
�られたメンバ�`のみが
岷俊インスト�`ルすることで
俊�A辛嬬となります

匯業インスト�`ルした�^苧��蓮�
壅旋喘竃栖ないように
してあること

�^苧��鬟┘�好櫞`トして、
徭姙のパソコンに
インスト�`ルしても、
�J�^が宥らない
碧�Mみにしてあります

もちろん、
VPNサ�`バ�`�箸離蹈阿�
ログ�Ъ�稀`バ�`に
僕られていますから、
�O�塘和です

定1指のセキュリティ縮圄
PCI DSS縮圄
秘芙�rのセキュリティ縮圄
アプリケ�`ション巌樋來縮圄
AWS巷塀トレ�`ニング
などなどなど

それ參翌にもあります

お人��への
サ�`ビス瞳�|を隠つ
�これもセキュリティ�

どんな恬�Iが�k伏した��呂�
�lが、いつ、採を、�lの覚�Jを
誼た瘁に、どうするか、�Y惚ど
うなったか、��}があった��
にどう俳り��垢�
�協を軟こし岷して
莿弋弔睦��hするようになった

そして
これらを函りまとめた猟嫗を
巷�_するように冱われる

セキュリティホワイトペ�`パ�`
を��い�
房ったことがあります

SOC 2のレポ�`トも
お人��が�iまれる�iみ麗です

シンジにとっての
セキュリティとは

邑苧來こそが
サ�`ビス戻工並�I宀に
箔められる
恷互のセキュリティだと
深えます

ウチはこんな
すごいWAF聞ってますから゛
とか

IPS/IDSだけじゃなく、
パケット�O�もしてますから゛
とか

アプリケ�`ションはきちんと
巌樋來��Y栽鯉してますので゛
だけじゃなくて

駅勣なのは
それを�\�咾靴討い觧疉腓�
邑苧來

採をしている氏芙で
採ができていて
採ができていないのか
これから
どうしようとしているのか

畠てSOC 2に��譴泙�
ついでに�O�鉾砲�
コメントまで秘ります

偏��魯�薀Ε匹慍三欧�△�
その1了がセキュリティ

なんだかよく蛍からないから

クラウドに�らず
旋喘するサ�`ビスは
そのリスクを�u��靴胴禾个�
その貧で旋喘することが寄並

その�u��鯰个Δ箸④�
翌何�O�砲林�塵圓��われる

匯協の児�覆鰉辰い瀞u��気�
それを巷�_していること

セキュリティは
謹瓷にわたります

徭蛍で冱うのもあれですが
SOC 2レポ�`ト函誼できる
二�Iはそうそうないです

ISMSやPCI DSSなどを
うまく試喘して
並�Iの邑苧來を互めること

それがクラウドを
�咾�箸睚垢�箸�
芦伉芦畠な
セキュリティに�がると
佚じています

際際滷

クラウト?はセキュリティ議に裡ないのか

More Related Content

クラウト?はセキュリティ議に裡ないのか