Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報

723 visualizaciones

Publicado el

以下のイベントでお話した際の資料です。
Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯
https://fin-jaws.connpass.com/event/174458/

Publicado en: Ingeniería
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報

  1. 1. © 2020, Amazon Web Services, Inc. or its Affiliates. 1 アマゾン ウェブ サービス ジャパン株式会社 2020年5⽉25⽇ AWSのPCI DSSへの取り組みと 押さえておきたい⽿寄り情報 Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯
  2. 2. © 2020, Amazon Web Services, Inc. or its Affiliates. 2 ⾃⼰紹介 名前:中島 智広(なかしま ともひろ) 所属:技術統括本部 職種:セキュリティソリューションアーキテクト 業務:お客様のセキュリティの取り組みを AWSの利活⽤の視点からご⽀援 • セキュリティアーキテクチャ、運⽤設計の⽀援 • PCI DSSをはじめとするコンプライアンスプログラムへの準拠⽀援 • 公式トレーニング「Security Engineering on AWS」インストラクター
  3. 3. © 2020, Amazon Web Services, Inc. or its Affiliates. 3 Table of contents • はじめに • AWSにおけるPCI DSS準拠の基本的な考え方 • AWSの取り組みとリファレンスマテリアルの紹介 • 準拠と維持に有用なAWSサービス • まとめにかえて
  4. 4. © 2020, Amazon Web Services, Inc. or its Affiliates. 4 はじめに
  5. 5. © 2020, Amazon Web Services, Inc. or its Affiliates. 5 PCI DSSが改めて着⽬されている背景 デジタル化へシフト スマートフォンの採⽤拡⼤ と⾮現⾦取引のための新し いチャネルにより加速 新しいノンバンク と 決済サービスプロバイ ダ (PSPs) が伝統的な チャネル外で取引を可能に する決済サービス、技術を 提供 ストレスのない決済経験、 ワンタッチオプション、イ ンスタント決済などの 顧客ニーズの変化 透明性、セキュリティ、イ ノベーション、相互運⽤性、 競争を促進する規制当局 の漸進的な変化 変わりつつあるグローバル決済の様相
  6. 6. © 2020, Amazon Web Services, Inc. or its Affiliates. 6 PCI DSS準拠・維持のよくある課題感 • 準拠・維持運⽤の負荷 • レギュレーションへの追従と設備投資 • 担当者で異なるQSA(審査⼈)の解釈 etc・・・
  7. 7. © 2020, Amazon Web Services, Inc. or its Affiliates. 7 PCI DSS準拠に対するAWSのお客様の声 “AWSの活⽤により、全てにおいて時間の掛かる⾦融業界で、スピード 感を持って対応をしている。我々は、⾦融プロダクトのみにフォーカ スできる。AWS CloudFormationの活⽤により、PCI対応を容易 にすることができました。” ‒—Tom Wanielista, Engineer, Simple “Stripe は、2011年以来、AWS 上にてPCI DSSに準拠した決済プラット フォームを運⽤しています。AWS のセキュリティ、監査の容 易性を⾼く評価し、AWS 活⽤する決め⼿となりました。” — Jorge Ortiz, Infrastructure Manager, Stripe “弊社のようにすべて のサービスをAWS上で稼働しているような状態 でも全く問題なく、PCI DSSに準拠することができました。 その上、導⼊や運⽤のコスト⾯及びサービスのスケーラビリティも 考慮すると、AWSを使わない⼿はありません。 — コイニー株式会社 代表取締役 佐俣奈緒⼦⽒ Online payment processor Online US bank
  8. 8. © 2020, Amazon Web Services, Inc. or its Affiliates. 8 AWSを利⽤すると準拠が容易になる? このあと「なぜ?」を解説します。
  9. 9. © 2020, Amazon Web Services, Inc. or its Affiliates. 9 AWSにおける PCI DSS準拠の基本的な考え⽅
  10. 10. © 2020, Amazon Web Services, Inc. or its Affiliates. 10 クラウドにおけるPCI DSS準拠の指針 Information Supplement: PCI DSS Cloud Computing Guidelines カード保有者のデータ環境を管理しているお客様向けに、クラウドでの PCI DSS 管理作業の留意事項を記載したもの https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Cloud_Guidelines_v3.pdf
  11. 11. © 2020, Amazon Web Services, Inc. or its Affiliates. 11 責任共有モデル AWS クラウドのセキュリティ に対する責任 SECURITY ʻOFʼ THE CLOUD お客様 クラウド内のセキュリティ に対する責任 SECURITY ʻINʼ THE CLOUD お客様のデータ プラットフォーム、アプリケーション、IDとアクセス管理 オペレーティングシステム、ネットワークとファイアウォール構成 クライアント側データ暗号化 データ整合性認証 サーバー側暗号化 (ファイルシステムやデータ) ネットワークトラフィック保護 (暗号化、整合性、アイデンティ ティ) ハードウェア/AWSグローバルインフラストラクチャー ソフトウェア リージョン アベイラビリティ ゾーン エッジロケーション コンピュート ストレージ データベース ネットワーキング https://aws.amazon.com/jp/compliance/shared-responsibility-model/
  12. 12. © 2020, Amazon Web Services, Inc. or its Affiliates. 12 マネージドサービス利⽤による審査範囲の削減 Power, HVAC, net Rack & stack Server maintenance OS patches DB s/w patches Database backups Scaling High availability DB s/w installs OS installation App optimization Power, HVAC, net Rack & stack Server maintenance OS patches DB s/w patches Database backups Scaling High availability DB s/w installs OS installation App optimization Power, HVAC, net Rack & stack Server maintenance OS patches DB s/w patches Database backups Scaling High availability DB s/w installs OS installation App optimization オンプレミス On EC2 RDS お客様 たとえば、データベース管理のフルマネージド化
  13. 13. © 2020, Amazon Web Services, Inc. or its Affiliates. 13 オンプレミスとAWS、審査⼿法の違い お客様の統制領域 AWSの統制領域 お客様の統制領域 QSAとお客様が 合意した⼿法で 全体を審査 AWSの提供する ドキュメント※を 確認 QSAとお客様が 合意した⼿法で 審査 お客様の審査範囲 オンプレミス AWS ※「PCI DSS Attestation of Compliance (AOC)およびResponsibility Summary 」
  14. 14. © 2020, Amazon Web Services, Inc. or its Affiliates. 14 PCI DSSワークロードをAWSに移⾏するメリット/考え⽅ • 責任共有モデルに基づく審査範囲の⼤幅な削減 • AWSの豊富なサービスや機能を活⽤ • より効率的に、より⾼いセキュリティを実現
  15. 15. © 2020, Amazon Web Services, Inc. or its Affiliates. 15 AWSの取り組みと リファレンスマテリアル
  16. 16. © 2020, Amazon Web Services, Inc. or its Affiliates. 16 PCIコンプライアンスへの取り組み 認定審査機関(QSA)のチームを組織し、AWSとお客様ワークロードの PCIコンプライアンス準拠を⽀援 https://ja.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors
  17. 17. © 2020, Amazon Web Services, Inc. or its Affiliates. 17 AWS is a PCI DSS-compliant Level 1 Service Provider https://aws.amazon.com/jp/compliance/services-in-scope/
  18. 18. © 2020, Amazon Web Services, Inc. or its Affiliates. 18 PCI Compliance Package PCI DSS Cloud Computing Guidelinesに沿った内容を、AWS Artifactを 通じて提供しています • PCI DSS Attestation of Compliance (AOC) • PCI SSC 認定審査機関によって提供され、AWSがPCI DSSレベル1に準拠 したサービスプロバイダであることを証明する準拠証明書 • Responsibility Summary • PCI SSC 認定審査機関(QSA)によって提供され、AWS とお客様の間で コンプライアンスに関する責任をどのように分担するかを説明
  19. 19. © 2020, Amazon Web Services, Inc. or its Affiliates. 19 スプレッドシート版 Responsibility Summary 整理に便利なスプレッドシート版のご⽤意があります Responsibility Summary PDF内に スプレッドシートが埋め込まれている
  20. 20. © 2020, Amazon Web Services, Inc. or its Affiliates. 20 AWSにおけるスコーピングの考え⽅ https://aws.amazon.com/jp/blogs/news/new- whitepaper-available-architecting-for-pci-dss- segmentation-and-scoping-on-aws/
  21. 21. © 2020, Amazon Web Services, Inc. or its Affiliates. 21 AWSにおけるPCI DSS準拠のガイダンス https://d1.awsstatic.com/whitepapers/compli ance/pci-dss-compliance-on-aws.pdf
  22. 22. © 2020, Amazon Web Services, Inc. or its Affiliates. 22 PCI DSS コンプライアンスの標準化アーキテクチャ https://aws.amazon.com/jp/quickstart/architecture/compliance-pci/
  23. 23. © 2020, Amazon Web Services, Inc. or its Affiliates. 23 準拠と維持に有⽤なAWSサービス
  24. 24. © 2020, Amazon Web Services, Inc. or its Affiliates. 24 AWS セキュリティ・ソリューション AWS Identity & Access Management (IAM) AWS Single Sign-On AWS Directory Service Amazon Cognito AWS Organizations AWS Secrets Manager AWS Resource Access Manager AWS Security Hub Amazon GuardDuty AWS Config AWS CloudTrail Amazon CloudWatch VPC Flow Logs AWS Systems Manager AWS Shield AWS WAF – Web application firewall AWS Firewall Manager Amazon Inspector Amazon Virtual Private Cloud (VPC) AWS Key Management Service (KMS) AWS CloudHSM AWS Certificate Manager Amazon Macie AWS Config Rules AWS Lambda アイデンティティ & アクセス管理 発見的 統制 インフラストラクチャ 保護 インシデント 対応 データ 保護 豊富なサービスや機能をPCI DSS準拠に利用可能
  25. 25. © 2020, Amazon Web Services, Inc. or its Affiliates. 25 本⽇は以下2つをピックアップしてご紹介します Amazon Macie ⼤規模な機密データを検出して保 護する AWS Security Hub セキュリティアラートの⼀元的な 表⽰および管理を⾏い、セキュリ ティチェックを⾃動化する 2020年 2月 機 能 追 加 2020年 5月 新 バ ー ジ ョ ン
  26. 26. © 2020, Amazon Web Services, Inc. or its Affiliates. 26 AWS Security Hub AWS Security Hub • アカウント、サービス、サードパーティー製品のセキュリ ティ検出結果を統合 • サポートする「セキュリティ標準」のルールに対して⾃動 的かつ継続的なチェックを実⾏した結果を⽣成 PCI DSS v3.2.1 CIS Benchmark AWS 基礎セキュリティのベストプラクティス サポートする「セキュリティ標準」(2020年5⽉現在)
  27. 27. © 2020, Amazon Web Services, Inc. or its Affiliates. 27 AWS Security Hub セキュリティ標準の活⽤ 煩雑なコンプライアンスプログラムの準拠と維持を効率化 たとえば 「 PCI DSS v3.2.1 セキュリティ標準」を有効化し、検出結果のナビ ゲーションに従うことで、PCI DSS準拠に必要な統制が整う。 さらに運⽤フェーズの準拠状況を継続的モニタリングにより確実にする。 AWS Security Hubセキュリティ基準に よってナビゲーションされる統制 コンプライアンス 準拠に必要な統制
  28. 28. © 2020, Amazon Web Services, Inc. or its Affiliates. 28 Amazon Macie Amazon Macie • クレジットカード番号(PAN)、個⼈特定情報 (PII)、個⼈医 療情報 (PHI)、知的財産 (IP)、ソースコード、認証情報など の機密データを識別 • データアクセスに対する可視性を提供する • Amazon S3 に保存されたデータを保護する • 東京を含む17のリージョンで利⽤できる 2020年5⽉ 拡張された新しいバージョンをローンチ、 旧バージョンをMacie Classicに改称
  29. 29. © 2020, Amazon Web Services, Inc. or its Affiliates. 29 Amazon Macie ‒ ユースケース例 データプライバシーとセキュリティのチェック データ・セキュリティを適切なレベルで維持することは重要な観点であり、すなわちそれ は継続的に機微情報を特定し、セキュリティの状況とアクセス管理の状況を評価すること である レギュレーションとコンプライアンスへの適合状況を維持 コンプライアンスチームは、機微情報がどこにあるか監視し、それを正しく保護する、そ して法規制、コンプライアンスが要求するデータ・セキュリティとプライバシー要件を満 たしていることをエビデンスをもって証明する必要がある ⼤量のデータをAWSに移⾏するとき、安全なAmazon S3 環境を初期のステージングエリア として設定し、そこでMacieに機微情報を検出させることが出来る。この検出結果により、 移⾏したデータをどこで保管するか、暗号化リソースタグなどのセキュリティコントロー ルをどのように適⽤するかを判断出来る データ移⾏時の機微情報の検出
  30. 30. © 2020, Amazon Web Services, Inc. or its Affiliates. 30 Amazon Macie - Macie Classic からの主要な変更点 ユーザーエクスペリエンスと スケーラビリティ • ネイティブAWS コンソール対応とフルAPIサ ポート • カスタマー定義のデータ特定ルールによる柔軟 な設定 • 拡張されたマネージド機微データ検出モジュー ル • タグ、 AWS Organizations、Cloud Formation のサポート • 全てのオブジェクトを分類 (Classic は先頭 20MBの制限があった) 価値の向上 • 価格設定の単純化 • CloudTrailのデータイベントコストの削減 • 利⽤状況をAWSコンソール上で可視化 • サポートAWSリージョンの拡⼤ (東京リージョンで利⽤可能に) 異常検知機能、 CloudTrailのS3データイベントの監視機能は GuardDutyに移⾏予定
  31. 31. © 2020, Amazon Web Services, Inc. or its Affiliates. 31 まとめにかえて
  32. 32. © 2020, Amazon Web Services, Inc. or its Affiliates. 32 Key Takeaways • PCI DSSワークロードをAWSに移⾏するメリット/考え⽅ • 責任共有モデルに基づく審査範囲の⼤幅な削減 • AWSの豊富なサービスや機能を活⽤ • より効率的に、より⾼いセキュリティを実現 • 新しい2つのサービス/機能をぜひご利⽤ください • AWS Security Hub PCI DSS v3.2.1セキュリティ標準 • Amazon Macie
  33. 33. © 2020, Amazon Web Services, Inc. or its Affiliates. 33 参照リソース① AWS PCI Compliance Packages https://console.aws.amazon.com/artifact/ PCI DSS スコーピングおよび AWS 上でのセグメンテーションのためのアーキテクチャの設計 https://d1.awsstatic.com/whitepapers/ja_JP/pci-dss-scoping-on-aws.pdf PCI DSS 3.2.1 on AWS Compliance Guide https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws.pdf AWS での PCI DSS コンプライアンスの標準化アーキテクチャ https://aws.amazon.com/jp/about-aws/whats-new/2016/05/pci-dss-standardized-architecture- on-the-aws-cloud-quick-start-reference-deployment/
  34. 34. © 2020, Amazon Web Services, Inc. or its Affiliates. 34 参照リソース② AWS Security Hub PCI DSS v3.2.1 コンプライアンス標準の使⽤⽅法 https://aws.amazon.com/jp/blogs/news/how-to-use-the-aws-security-hub-pci-dss-v3-2-1- standard/ Amazon Macie の⼤幅な機能強化、80% 以上の値下げ、およびグローバルリージョンの拡⼤を発表 https://aws.amazon.com/jp/about-aws/whats-new/2020/05/announcing-major-enhancements- to-amazon-macie-an-80-percent-plus-price-reduction-and-global-region-expansion/ 責任共有モデルとは何か、を改めて考える https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/
  35. 35. © 2020, Amazon Web Services, Inc. or its Affiliates. 35 Q&A
  36. 36. © 2020, Amazon Web Services, Inc. or its Affiliates. 36 ご質問への回答① Q. スプレッドシート版Responsibility Summary はArtifactからダウンロードできる PDFに含まれていますか? A.はい。ArtifactからダウンロードできるPDFの中に、Responsibility Summaryの PDFが含まれており、さらにその中にスプレッドシート版が含まれています。 Q. Security HubのPCI DSS v3.2.1 セキュリティ標準について、PCI DSSの要件に対 するカバレッジを教えてください。 A. PCI DSS v3.2.1 セキュリティ標準のコントロール項⽬は以下に⼀覧がございます。 https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub- pci-controls.html
  37. 37. © 2020, Amazon Web Services, Inc. or its Affiliates. 37 ご質問への回答② Q. Macieの⽇本語対応について教えてください。 A. カスタマー定義のデータ特定ルールでは、⽇本語を含むUnicode⽂字をサポートし ています。 Q. Amazon Macieはどのぐらいの頻度でクロールしますか? A. ワンタイムおよびスケジュールでの実⾏(毎⽇、毎週、毎⽉)をサポートしていま す。 https://docs.aws.amazon.com/ja_jp/macie/latest/user/discovery-jobs.html Q. Macieは、トークナイズなどによって、スコープの縮⼩はできますか? A. Macieは機微情報の検出、可視化、評価を⾏います。検出結果を他のサービスと連 携することによって追加の処理を実⾏(⾃動化)することが可能です。
  38. 38. © 2020, Amazon Web Services, Inc. or its Affiliates. 38 Thank you!

×