クラウドエンジニアが本音で語る!
NTTドコモはAWSのセキュリティをこう考えた
福田 俊介
トレンドマイクロ株式会社
プロダクトマーケティング本部
Deep Security担当
守屋 裕樹 様
株式会社NTTドコモ
イノベーション統括部
クラウドソリューション担当
2 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
職
歴
福
田俊介
トレンドマイクロ株式会社
プロダクトマーケティング本部
法人製品マーケティング部
≪2015年~現在≫
サーバ向け製品”Deep Security”のプロダクトマーケティングを担当。
2018年からネットワーク型IPS製品“TippingPoint”も担当。
守
屋裕樹
株式会社NTTドコモ
イノベーション統括部
クラウドソリューション担当
職
歴
≪2013年~現在≫
社内外パブリッククラウド利用コンサルティング
ドコモグループ内向け共通基盤(Deep Securityなど)開発運用
第000893号
3 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
本日のAgenda
① NTTドコモが考える「AWS×セキュリティ」
② トレンドマイクロが考える「AWS×セキュリティ」
③ NTTドコモがTrend Micro Deep Securityを採用した理由
④ NTTドコモはAWSとDeep Securityをどう使っている?
ドコモ様のスライド
トレンドマイクロのスライド
4 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
NTTドコモのAWS利用の特徴
•
2012年から本格的に利用開始
•
サービス系を中心に約400のAWSアカウントを運用中
•
CCoE(Cloud Center of Excellence)チームの存在
5 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
ドコモ社内体制
AWSを利用するプロジェクト
プロジェクトA
プロジェクトB
プロジェクトC
ドコモCCoEチーム
連携
(サポート契約)
ガイドライン/テンプレート作成
共通基盤開発運用
提供
・問い合わせ
・フィードバック
・ノウハウ蓄積
コンサル提供
フィードバック
事例・ノウハウ反映
個別問い合わせ
NEXT:ドコモが考えるセキュリティポイント6 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
ユーザとしてのAWS利用のポイント
「責任共有モデル」は全てのベース
重要なのは「何を守りたいか」
• チェックリストを埋めることがセキュリ
ティ対策ではない,チェックリストで記
載されている対策事項の本質を考える
• 守るべきものを守ることがセキュリティ
対策
• ホワイトペーパーや第三者認証レポートにて
AWSの統制や対策を確認
• AWS Artifactの活用
NEXT:ユーザの責任範囲…ポイントは?7 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
“ユーザ”が実施すべき対策
ソフトウェア脆弱性管理
ウイルス対策
ファイアウォール
IDS/IPS
改ざん検知
ネットワーク管理
構成管理
暗号化
アクセス制御
権限管理
可用性/バックアップ
監視 etc…
AWSの機能で対策
ユーザ独自で対策
ガイドライン化
テンプレート化
どう対策する?
効率的な方法は?
ドコモの場合
NEXT:トレンドマイクロはどう考える?8 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
AWS×セキュリティ 「責任共有モデル」
クラウドの
セキュリティに
責任
クラウド”内”の
セキュリティに
責任
具体的には?
NEXT:ユーザの責任範囲…ポイントは?9 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
攻撃フェーズに合わせた対策
4.侵入拡大
情報漏えい/改ざん
3.
2.初期潜入
1.事前準備
攻撃手法
バックドア
設置
環境確認・侵入
ウイルス設置
脆弱性の悪用
ポートスキャン
脆弱性探索
アクセス権奪取
情報漏えい
改ざん
攻撃手法
環境確認・侵入
ウイルス設置
脆弱性の悪用
ポートスキャン
脆弱性探索
アクセス権
奪取
NEXT:AWSの機能だけで完結?10 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
攻撃フェーズに合わせた対策
4.侵入拡大
情報漏えい/改ざん
3.
2.初期潜入
1.事前準備
バックドア
設置
防御方法
コンプライアンス
準拠
脆弱性棚卸し
パッチ適用
IPSによる脆弱性
攻撃通信の遮断
ウイルス対策
C&C通信検知
変更監視
ユーザ認証
DB暗号化
コマンド実行
検知・遮断
攻撃手法
環境確認・侵入
ウイルス設置
脆弱性の悪用
ポートスキャン
脆弱性探索
アクセス権
奪取
大量の認証試行
検知
意図しないSQL文
検知・防御
IDSによる疑わし
い通信の検知
攻撃方法から見た防御のキーワードは
「脆弱性対策」「多層防御」
NEXT:AWSの機能だけで完結?11 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
AWSの機能・サービスで完結する?
ファイアウォール ユーザー認証
セキュリティ診断 アクセス制御
データ暗号化
施設
サーバ
ネットワーク
法規制対応
物理冗長性
ストレージ
ハイパーバイザー
IAM Amazon InspectorAWS KMS AWS WAF AWS Config AWS Direct Connect Amazon VPC security group Amazon CloudFront
セキュリティ診断
インシデント・レスポンス
アンチマルウェア
IPS/IDS,WAF
フォレンジック
フォレンジック
snapshot AWS Trusted Advisor AWS Shield<AWSが責任を持つ範囲>
<AWSの機能でセキュリティを保てる範囲>
AWSが対策を
実施している範囲
AWSの
セキュリティ
機能を使って
対策する範囲
AWS以外の
サービスを
利用する範囲
<AWS以外のサービスを利用する範囲>
NEXT:ドコモ・トレンドマイクロの共通認識12 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
NTTドコモ・トレンドマイクロの共通認識
•
AWS
セキュリティのベース・キーワード
⇒ 「
責任共有モデル
」
•
①
AWS
の機能で実装するもの
②
セキュリティ製品・サービス
で対策するもの
⇒ この2つを分けて考えて対策する
セキュリティを考える時に気を付けたことは?
NEXT:ドコモが気を付けたこと13 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
セキュリティ対策で避けたいこと
AWSのベストプラクティス
ボトルネックを排除
する
スケールしやすい構成
にする
セキュリティ対策したらボトルネックが
発生し,パフォーマンスが低下
ユーザの腕の
見せどころ!!
セキュリティ対策したら,密結合化
してスケールしづらい構成に
NEXT:Deep Security採用理由①14 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
• ホストインストール型のため,
ネットワーク型に比べ,ボトルネックになりづらい
• AutoScaling対応もされており,
スケールに対応している
• AWS APIを利用した連携
(クラウドアカウントなど)が可能
Trend Micro Deep Securityの採用
15 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
Trend Micro Deep Securityでの対策
ソフトウェア脆弱性管理
ウイルス対策
ファイアウォール
IDS/IPS
改ざん検知
ネットワーク管理
構成管理
暗号化
アクセス制御
権限管理
可用性/バックアップ
監視 etc…
AWSの機能だけで対策しきれない部分
を幅広くDeep Securityでカバー
NEXT:Deep Securityとは16 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
Trend Micro Deep Securityとは
Deep Security Manager
Deep Security
Agent
物理環境
仮想環境
Deep Security
Virtual appliance
クラウド環境
Deep Security
Agent
サーバを多層防御する総合サーバセキュリティ対策製品
NEXT:Deep Securityの優位性17 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
Deep Security on AWS 優位性
守屋様より
【ボトルネックになりにくいホスト型】
【AutoScaling対応】
1.
セキュリティ製品の
スループットに依存しない
2.
万一障害時の影響も
インスタンス単位
3.
必要な時に必要なだけ使える
AWS Management
Console
Deep Security Manager
Deep Security
Agent
同期
増加したAgentを
自動登録
18 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
事例の多さ
AWS上でDeep Securityを導入した事例が多い
調べると導入方法や設定方法などの情報
がたくさん出てくるので参考にしやすい
Deep Security AWS
検索
19 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
Deep Security on AWS導入企業
(一例)
(※社名順不同)
Copyright 2017 Trend Micro Inc. 20
MARKET
LEADER
in server security for
7 straight years!
Symantec
Intel
Other
30%
Source: IDC, Securing the Server Compute Evolution: Hybrid Cloud
Copyright 2018 Trend Micro Inc. 21
16 of 21
controls!
Trend Micro delivers the
most cloud security
controls of all security
vendors evaluated
Market Guide for
Cloud Workload
Protection
Platforms
Published: 22 March 2017
Analyst(s): Neil MacDonald
22 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
トレンドマイクロのテクニカルサポート
サポート体制に満足しています。 & メーカーのサポート
/技術力があるため、安心して顧客に提供できる。
サポートに安心感がある
※ 2017年2月実施 Deep Securityユーザ向け利用実態調査より抜粋有償サポートの満足度
(5点満点)
1
2
3
4
5
数回利用しているが、対応が丁寧で迅速である。
満足度:93.4%
平均:4.69
スタンダードサポートの満足度
(5点満点)
1
2
3
4
5
満足度:90.8%
平均:4.30
※ 2017年にお問い合わせいただいたサポートケースで ご回答いただいたアンケートから抜粋 NEXT:オンライン資料23 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
Deep Security オンライン資料
【Deep Securityヘルプセンター】
•
Deep Security開発チームからの情報発信
も含めた全世界共通のサポート情報ページ。
•
製品の使い方(管理者ガイド)が情報の中心。
【Deep Securityサポートページ】
•
日本のテクニカルサポートチームが作成し
ているサポート情報ページ。
•
日本のお客さまからのよくある質問などを
FAQ化。
•
アップグレードガイドなどの
各種手順書も公開。
https://success.trendmicro.com/jp/product-support/deep-security-10-0 http://esupport.trendmicro.com/ja-jp/enterprise/ds/top https://help.deepsecurity.trendmicro.com/10/0/ja-jp/Welcome.html NEXT:オンライン資料について24 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
確かにオンライン資料は多いけど…
運用者にとって十分な情報ではないことも。
ユーザやSIerが書いているブログ・記事が多数ヒット。
⇒ 実運用に則して書かれているので
分かりやすいことが多い。
Deep Security アラート
検索
NEXT:ドコモのセキュリティ運用25 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
セキュリティの運用背景
• セキュリティポリシーはプロジェクト(≒AWSアカウント)単位
• 運用もプロジェクト(≒AWSアカウント)単位
AWSアカウントA
AWSアカウントB
AWSアカウントC
運用者A
運用者B
運用者C
別の運用体制
別の運用体制
別の運用体制
26 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
対策すべきこと
ドコモセキュリティ基準
Start
機密情報あり
機密情報なし
インターネット
公開あり
インターネット
公開なし
インターネット
公開あり
インターネット
公開なし
Webサーバあり
Webサーバなし
Webサーバあり
Webサーバなし
Webサーバあり
Webサーバなし
Webサーバあり
Webサーバなし
プロジェクトB
プロジェクトA
対策すべきことがプロジェクトによって異なる
NEXT:ドコモのセキュリティ運用27 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
対策の実施方法
AWSアカウントA
AWSアカウントB
AWSアカウントC
ドコモ社員A
ドコモ社員B
ドコモ社員C
運用パートナー様(A社)
運用パートナー様(B社)
運用パートナー様
(C社)
運用支援
運用支援
運用支援
対策の実施方法がプロジェクトによって異なる
28 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
セキュリティの運用時のポイント
• 対策レベルに合わせた対策
各対策レベルに必要な対策ができること
“過度”な対策を強いることで効率を損なわないこと
• 対策方法の柔軟な選択
各プロジェクトの特性に合わせた対策が実施できること
「何を守りたいか」を意識して各プロジェクトで対策
NEXT:Deep Securityどう使っている?29 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
Deep Security Manager共通基盤
DSM共通基盤
Internet
ELB
EC2
EC2
NAT GatewayEC2
EC2
接続先をスケールさせ
るため,DSM-DSA間
はインターネット接続
グローバルIPアドレスを
持たない状態でも
NAT経由でDSMに接続可
プロジェクトA
プロジェクトB
プロジェクトC
NEXT:ドコモ×AWSの方向性30 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
今後のAWS活用
ーAWSはビジネスを成功させる手段ー
• AWSの良さであるAgilityやScalabilityなどを損なうこと
なく,AWSを使いこなす
• これまで蓄積してきたノウハウを積極的に活用し,効率化
や自動化していく
• 新しい技術やサービスは積極的に取り入れる
NEXT:ドコモのノウハウ?31 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
共通基盤化ガイドライン
インシデント対応ガイドライン
IAMデザインパターン
クラウド開発ガイドライン
セキュリティデザインパターン
システム移行ガイドライン
1年目19万円/年 2年目以降10万円
ノウハウの活用
NEXT:Deep Securityの方向性32 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
Trend Micro Deep Securityの方向性
•
AWSの使い方・セキュリティの考え方ともに時代の最先端
をゆき、スタンダードを作ってきたNTTドコモ様。
•
あのドコモ様にご採用いただけるレベルの製品。
–
製品機能・安定性・市場シェア・オンラインの情報(ブログなど)
これまで
安心
そして、これから
•
製品安定・安心感だけではなく、更にAWSとの親和性を高く。
•
セキュリティがAWS利用促進の妨げになってはいけない。
▶
AWS連携強化・セキュリティ自動化の推進。
最適化
NEXT:最後にまとめ33 Copyright © 2018 Trend Micro Incorporated. All rights reserved.