【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき５つのこと」講師：山口亮介氏（ニフティ株式会社エバンジェリスト）

Copyright © NIFTY Corporation All Rights Reserved.
クラウド・セキュリティで
注意すべき５つのこと
＠『クラウド時代のワークスタイル変革に伴うリスク対策』
ニフティ株式会社
RyosukeYamaguchi
「第9回クラウドランキング」（日経コンピュータ 2014年 10月 16日号）
クラウド基盤サービス（ IaaS/PaaS ）部門ベストサービスに選出

Copyright © NIFTY Corporation All Rights Reserved. Confidential 1
本日のアジェンダ
◯ 私について
◯ ニフティ社について
◯ ニフティクラウドについて
◯ クラウドのセキュリティで注意すべき５つのこと

私について
どんな人？
ニフティクラウド立ち上げメンバー
エバンジェリスト（企画/設計/開発者とか）
最近やっていること
エバンジェリスト活動、講演活動
コミュニティ推進活動、ビジネス/システム企画
やりたいこと
世の中のエンジニアを幸せに
acebook 山口亮介
Twitter ＠Meryo2000

Copyright © NIFTY Corporation All Rights Reserved. Confidential
ニフティ社概要
：ニフティ株式会社
： 1986年2月4日
：東京都新宿区
：三竹兼司
： 37億円（2012年3月31日現在）
： 794億円（2013年3月期）
： 1.ISP事業 2.Webサービス事業 3.クラウド事業
社名
創立年月日
所在地
代表取締役社長
資本金
売上高（連結）
主要な事業内容

パソコン通信事業
ISP事業
Webサービス事業
クラウド事業
1980年代〜 1990年代〜 2000年代〜 2010年〜
パソコン通信
「NIFTY-Serve」開始
インターネット接続
サービス開始
会員様向け
Webサービスの充実「NIFTY Cloud」開始
ニフティ社について
パソ通→ ISP、WEB、クラウド、MvNO
2015年〜
MvNO事業
「NifMO」開始

＋ニフティクラウドとは？

ニフティクラウド（ IaaS ）
・オンデマンド（5分でサーバー作成）
・従量課金（1時間7円〜）
・伸縮性（サーバー追加/削除/タイプ変更）
・コントロールパネル
・APIによるプログラム連携
インフラ環境をオンデマンドに
提供するパブリック型クラウドサービス

0
5,000
10,000
15,000
20,000
25,000
30,000
2010 2011 2012 2013 2014
NIFTY Cloud(IaaS)
ニフティクラウドの実績
50億円以上/年

ベストサービスに選出
「第9回クラウドランキング」選出
（日経コンピュータ 2014年 10月 16日号）
クラウド基盤サービス（ IaaS/PaaS ）部門
ベストサービス

ソフトウェア
プラット
フォーム
インフラ
SaaS
PaaS
IaaS
ニフティの事業領域
ニフティが提供するクラウド

＋パブリッククラウドとオンプレの違い？

一般的にオンプレミスは
進化しない！！

エンジニアリングパーツ
ニフティクラウドIaaS
（Server｜Storage｜Network）
C.D. Storage
メッセージキュー
DNSサービス
データベース
メール送信
自動化機能
サービスやアプリケーションとの
間でメッセージをやりとりするた
めのキューサービスを提供しま
す。
耐障害性、バックアップなどの自動
運用を備えた RDBサーバーを提供
します。
高速で確実な配信を行うメール配信
サービスを提供します。
ドメイン取得と、フェイルオー
バー、重みづけラウンドロビンな
どを備えたドメイン管理システム
を提供します。
Chefを利用したクラウドリソー
スの自動構築、自動運用サービス
を提供します。
アクセス負荷に強い、コンテンツ配
信等の用途に優れたストレージサー
ビスを提供します。
構築・運用統合管理ツール
コントロールパネル
機能開発・信頼性向上もベンダーオフロード
新機能、サービスの継続的追加

いまさらのクラウドの利点（抜粋）
 拡張性と柔軟性（Scalability＆Flexibility）……
最大性能を見越しての構築は不要
いつでもやめられる
 コストの削減（Reduce Cost）……
コストを下げること「も」可能
物理層の手配に高額初期費用は不要
 運用負荷の軽減（Minimal Administration）……
「システム運用」は、基本的にクラウドベンダの仕事
 etc…

＋クラウドセキュリティ（ダイジェスト）
◯ クラウドのセキュリティで注意すべき５つのこと
クラウドを取り巻く法制度
クラウドの継続性（ロックイン）
外部からの攻撃/防御
クラウド事業者の運用
ベンダーとの責任分解点
※ クラウドを利用する方の視点のセキュリティとさせて頂いています。
※ 全ての問題を網羅しているわけではございません。

法律継続性攻撃運用責任分解
クラウドのセキュリティ？

法律（ダイジェスト）

法律（ダイジェスト）
 場所に関する法的リスク
 準拠法（どこの法律に従うか）
 管轄（どこの裁判所で係争するか）
 開示命令（開示命令に従うことと、顧客と締結した秘密保持）
 適用される法律
 個人/法人（個人向けサービス提供の場合）
 米国パトリオット法（機器データの差し押さえ...）
 EUデータ保護指令（EU域外への個人情報転送禁止）
※セーフハーバースキームなども
 国内法規等
 外為法による制約（持ち出し？持ち出しOK？/NG？）
 社内コンプライアンス（社内ルールに意図せず抵触）

事業者のサイトで確認する

公開内容も確認
ホワイトペーパー
対策リスト

継続性（ダイジェスト）

継続性（ダイジェスト）
 クラウド事業の継続性
 クラウドサービス事業者の倒産
 サービスの終了
 機能が継続されるか？
 利用形態の変更
 機能終了の通告タイミング
 継続されなかった場合の検討
 作り変えが可能か
 移行先があるか
 移行コストの検討をしているか

攻撃について

攻撃箇所
仮想化基盤
VM VM VM
データセンター
アプリ
仮想マシン
基盤
ファシリティ
経路デバイスコントロール
パネル

攻撃箇所
仮想化基盤
VM VM VM
攻撃箇所防御方法
デバイス MDM（盗難対策、遠隔操作）、Anti Virus、暗号化
経路インターネットVPN、専用線、リモート接続サービス
アプリ
セキュリティ診断
WAF
仮想マシンファイアウォール、AntiVirus、暗号化
コントロール
パネル
？？？
仮想化基盤ファイアウォール、暗号化、安全な人の運用
ファシリティ
強固なセンターでの運用管理（電源冗長化、非常用設備、侵
入対策、雷、洪水等自然災害対策など）

経路？

お客様ークラウドの経路
仮想化基盤
VM VM VM
アプリ
仮想マシン
経路デバイス

クラウド接続（シンプルVPN）
クラウドとお客様ネットワークを接続、
同一ネットワークとして通信可能
経路を守る：お客様ークラウド
ニフティクラウド
専用機器
（サービスアダプタ）
設置拠点
同一ネットワーク
設置拠点とクラウドを
同一ネットワークの
ように接続

お客様ークラウドの経路
仮想化基盤
VM VM VM
アプリ
仮想マシン
経路デバイス

経路を守る：利用者-お客様環境
リモート接続サービス（シンプルVPN）
パソコン／スマートフォン／タブレット等から、
お客様ネットワークに対してリモート接続が可能
専用機器
（サービスアダプタ）
設置拠点外出先
ご参考）必要なリモート接続設定
（画面はiOS）
VPNクライアント
（Windows/MacOS/iOS/Android等）
アカウント設定した
VPNクライアントから
拠点へ接続

コントロールパネル？

コンパネのセキュリティの必要性
コンパネにログオンすると。。。
●サーバーの作成が可能
●サーバーの停止が可能
●サーバー、データの削除が可能
●データの複製が可能
実に高機能になりました！！

コンパネのセキュリティの必要性
コンパネにログオンされると。。。
●サーバーの作成が可能無断課金
●サーバーの停止が可能サービス停止
●サーバー、データの削除が可能
データロスト
●データの複製が可能データ流出

コントロールパネルのセキュリティ
最大4重の多層でコンパネを防御
１層目（IDパスワード）
IDとパスワードの認証
２層目（2要素認証①）
スマホと連動したワンタイムパスワード
３層目（２要素認証②）
コンパネパターン認証
４層目（アクセス元制限）
IPアドレスでの接続元制限
ID／PASS
ワンタイムパス
パターン認証
アドレス制限

ID/パスワード認証
ID／PASS認証のみではないですか？

ワンタイムパスワード①
パスコード認証はありますか？
６０秒毎に変更される数値で認証

ワンタイムパスワード②
セキュリティ施策の追加は？

IPアドレスアクセス制限
xxx.yyy.zzz.001
yyy.yyy.zzz.002
アクセス出来ないようにできますか？

攻撃箇所
仮想化基盤
VM VM VM
攻撃箇所防御方法
デバイス MDM（盗難対策、遠隔操作）、Anti Virus、暗号化
経路インターネットVPN、専用線、リモート接続サービス
アプリ
セキュリティ診断
WAF
仮想マシンファイアウォール、AntiVirus、暗号化
コントロール
パネル
ID/PASS、２要素認証、アクセス元制限
仮想化基盤ファイアウォール、暗号化、安全な人の運用
ファシリティ
強固なセンターでの運用管理（電源冗長化、非常用設備、侵
入対策、雷、洪水等自然災害対策など）

運用

中で何をやっているのか
分からない

内部運用の公開
 論理的/物理的に分離
ユーザー通信のネットワークと
管理系システムのネットワークを
論理的/物理的に分割
 管理システムの監視
IDSで24時間監視 → JPCERT/CC等と連携
 運用者の制限
事前に決められたメンバーのみ
決められたネットワーク経由からのみ接続可能

認証：ニフティクラウドのセキュリティ
•外部調査により大手企業からの要求レベルには十分
•一部は金融機関レベルに到達
大分類 CCMコントロール概要
コンプライアンス
• 監査（内部/外部）対応
• 国内、国外法令、規制対応
データの
ガバナンス
• データ分類、保護、廃棄管理対応
設備の
セキュリティ
• 施設、物理環境に対するセキュリティ対応
情報セキュリティ • 情報セキュリティマネジメント要求全般対応
契約管理 • サービス提供に係る秘密保持、第三者契約対応
運用管理
• システム設計書、手順書等への管理対応
• リソース管理と保護策への対応
リスク管理 • リスクマネジメント活動対応
リリース管理 • 新規開発、システム環境変更管理対応
耐障害性 • 事業継続性（災害対策）対応
セキュリティ
アーキテクチャー
• ユーザ識別、認証、モニタリング対応
• NWセキュリティ、侵入検知、監査ログ等
人的セキュリティ • 従業員、契約社員の雇用・契約への管理対応
1
2
3
5
6
7
8
9
1
0
1
1
4
目標レベル
セキュリティ対応策レベル
中小企業一般企業大手企業
金融企業
(FISC)
「安全対策基準」
等の要求項目
※2013.08 EMC社コンサルタント調べ

第3者認証/ベンダー認証も
米国保証業務基準に準拠した
「SOC 2 保証報告書」を受領
公的認証等内容
SOC2
米国公認会計士協会の基準を利用
して提供される内部統制の仕組み
ISMS（取得済）
情報セキュリティマネジメントシ
ステムの適合性認証制度
PCI DSS（取得済）
クレジットカード協会の定める
データセキュリティ基準
SAP SE SAP R3 認定基盤
▼取得公的認証制度と適用法

責任分解

どこまで
なにをやればよいのか？

責任分界点について
仮想化基盤
仮想マシン
OS
アプリ
経路
デバイス
ファシリティ
お客様

システム全体
仮想化基盤
VM VM VM
アプリ
仮想マシン
基盤
ファシリティ
経路デバイスコントロール
パネル

ニフティの対処範囲
仮想化基盤
VM VM VM
基盤
ファシリティ
コントロール
パネル
経路

お客様の対処範囲
仮想化基盤
VM VM VM
アプリ
仮想マシン
経路デバイス

責任分界点について
仮想化基盤
仮想マシン
OS
アプリ
経路
デバイス
ファシリティ
お客様

出来ない部分をどうするか？
仮想化基盤
VM VM VM
アプリ
仮想マシン
経路デバイス
では、この辺りは？

お客様の対処範囲
仮想化基盤
VM VM VM
アプリ
仮想マシン
経路デバイス
では、この辺りは？
多くのパブリッククラウド
事業者では
対応出来ていません

デバイスのセキュリティ
●ニフティはパートナーモデル
他社さんの製品、ソリューションをご紹介/販売して対応が可能

デバイスのセキュリティは応用電子さんに

【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき５つのこと」講師：山口亮介氏（ニフティ株式会社エバンジェリスト）

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (6)

Similaire à 【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき５つのこと」講師：山口亮介氏（ニフティ株式会社エバンジェリスト）

Similaire à 【FKEYセミナー 20150205】「クラウドセキュリティで注意すべき５つのこと」講師：山口亮介氏（ニフティ株式会社エバンジェリスト） (20)

Dernier

Dernier (11)