AWS and PCI DSS
- 1. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. アマゾン ウェブ サービス ジャパン 株式会社 AWSにおけるPCI DSS
- 2. Who am I ? 亀田 治伸 (Harunobu Kameda) Facebook : facebook.com/harunobu.kameda/ Github : github.com/harunobukameda/ Sr. Evangelist Amazon Web Service Japan
- 3. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Agenda • なぜ、PCIDSSワークロードをAWSに移行するのか? • AWSのセキュリティ & コンプライアンス • AWSとPCI DSS • PCIコンプライアンス準拠の基本 • AWSにおけるPCIコンプライアンス準拠 • PCI DSS 標準アーキテクチャ • 12要件への対応とAWSサービスの活用
- 4. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. なぜ?PCIDSSワークロードを AWSに移行するのか?
- 5. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 日本で数万以上のお客様 (世界で数百万以上)
- 6. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. PCI DSS準拠に対するAWSのお客様の声 “AWSの活用により、全てにおいて時間の掛かる金融業界で、スピード感 を持って対応をしている。我々は、金融プロダクトのみにフォーカス できる。AWS CloudFormationの活用により、PCI対応を容易にすることが できました。” –—Tom Wanielista, Engineer, Simple “Stripe は、2011年以来、AWS 上にてPCI-DSSに準拠した決済プラットフォー ムを運用しています。AWS のセキュリティ、監査の容易性を高く 評価し、AWS 活用する決め手となりました。” — Jorge Ortiz, Infrastructure Manager, Stripe “弊社のようにすべて のサービスをAWS上で稼働しているような状態で も全く問題なく、PCI DSSに準拠することができました。その上、導 入や運用のコスト面及びサービスのスケーラビリティも考慮すると、 AWSを使わない手はありません。 — コイニー株式会社 代表取締役 佐俣奈緒子氏 Online payment processor Online US bank
- 7. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS is a PCI DSS-compliant Level 1 Service Provider https://aws.amazon.com/jp/compliance/services-in-scope/
- 8. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. PCI DSSワークロードをAWSに移行する理由 • AWSの豊富なサービスや機能を活用 • 責任共有モデルに基づく審査範囲の大幅な削減 • より効率的に、より高いセキュリティを実現
- 9. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 175 種類以上のAWSサービス
- 10. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. あらゆるクラウドのワークロードをサポートするため、 絶えずサービスを拡大 • コンピューティング • ストレージ • データベース • 移行と転送 • ネットワークキングとコンテンツ配信 • 開発者用ツール • ロボット工学 • ブロックチェーン • 衛星 • 管理とガバナンス • メディアサービス • 機械学習 • 分析 • セキュリティ、ID、およびコンプライ アンス • モバイル • 拡張現実(AR)とバーチャルリアリティ • アプリケーション統合 • AWSコスト管理 • カスタマーエンゲージメント • ビジネスアプリケーション • エンドユーザコンピューティング • IoT • ゲーム開発
- 11. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. マネージドサービス利用による運用負荷の軽減
- 12. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. 価値を生みずらい重労働 (Undifferentiated Heavy Lifting) 冗長構成 Backup パッチ適応 PITR(Point In Time Recovery) データ暗号化
- 13. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSのセキュリティ & コンプライアンス
- 14. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSにとってのセキュリティ
- 15. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS責任共有モデル Customer AWS AWS クラウドのセキュリティに 対する責任 お客さま クラウド内のセキュリティに 対する責任 お客様のデータ プラットフォーム、ミドルウェア、アプリケーション、アクセス管理 オペレーティングシステム、ネットワーク、ファイアウォール構成 クライアント側のデータ暗号化と データ整合性の認証 サーバー側の暗号化 (ファイルシステムやデータ) ネットワークトラフィック保護 (暗号化、整合性、ID管理) コンピュート ストレージ データベース ネットワーク エッジ ロケーション リージョン アベイラビリティゾーン ハードウェア / グ ローバルインフラ ストラクチャー お客様と AWS が 分担/協力 して強固なセキュリティを実現する考え方
- 16. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSのセキュリティ統制 (Security "OF" the Cloud) AWSは、お客様が使用するAWS サービスに関連した統制と、 それらがどう検証されているかの情報を提供します 第三者機関からの 認定・認証 AWS統制に関する ホワイトペーパーや公開文書 NDAに基づき認定証明書や 監査レポートの提供 AWS SecurityOFthecloud https://aws.amazon.com/jp/compliance/ https://aws.amazon.com/jp/whitepapers/#privacy
- 17. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSは主要な規制/標準/ベストプラクティスに準拠 AWSコンプライアンス http://aws.amazon.com/jp/compliance/ コンプライアンスプログラムによる AWS 対象範囲内のサービス https://aws.amazon.com/jp/compliance/services-in-scope/
- 18. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. お客様のセキュリティ統制(Security “IN” the Cloud) AWSは、お客様がお客様固有のセキュリティ要件を満たすための 情報、サービス、ソリューションを提供します お客様の統制 に関する ベストプラクティス AWSパートナー ソリューション AWSセキュリティ サービス お客様 クラウド内のセキュリティ に対する責任 SECURITY ‘IN’THE CLOUD
- 19. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSセキュリティ関連サービス AWS エッジロケーション AWS CloudHSM AWS Directory Service AWS Certificate Manager Amazon Inspector AWS IAM AWS WAF AWS KMS AWS Shield AWS Organizations Amazon CloudWatch AWS CloudTrail AWS Config AWS Trusted Advisor AWS Service Catalog ユーザー Elastic Load Balancing Amazon CloudFront Amazon Route 53 EC2 インスタンス 証明書管理 権限管理 アカウント管理 ディレクトリ 暗号鍵管理 HW暗号化 脆弱性管理 リソース監視 ログ監査 構成管理 カタログ管理 セキュリティ評価 CDN Webアプリ保護 DNS DDoS対策 Amazon Macie データ漏洩防止 脅威検知 Amazon GuardDuty VPC AWS Security Hub セキュリティポータル SSO AWS SSO AWS Artifact コンプライアンス レポート
- 20. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IT Management と IT Governance ITガバナンス 経営層から見た IT全体の統治サイクル ステークホルダーへの説明責任 • ITポリシーの定義 • ITマネジメントの実施 • メトリクスの収集 • コンプライアンスの評価 ITマネジメント IT部門から見た 運用現場の管理サイクル 経営層への説明責任 • 計画 • 設計と実装 • オペレーション • モニタリングと評価
- 21. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. ビジネスアジリティと ガバナンスコントロール ガバナンス — 定義 管理 監視 レポート アジリティ — 実験 高い生産性 変化への迅速な追従 コスト コンプライアンス セキュリティ …
- 22. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. ビジネスアジリティと ガバナンスコントロール ꟷ ガバナンス — 有効化 プロビジョニング オペレーション アジリティ — 実験 高い生産性 変化への迅速な追従
- 23. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Security by Design (SbD) Identity & Access Management CloudTrail CloudWatch Config Rules Trusted Advisor Cloud HSMKey Management Service Directory Service Inspector セキュリティ・コンプライアンス ガバナンスの自動化 必要なセキュリティ設計&設定を先に実施 認証・認可 操作履歴&ログ 管理 監視 コンプライアンス 強制適応 暗号暗号処理 ActiveDirectory 脆弱性検査 アセスメント
- 24. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. アジリティとガバナンスを 有効化 有効化 環境のセットアップ コントロールの有効化
- 25. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. アジリティとガバナンスを 有効化 有効化 環境のセットアップ コントロールの有効化
- 26. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. アジリティとガバナンスを 有効化 有効化 環境のセットアップコントロールの有効化 コストコントロールの確 立 アカウントと ポリシーの管理 継続的な改善
- 27. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. PCIコンプライアンス準拠の基本
- 28. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. PCIコンプライアンス準拠の全体像 合意 QSAユーザー 認定 対象システム 認定スキャン 設計 実装 要件 ASV 策定
- 29. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 策定 PCIコンプライアンス準拠のポイント 合意 QSAユーザー ASV 認定 対象システム 認定スキャン 設計 実装 要件 QSAの要件解釈には幅があるため、 コミュニケーションを取りながら、 ユーザー主導で合意していくと効率的
- 30. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 特に重要なQSAとの合意ポイント 1. 準拠スコープ 2. 要件毎の対応と代替コントロール 準拠負荷を軽減するため、システム全体ではなく準拠スコープを限定して 準拠する「部分準拠」が選択される場合がある。どのような切り口で準拠 スコープを整理するかはQSAとの合意による。 満たすことが困難な要件について一定の条件†の下、代替コントロールの適 用を認めており、QSAとの合意が必要。 †事業体が正当な技術上の制約または文書化されたビジネス上の制約のために記載さ れているとおりに明示的に要件を満たすことができないが、その他の(つまり代替 の)コントロールを通じて要件に関連するリスクを十分に軽減している場合
- 31. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. スコーピングの考え方 ネットワークセグメント単位 Hypervisor サーバ_B VM_C VM_D サーバ単位 VM単位 サーバ_A PANの流れ(通信、保管、処理)を特定しスコープを定めていく
- 32. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSにおけるPCIコンプライアンス準拠
- 33. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWSにおけるスコーピングの考え方 https://d1.awsstatic.com/whitepapers/ja_JP/ pci-dss-scoping-on-aws.pdf
- 34. © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. クラウドとPCIコンプライアンス カード保有者のデータ環境を管理しているお客様向けに、クラウドで の PCI DSS 管理作業の留意事項を記載したもの Information Supplement: PCI DSS Cloud Computing Guidelines, https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Cloud_Guidelines_v3.pdf