Más contenido relacionado La actualidad más candente (20) Similar a 20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜 (20) 20130622 JAWS-UG大阪 AWSの共有責任モデル〜クラウドってセキュリティ大丈夫なの?と聞かれたら〜27. FISMA, DIACAP, and FedRAMP
FISMA
連邦政府および外部委託先に米法で義務づけられた情報セキュリティ強
化義務
DIACAP
国防総省の情報システムの適用規則、不測事態対応計画の立案&テスト
義務
FedRAMP
2012年から米国で運用が開始された、政府のクラウド調達の際に、1つ
の省庁で認証を受けた事業者は、別の省庁でも追加仕様部分以外の認証
を引き継げる制度
31. PCIDSS Level 1
PCI DSS v2
年間600万件以上(VISA※JCBは100万件以上)の
決済件数を扱ってよい認定
州によっては運営が準拠していたことを証明できる
と対象ブランドからの訴訟回避が可能(違約金一
部免除なども)
35. 金融サービス業態に特化した「コミュニティ・クラウ
ド」
Amazon VPC + AWS Direct Connect でインターネ
ットを介さない独立したネットワーク内に存在
ブローカーディーラーのシステムから、NASDAQ
OMXのDCを経由(暗号GW)してAWS内の環境に接
続される
2つのサービス:R3=ストレージサービス、SSR=デ
ータマイニングサービス
FinQloud by NASDAQ OMX
36. 金融機関向け『Amazon Web Services』
対応 セキュリティリファレンス
2012/9 iSiD、NRI、SCSK 3社で共同発表
金融機関等コンピュータシステムの安全対策基準
(FISC安全対策基準)第8版に対応
金融情報システムセンター(FISC)の作成した金融機関等
の自主基準
※第8版追補版はクラウドコンピューティングについて言及
42. System Challenge
PCI-DSS compliant on the cloud?
Mostly, PCI-DSS on own server.
Differences between cloud vs. own server.
AWS Management Console logging?
DMZ, WAF implementation?
NTP server?
Antivirus software?
System auto-lockout?
Log, Log, and LOG! i.e. Firewall log? File consistency? File
monitoring?
Coiney社の資料より抜粋
クラウド上でPCI DSSを取ることができるのか?
必要な対策を講じることができるのか?
46. PCI DSS要件
要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しな
い
要件3: 保存されるカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
要件12: すべての担当者の情報セキュリティポリシーを整備する
47. PCI DSS要件
要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しな
い
要件3: 保存されるカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
要件12: すべての担当者の情報セキュリティポリシーを整備する
68. 参考文献
Amazon Web Services セキュリティプロセス
概要のホワイトペーパー
http://media.amazonwebservices.com/pdf/
AWS_Security_Whitepaper.pdf
セキュリティのベストプラクティス
http://media.amazonwebservices.com/
Whitepaper_Security_Best_Practices_2010.pdf