KDDI 流クラウド・セキュリティ～「大企業のクラウド適応」秘伝のレシピ～

(1)

KDDI流クラウド・セキュリティ

〜「⼤企業のクラウド適応」秘伝のレシピ〜

AWS Summit Tokyo 2017

2017.05.31

(2)

1 ⾃⼰紹介

⼤橋衛

（オオハシマモル）

アジャイル開発センター

アジャイル開発３グループ

課⻑補佐

AWSアカウント管理統制＆アーキテクチャコンサルチーム

チームリーダー

アプリエンジニア12年

インフラエンジニア4年

クラウドエンジニア4年⽬(=AWS歴)

好きなAWSサービス：IAM/SNS/Lambda

KDDI株式会社/技術統括本部/プラットフォーム開発本部所属

(3)

AWS Summit Tokyo 2016

_での発表

2 “au

”

Infrastructure as Code

Immutable Infrastructure

Operations & Monitoring

(4)

アジェンダ

3 n

⼤企業におけるクラウド適応秘伝のレシピ

n

情報セキュリティ対策実現事例のご紹介

n

『auでんき⾒える化アプリ』

n

『KDDI API Gateway』

(5)

4 AWS利⽤のはじまり

2013-1Q

最初のAWSアカウント取得

2Q

調査／PoC本格始動

4Q

初の事業⽤システムローンチ

2014-3Q

初の実証研究案件ローンチ

そして、

2014年某⽇

(6)

5 AWSによるシャドーIT が

社内に広がり始めている…

(7)

6 AWSによる“シャドーIT”の広まり

n

魅⼒的で破壊的な技術の登場にはつきもの

n

「インフラを持っている事」に慣れすぎた

⼈間が安直に扱うには危険すぎる

n

セキュリティ監査部⾨と連携し、

シャドーIT対策に乗り出す

(8)

Q. 社内のシャドーITを抑⽌し

AWSを安全に利⽤させるには

(9)

A. AWSを社内で

(10)

⼤企業のクラウド適応秘伝のレシピ

9 基

準

改

訂

規

定

新

設

統

制

機

能

AWSの社内正式採⽤

(11)

社内基準への適合

10 『KDDIシステム開発セキュリティ基準(仮)』

ü

200項⽬超に及ぶチェックリスト

ü

⻑年の電気通信設備開発で鍛え上げられた

開発・運⽤の厳格なセキュリティ要件

ü

社内システムはこの基準を全てクリアするのが必須

セキュリティ虎の巻

(12)

要素分解と要件の統廃合

11 現⾏基準

（オンプレベース）

p

要件1

p

要件2

p

要件3

p

要件4

p

要件5

分解

p

要件1

p

要件2

p

要件3

統廃合

新基準

（AWS版）

結合

p

実装1

p

実装2

p

実装3

p

実装4

p

実装5

対応

(13)

・・・

システム開発セキュリティ基準(AWS版)

12

(14)

⼤企業のクラウド適応秘伝のレシピ

13 基

準

改

訂

規

定

新

設

統

制

機

能

AWSの社内正式採⽤

(15)

14 Ø

全社横断的な取組みである「Publicクラウド利⽤規

定(仮)」の策定会議に参画

Ø

先の基準をこの規定に関連づけた

Ø

アジャイル開発センターもこの規定の運⽤フローに

関与

AWSはKDDI内で公的に使える

Publicクラウドとして認定

クラウド利⽤規定の新設

(16)

15

(17)

⼤企業のクラウド適応秘伝のレシピ

16 基

準

改

訂

規

定

新

設

統

制

機

能

AWSの社内正式採⽤

(18)

(19)

情報セキュリティ管理統制モデル

18 グループ

/ポリシー適用

監査証跡保全

rootアカウント管理

基底ガバナンス導入

グループ

/ポリシー設計

IAMユーザー管理

利⽤部⾨

アジャイル

開発

センター

AWS

CloudTrail AWS IAM

AWS Account

(20)

AWSアカウント管理統制（アカウント発⾏時）

19

(21)

20 root管理

監査証跡

権限統制

違反検知

自動回復

(22)

21 root管理

監査証跡

権限統制

違反検知

自動回復

【⽬的】特権ユーザー分離／内部犯⾏の回避

(23)

22 root管理

監査証跡

権限統制

違反検知

自動回復

(24)

23 root管理

監査証跡

権限統制

違反検知

自動回復

【⽬的】監査証跡ログの保全

CloudTrail

S3 Bucket

CloudTrail

有効化

バケット

保護

(25)

24 root管理

監査証跡

権限統制

違反検知

自動回復

(26)

25 root管理

監査証跡

権限統制

違反検知

自動回復

Security

ReadOnly)

Security

All Deny

Policy

CloudTrail CloudTrail

IAM

SNS

etc

【⽬的】デフォルトガバナンス適⽤とその保護

(27)

26 root管理

監査証跡

権限統制

違反検知

自動回復

(28)

27 root管理

監査証跡

権限統制

違反検知

自動回復

【⽬的】“ガバナンス違反”と”想定外事象”の検知

Access Deny

Read Only

Full Access

AGDC

C

(29)

28 root管理

監査証跡

権限統制

違反検知

自動回復

(30)

29 root管理

監査証跡

権限統制

違反検知

自動回復

【⽬的】ベースラインポリシーの強制適⽤

Access Deny

Read Only

Full Access

AGDC

(31)

AWSアカウント管理統制(全体像)

30

User Group Role

…

User Group Role User Group Role

アジャイル

開発

センター

(32)

AWSアカウント管理統制（アカウント発⾏後）

31 In-Development

In-Development

In-Service

Service-In

PoC/Dev/Stg

アカウント

Prd

アカウント

利用部門のアクセス権限

In-Development

In-Service

Security統制リソース

禁止

IAMユーザー管理

可

IAMグループ/ロール/ポリシー

可

禁止

システム用リソース

可

最小限（更新

は要申請）

発行

(33)

⼤企業のクラウド適応秘伝のレシピ

32 基

準

改

訂

規

定

新

設

統

制

機

能

AWSの社内正式採⽤

(34)

AWS利⽤状況推移(費⽤)

33

0

50

100

150

200

250

300

350

400

450 Scaled

400 usage!

’13-7月

’17-4月

’16-4月

(35)

AWS利⽤状況推移(アカウント数)

34 AWS

AWS

’17-4月

(36)

代表的なAWS採⽤サービス

35 セルフケア

au

系コンシューマサービス

APES

(37)

AWS採⽤案件に⾒る

情報セキュリティ対策

(38)

『auでんき⾒える化アプリ』の事例

技術統括本部プラットフォーム開発本部

アジャイル開発センター

アジャイル運⽤グループ

(39)

38 廣⽥翼

(ヒロタツバサ)

KDDI株式会社技術統括本部 PF開発本部

アジャイル開発センター

アジャイル運⽤G

コンシューマ系、法⼈系のサービス開発を担当

好きなAWSサービス:ECS/Lambda

⾃⼰紹介

(40)

auでんきサービスの概要

39 ●アプリで電気が⾝近に

●全国で提供

●わかりやすい料⾦

●もっとおトクに

※沖縄県、⼀部離島を除く

(41)

auでんき⾒える化アプリの概要

40 電⼒ビッグデータ活⽤で、

(42)

41 ● アプリで電気をもっと⾝近に

● アプリで便利に省エネ

● 節電グッズを簡単にご購⼊

(43)

auでんき⾒える化アプリにおける

(44)

セキュリティの考慮ポイントについて

43 このポイントをカバーするセキュリティ機能を実現

セキュリティの考慮ポイント

重要情報へのアクセス

ü 個人情報

ü 契約内容

ü アクセス制御

ログイン管理

ü 社内から

ü 協力会社から

ü セキュアログイン

監査証跡

ü

AWS操作ログ

ü サーバ操作ログ

ü 不正有無調査

(45)

44 auでんきシステム

踏み台サーバ AWS Management Console CloudWatchLogs スカイアーチ踏み台サーバ IAM + MFA 重要情報がないログ重要情報を含むログ各サーバへログインが必要な場合通常保守の場合 IAMで参照可否制御重要情報を含むログ参照可重要情報を含むログ参照可 ※個別ユーザアカウント

セキュリティ機能の実現⽅法

IAM + MFA CloudTrail AWS操作ログサーバ操作ログ security group security

group security group

VPN (暗号化) ※個別ユーザアカウント重要情報を含むログ重要情報アクセス ※協⼒会社様

(46)

45

CloudWatchLogs 重要情報がないログ重要情報を含むログ IAMで参照可否制御

セキュリティ機能の実現⽅法

AWS Management Console アプリサーバ

重要情報をマスクしたログも出⼒する

重要情報アクセス

ログイン管理

監査証跡

※ログ内容の例 2016/04/21 14:38:08.389 INFO XF00305 API_CALLED GET /v1/pointAndPrepaid(PointAndPrepaidApi#getPointAndPrepai d) {requestId=APP_1550769575, sysId=xxxxxxxxxxxxx}

(47)

46 auでんきシステム

セキュリティ機能の実現⽅法

VPN (暗号化) ※個別ユーザアカウント重要情報を含むログ ※協⼒会社様ログイン管理

(48)

47 セキュリティ機能の実現⽅法

セキュリティルームセキュリティルームスカイアーチ様踏み台サーバ重要情報を含むログ参照可重要情報を含むログ参照可 security group VPN (暗号化) 重要情報を含むログ参照不可

auでんきシステム

踏み台サーバログイン緊急対応の場合異なるIAMユーザ

ロケーションに適したアクセス制限

重要情報アクセス

ログイン管理

監査証跡

※協⼒会社様

(49)

48 auでんきシステム

セキュリティ機能の実現⽅法

VPN (暗号化) ※個別ユーザアカウント重要情報を含むログ監査証跡監査証跡 ※協⼒会社様

(50)

49 セキュリティ機能の実現⽅法

システム内の監査証跡を漏らさず取得

重要情報アクセス

ログイン管理

監査証跡

CloudTrail AWS操作ログサーバ操作ログ AWS Management Console & API S3 bucket Windowsサーバ Linuxサーバ CloudWatchLogs 監査ログサーバ操作をファイル保存するカスタムスクリプトを仕込む

(51)

50 ü

重要情報へのアクセス

☞

重要情報をマスクしたログも出⼒

ü

ログイン管理

☞

ロケーションに適したアクセス制御

ü

監査証跡

☞

カスタムスクリプトとCloudTrailによる監査証跡取得

セキュリティ機能まとめ

(52)

『 KDDI API Gateway 』の事例

技術統括本部プラットフォーム開発本部

基幹アプリケーション開発部

S/O・認証グループ

(53)

52 林奈都⼦

(ハヤシナツコ)

KDDI

_{株式会社技術統括本部 PF開発本部}

基幹アプリケーション開発部

S/O

_{・認証グループ}

課⻑補佐

経歴

社内Web基盤システム運⽤

6 _年

au ID

_{認証システム開発}

1 _年

KDDI API Gateway

_開発

2 _年⽬

好きなAWSのサービス：Lambda, CloudWatch

⾃⼰紹介

(54)

• 基本的なサービスの組合せ

_{で⾼いセキュリティ要件を実現}

• _{AWS Microsoft AD}

の活⽤

_{でアカウントとセキュリティ設定を⼀元管理}

(55)

KDDI API Gateway

の概要

54 KDDI

_の

Owned Media

向けにお客様情報を提供

_{するシステム}

KDDI API Gateway

My au Website/ App

au Website

※

_au ID

ログインで契約内容やサービスの

Owned Media

(56)

KDDI API Gateway

が提供するデータ

55

提供データ

• 利⽤料⾦

• データ容量

• au

_ポイント

• au WALLET

_{などのご利⽤状況}

• 契約内容

–

スマートフォン・携帯電話

–

auスマートパス

–

ビデオパス

–

うたパス

–

ブックパス

–

ディズニーパスなど

(57)

重要情報の保護

ü

個⼈情報

ü

契約内容

ü

アクセス制御

セキュリティ要件

56 ログイン管理

ü

社内から

ü

協⼒会社から

ü

セキュアログイン

監査証跡

ü

AWS

操作ログ

ü

サーバ操作ログ

ü

不正有無調査

お客様情報を扱うため、

⾼いセキュリティレベル

が求められる

(58)

重要情報の保護

ログイン管理

監査証跡

(59)

課題：

ログイン環境の制限

と

ログインユーザの管理

を適切に⾏う

ログイン管理

58 GUI

ツール

AWS Management Console

(60)

ログイン環境の制限

59 各リソースそれぞれにIP制限をかけると管理が複雑になる

AWS Management Console ＝

Linux

インスタンス

＝

GUI

ツール

＝

security group

IP Address A

IP Address B

IP Address C...

IP Address A

IP Address B

IP Address C...

IP Address A

IP Address B

IP Address C...

(61)

Windows

踏み台サーバを構築

し、ログイン経路を統⼀した

60 運⽤者

(

セキュリティールーム)

Management Console

GUI

IP Address A

IP Address B

Linux

ログイン環境の制限

Windows

EIP

踏み台のEIPのみ許可

踏み台

RDP

接続

(62)

ログインアカウントの管理

61

• Active Directoryでシステム内のアカウントを⼀元管理

• AWS Microsoft ADの導⼊

_{により、ADの構築・運⽤の負担を軽減}

Windows

AWS Microsoft AD

Management Console

GUI

Linux

・

_AWS

マネージドのMicrosoft Active Directory

・

_{Management Console}

へのフェデレーションアクセス

・⽇次のスナップショット

(63)

ログインアカウントの管理

62 アカウントポリシーの⼀元管理により、システムのセキュリティが向上した

KDDI 流 クラウド・セキュリティ ～「大企業のクラウド適応」 秘伝のレシピ～