KEMBAR78
AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報 | PDF
Tomohiro Nakashima, profile picture
Uploaded byTomohiro Nakashima
PDF, PPTX2,201 views

AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報

以下のイベントでお話した際の資料です。 Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯 https://fin-jaws.connpass.com/event/174458/

Download as PDF, PPTX
© 2020, Amazon Web Services, Inc. or its Affiliates. 1 アマゾン ウェブ サービス ジャパン株式会社 2020年5⽉25⽇ AWSのPCI DSSへの取り組みと 押さえておきたい⽿寄り情報 Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯
© 2020, Amazon Web Services, Inc. or its Affiliates. 2 ⾃⼰紹介 名前:中島 智広(なかしま ともひろ) 所属:技術統括本部 職種:セキュリティソリューションアーキテクト 業務:お客様のセキュリティの取り組みを AWSの利活⽤の視点からご⽀援 • セキュリティアーキテクチャ、運⽤設計の⽀援 • PCI DSSをはじめとするコンプライアンスプログラムへの準拠⽀援 • 公式トレーニング「Security Engineering on AWS」インストラクター
© 2020, Amazon Web Services, Inc. or its Affiliates. 3 Table of contents • はじめに • AWSにおけるPCI DSS準拠の基本的な考え方 • AWSの取り組みとリファレンスマテリアルの紹介 • 準拠と維持に有用なAWSサービス • まとめにかえて
© 2020, Amazon Web Services, Inc. or its Affiliates. 4 はじめに
© 2020, Amazon Web Services, Inc. or its Affiliates. 5 PCI DSSが改めて着⽬されている背景 デジタル化へシフト スマートフォンの採⽤拡⼤ と⾮現⾦取引のための新し いチャネルにより加速 新しいノンバンク と 決済サービスプロバイ ダ (PSPs) が伝統的な チャネル外で取引を可能に する決済サービス、技術を 提供 ストレスのない決済経験、 ワンタッチオプション、イ ンスタント決済などの 顧客ニーズの変化 透明性、セキュリティ、イ ノベーション、相互運⽤性、 競争を促進する規制当局 の漸進的な変化 変わりつつあるグローバル決済の様相
© 2020, Amazon Web Services, Inc. or its Affiliates. 6 PCI DSS準拠・維持のよくある課題感 • 準拠・維持運⽤の負荷 • レギュレーションへの追従と設備投資 • 担当者で異なるQSA(審査⼈)の解釈 etc・・・
© 2020, Amazon Web Services, Inc. or its Affiliates. 7 PCI DSS準拠に対するAWSのお客様の声 “AWSの活⽤により、全てにおいて時間の掛かる⾦融業界で、スピード 感を持って対応をしている。我々は、⾦融プロダクトのみにフォーカ スできる。AWS CloudFormationの活⽤により、PCI対応を容易 にすることができました。” ‒—Tom Wanielista, Engineer, Simple “Stripe は、2011年以来、AWS 上にてPCI DSSに準拠した決済プラット フォームを運⽤しています。AWS のセキュリティ、監査の容 易性を⾼く評価し、AWS 活⽤する決め⼿となりました。” — Jorge Ortiz, Infrastructure Manager, Stripe “弊社のようにすべて のサービスをAWS上で稼働しているような状態 でも全く問題なく、PCI DSSに準拠することができました。 その上、導⼊や運⽤のコスト⾯及びサービスのスケーラビリティも 考慮すると、AWSを使わない⼿はありません。 — コイニー株式会社 代表取締役 佐俣奈緒⼦⽒ Online payment processor Online US bank
© 2020, Amazon Web Services, Inc. or its Affiliates. 8 AWSを利⽤すると準拠が容易になる? このあと「なぜ?」を解説します。
© 2020, Amazon Web Services, Inc. or its Affiliates. 9 AWSにおける PCI DSS準拠の基本的な考え⽅
© 2020, Amazon Web Services, Inc. or its Affiliates. 10 クラウドにおけるPCI DSS準拠の指針 Information Supplement: PCI DSS Cloud Computing Guidelines カード保有者のデータ環境を管理しているお客様向けに、クラウドでの PCI DSS 管理作業の留意事項を記載したもの https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Cloud_Guidelines_v3.pdf
© 2020, Amazon Web Services, Inc. or its Affiliates. 11 責任共有モデル AWS クラウドのセキュリティ に対する責任 SECURITY ʻOFʼ THE CLOUD お客様 クラウド内のセキュリティ に対する責任 SECURITY ʻINʼ THE CLOUD お客様のデータ プラットフォーム、アプリケーション、IDとアクセス管理 オペレーティングシステム、ネットワークとファイアウォール構成 クライアント側データ暗号化 データ整合性認証 サーバー側暗号化 (ファイルシステムやデータ) ネットワークトラフィック保護 (暗号化、整合性、アイデンティ ティ) ハードウェア/AWSグローバルインフラストラクチャー ソフトウェア リージョン アベイラビリティ ゾーン エッジロケーション コンピュート ストレージ データベース ネットワーキング https://aws.amazon.com/jp/compliance/shared-responsibility-model/
© 2020, Amazon Web Services, Inc. or its Affiliates. 12 マネージドサービス利⽤による審査範囲の削減 Power, HVAC, net Rack & stack Server maintenance OS patches DB s/w patches Database backups Scaling High availability DB s/w installs OS installation App optimization Power, HVAC, net Rack & stack Server maintenance OS patches DB s/w patches Database backups Scaling High availability DB s/w installs OS installation App optimization Power, HVAC, net Rack & stack Server maintenance OS patches DB s/w patches Database backups Scaling High availability DB s/w installs OS installation App optimization オンプレミス On EC2 RDS お客様 たとえば、データベース管理のフルマネージド化
© 2020, Amazon Web Services, Inc. or its Affiliates. 13 オンプレミスとAWS、審査⼿法の違い お客様の統制領域 AWSの統制領域 お客様の統制領域 QSAとお客様が 合意した⼿法で 全体を審査 AWSの提供する ドキュメント※を 確認 QSAとお客様が 合意した⼿法で 審査 お客様の審査範囲 オンプレミス AWS ※「PCI DSS Attestation of Compliance (AOC)およびResponsibility Summary 」
© 2020, Amazon Web Services, Inc. or its Affiliates. 14 PCI DSSワークロードをAWSに移⾏するメリット/考え⽅ • 責任共有モデルに基づく審査範囲の⼤幅な削減 • AWSの豊富なサービスや機能を活⽤ • より効率的に、より⾼いセキュリティを実現
© 2020, Amazon Web Services, Inc. or its Affiliates. 15 AWSの取り組みと リファレンスマテリアル
© 2020, Amazon Web Services, Inc. or its Affiliates. 16 PCIコンプライアンスへの取り組み 認定審査機関(QSA)のチームを組織し、AWSとお客様ワークロードの PCIコンプライアンス準拠を⽀援 https://ja.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors
© 2020, Amazon Web Services, Inc. or its Affiliates. 17 AWS is a PCI DSS-compliant Level 1 Service Provider https://aws.amazon.com/jp/compliance/services-in-scope/
© 2020, Amazon Web Services, Inc. or its Affiliates. 18 PCI Compliance Package PCI DSS Cloud Computing Guidelinesに沿った内容を、AWS Artifactを 通じて提供しています • PCI DSS Attestation of Compliance (AOC) • PCI SSC 認定審査機関によって提供され、AWSがPCI DSSレベル1に準拠 したサービスプロバイダであることを証明する準拠証明書 • Responsibility Summary • PCI SSC 認定審査機関(QSA)によって提供され、AWS とお客様の間で コンプライアンスに関する責任をどのように分担するかを説明
© 2020, Amazon Web Services, Inc. or its Affiliates. 19 スプレッドシート版 Responsibility Summary 整理に便利なスプレッドシート版のご⽤意があります Responsibility Summary PDF内に スプレッドシートが埋め込まれている
© 2020, Amazon Web Services, Inc. or its Affiliates. 20 AWSにおけるスコーピングの考え⽅ https://aws.amazon.com/jp/blogs/news/new- whitepaper-available-architecting-for-pci-dss- segmentation-and-scoping-on-aws/
© 2020, Amazon Web Services, Inc. or its Affiliates. 21 AWSにおけるPCI DSS準拠のガイダンス https://d1.awsstatic.com/whitepapers/compli ance/pci-dss-compliance-on-aws.pdf
© 2020, Amazon Web Services, Inc. or its Affiliates. 22 PCI DSS コンプライアンスの標準化アーキテクチャ https://aws.amazon.com/jp/quickstart/architecture/compliance-pci/
© 2020, Amazon Web Services, Inc. or its Affiliates. 23 準拠と維持に有⽤なAWSサービス
© 2020, Amazon Web Services, Inc. or its Affiliates. 24 AWS セキュリティ・ソリューション AWS Identity & Access Management (IAM) AWS Single Sign-On AWS Directory Service Amazon Cognito AWS Organizations AWS Secrets Manager AWS Resource Access Manager AWS Security Hub Amazon GuardDuty AWS Config AWS CloudTrail Amazon CloudWatch VPC Flow Logs AWS Systems Manager AWS Shield AWS WAF – Web application firewall AWS Firewall Manager Amazon Inspector Amazon Virtual Private Cloud (VPC) AWS Key Management Service (KMS) AWS CloudHSM AWS Certificate Manager Amazon Macie AWS Config Rules AWS Lambda アイデンティティ & アクセス管理 発見的 統制 インフラストラクチャ 保護 インシデント 対応 データ 保護 豊富なサービスや機能をPCI DSS準拠に利用可能
© 2020, Amazon Web Services, Inc. or its Affiliates. 25 本⽇は以下2つをピックアップしてご紹介します Amazon Macie ⼤規模な機密データを検出して保 護する AWS Security Hub セキュリティアラートの⼀元的な 表⽰および管理を⾏い、セキュリ ティチェックを⾃動化する 2020年 2月 機 能 追 加 2020年 5月 新 バ ー ジ ョ ン
© 2020, Amazon Web Services, Inc. or its Affiliates. 26 AWS Security Hub AWS Security Hub • アカウント、サービス、サードパーティー製品のセキュリ ティ検出結果を統合 • サポートする「セキュリティ標準」のルールに対して⾃動 的かつ継続的なチェックを実⾏した結果を⽣成 PCI DSS v3.2.1 CIS Benchmark AWS 基礎セキュリティのベストプラクティス サポートする「セキュリティ標準」(2020年5⽉現在)
© 2020, Amazon Web Services, Inc. or its Affiliates. 27 AWS Security Hub セキュリティ標準の活⽤ 煩雑なコンプライアンスプログラムの準拠と維持を効率化 たとえば 「 PCI DSS v3.2.1 セキュリティ標準」を有効化し、検出結果のナビ ゲーションに従うことで、PCI DSS準拠に必要な統制が整う。 さらに運⽤フェーズの準拠状況を継続的モニタリングにより確実にする。 AWS Security Hubセキュリティ基準に よってナビゲーションされる統制 コンプライアンス 準拠に必要な統制
© 2020, Amazon Web Services, Inc. or its Affiliates. 28 Amazon Macie Amazon Macie • クレジットカード番号(PAN)、個⼈特定情報 (PII)、個⼈医 療情報 (PHI)、知的財産 (IP)、ソースコード、認証情報など の機密データを識別 • データアクセスに対する可視性を提供する • Amazon S3 に保存されたデータを保護する • 東京を含む17のリージョンで利⽤できる 2020年5⽉ 拡張された新しいバージョンをローンチ、 旧バージョンをMacie Classicに改称
© 2020, Amazon Web Services, Inc. or its Affiliates. 29 Amazon Macie ‒ ユースケース例 データプライバシーとセキュリティのチェック データ・セキュリティを適切なレベルで維持することは重要な観点であり、すなわちそれ は継続的に機微情報を特定し、セキュリティの状況とアクセス管理の状況を評価すること である レギュレーションとコンプライアンスへの適合状況を維持 コンプライアンスチームは、機微情報がどこにあるか監視し、それを正しく保護する、そ して法規制、コンプライアンスが要求するデータ・セキュリティとプライバシー要件を満 たしていることをエビデンスをもって証明する必要がある ⼤量のデータをAWSに移⾏するとき、安全なAmazon S3 環境を初期のステージングエリア として設定し、そこでMacieに機微情報を検出させることが出来る。この検出結果により、 移⾏したデータをどこで保管するか、暗号化リソースタグなどのセキュリティコントロー ルをどのように適⽤するかを判断出来る データ移⾏時の機微情報の検出
© 2020, Amazon Web Services, Inc. or its Affiliates. 30 Amazon Macie - Macie Classic からの主要な変更点 ユーザーエクスペリエンスと スケーラビリティ • ネイティブAWS コンソール対応とフルAPIサ ポート • カスタマー定義のデータ特定ルールによる柔軟 な設定 • 拡張されたマネージド機微データ検出モジュー ル • タグ、 AWS Organizations、Cloud Formation のサポート • 全てのオブジェクトを分類 (Classic は先頭 20MBの制限があった) 価値の向上 • 価格設定の単純化 • CloudTrailのデータイベントコストの削減 • 利⽤状況をAWSコンソール上で可視化 • サポートAWSリージョンの拡⼤ (東京リージョンで利⽤可能に) 異常検知機能、 CloudTrailのS3データイベントの監視機能は GuardDutyに移⾏予定
© 2020, Amazon Web Services, Inc. or its Affiliates. 31 まとめにかえて
© 2020, Amazon Web Services, Inc. or its Affiliates. 32 Key Takeaways • PCI DSSワークロードをAWSに移⾏するメリット/考え⽅ • 責任共有モデルに基づく審査範囲の⼤幅な削減 • AWSの豊富なサービスや機能を活⽤ • より効率的に、より⾼いセキュリティを実現 • 新しい2つのサービス/機能をぜひご利⽤ください • AWS Security Hub PCI DSS v3.2.1セキュリティ標準 • Amazon Macie
© 2020, Amazon Web Services, Inc. or its Affiliates. 33 参照リソース① AWS PCI Compliance Packages https://console.aws.amazon.com/artifact/ PCI DSS スコーピングおよび AWS 上でのセグメンテーションのためのアーキテクチャの設計 https://d1.awsstatic.com/whitepapers/ja_JP/pci-dss-scoping-on-aws.pdf PCI DSS 3.2.1 on AWS Compliance Guide https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws.pdf AWS での PCI DSS コンプライアンスの標準化アーキテクチャ https://aws.amazon.com/jp/about-aws/whats-new/2016/05/pci-dss-standardized-architecture- on-the-aws-cloud-quick-start-reference-deployment/
© 2020, Amazon Web Services, Inc. or its Affiliates. 34 参照リソース② AWS Security Hub PCI DSS v3.2.1 コンプライアンス標準の使⽤⽅法 https://aws.amazon.com/jp/blogs/news/how-to-use-the-aws-security-hub-pci-dss-v3-2-1- standard/ Amazon Macie の⼤幅な機能強化、80% 以上の値下げ、およびグローバルリージョンの拡⼤を発表 https://aws.amazon.com/jp/about-aws/whats-new/2020/05/announcing-major-enhancements- to-amazon-macie-an-80-percent-plus-price-reduction-and-global-region-expansion/ 責任共有モデルとは何か、を改めて考える https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/
© 2020, Amazon Web Services, Inc. or its Affiliates. 35 Q&A
© 2020, Amazon Web Services, Inc. or its Affiliates. 36 ご質問への回答① Q. スプレッドシート版Responsibility Summary はArtifactからダウンロードできる PDFに含まれていますか? A.はい。ArtifactからダウンロードできるPDFの中に、Responsibility Summaryの PDFが含まれており、さらにその中にスプレッドシート版が含まれています。 Q. Security HubのPCI DSS v3.2.1 セキュリティ標準について、PCI DSSの要件に対 するカバレッジを教えてください。 A. PCI DSS v3.2.1 セキュリティ標準のコントロール項⽬は以下に⼀覧がございます。 https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub- pci-controls.html
© 2020, Amazon Web Services, Inc. or its Affiliates. 37 ご質問への回答② Q. Macieの⽇本語対応について教えてください。 A. カスタマー定義のデータ特定ルールでは、⽇本語を含むUnicode⽂字をサポートし ています。 Q. Amazon Macieはどのぐらいの頻度でクロールしますか? A. ワンタイムおよびスケジュールでの実⾏(毎⽇、毎週、毎⽉)をサポートしていま す。 https://docs.aws.amazon.com/ja_jp/macie/latest/user/discovery-jobs.html Q. Macieは、トークナイズなどによって、スコープの縮⼩はできますか? A. Macieは機微情報の検出、可視化、評価を⾏います。検出結果を他のサービスと連 携することによって追加の処理を実⾏(⾃動化)することが可能です。
© 2020, Amazon Web Services, Inc. or its Affiliates. 38 Thank you!

More Related Content

PPTX
NGINXをBFF (Backend for Frontend)として利用した話
byHitachi, Ltd. OSS Solution Center.
 
PDF
20200630 AWS Black Belt Online Seminar Amazon Cognito
byAmazon Web Services Japan
 
PPTX
Azure SecOps! Azure Key Vaultを用いたクラウドのキー管理
byYuki Hattori
 
PPTX
クラウドでも非機能要求グレードは必要だよね
byYoshioSawada
 
PDF
なぜOpenID Connectが必要となったのか、その歴史的背景
byTatsuo Kudo
 
PDF
Amazon Athena 初心者向けハンズオン
byAmazon Web Services Japan
 
PDF
20190514 AWS Black Belt Online Seminar Amazon API Gateway
byAmazon Web Services Japan
 
PDF
暗号技術入門 秘密の国のアリス 総集編
by京大 マイコンクラブ
 
NGINXをBFF (Backend for Frontend)として利用した話
byHitachi, Ltd. OSS Solution Center.
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
byAmazon Web Services Japan
 
Azure SecOps! Azure Key Vaultを用いたクラウドのキー管理
byYuki Hattori
 
クラウドでも非機能要求グレードは必要だよね
byYoshioSawada
 
なぜOpenID Connectが必要となったのか、その歴史的背景
byTatsuo Kudo
 
Amazon Athena 初心者向けハンズオン
byAmazon Web Services Japan
 
20190514 AWS Black Belt Online Seminar Amazon API Gateway
byAmazon Web Services Japan
 
暗号技術入門 秘密の国のアリス 総集編
by京大 マイコンクラブ
 

What's hot

PDF
OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話
byDaichi Koike
 
PDF
PCI DSSにおける認証認可 インフラ編
byNobuhiro Nakayama
 
PDF
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
byAmazon Web Services Japan
 
PDF
これからのネイティブアプリにおけるOpenID Connectの活用
byMasaru Kurahayashi
 
PPTX
Azure AD による Web API の 保護
byjunichi anno
 
PDF
アイデンティティ (ID) 技術の最新動向とこれから
byTatsuo Kudo
 
PDF
20190522 AWS Black Belt Online Seminar AWS Step Functions
byAmazon Web Services Japan
 
PPTX
Azure Key Vault
byjunichi anno
 
PDF
OpenID Connect入門
by土岐 孝平
 
PDF
Amazon Pinpoint × グロースハック活用事例集
byAmazon Web Services Japan
 
PDF
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
byAmazon Web Services Japan
 
PDF
Amazon Simple Workflow Service (SWF)
byAmazon Web Services Japan
 
PDF
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
byAmazon Web Services Japan
 
PDF
これからSpringを使う開発者が知っておくべきこと
by土岐 孝平
 
PDF
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
byAmazon Web Services Japan
 
PDF
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
byAmazon Web Services Japan
 
PDF
20190206 AWS Black Belt Online Seminar Amazon SageMaker Basic Session
byAmazon Web Services Japan
 
PDF
AWS Organizations
byServerworks Co.,Ltd.
 
PDF
Amazon S3を中心とするデータ分析のベストプラクティス
byAmazon Web Services Japan
 
PDF
RDF Semantic Graph「RDF 超入門」
byオラクルエンジニア通信
 
OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話
byDaichi Koike
 
PCI DSSにおける認証認可 インフラ編
byNobuhiro Nakayama
 
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
byAmazon Web Services Japan
 
これからのネイティブアプリにおけるOpenID Connectの活用
byMasaru Kurahayashi
 
Azure AD による Web API の 保護
byjunichi anno
 
アイデンティティ (ID) 技術の最新動向とこれから
byTatsuo Kudo
 
20190522 AWS Black Belt Online Seminar AWS Step Functions
byAmazon Web Services Japan
 
Azure Key Vault
byjunichi anno
 
OpenID Connect入門
by土岐 孝平
 
Amazon Pinpoint × グロースハック活用事例集
byAmazon Web Services Japan
 
20210216 AWS Black Belt Online Seminar AWS Database Migration Service
byAmazon Web Services Japan
 
Amazon Simple Workflow Service (SWF)
byAmazon Web Services Japan
 
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
byAmazon Web Services Japan
 
これからSpringを使う開発者が知っておくべきこと
by土岐 孝平
 
20200722 AWS Black Belt Online Seminar AWSアカウント シングルサインオンの設計と運用
byAmazon Web Services Japan
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
byAmazon Web Services Japan
 
20190206 AWS Black Belt Online Seminar Amazon SageMaker Basic Session
byAmazon Web Services Japan
 
AWS Organizations
byServerworks Co.,Ltd.
 
Amazon S3を中心とするデータ分析のベストプラクティス
byAmazon Web Services Japan
 
RDF Semantic Graph「RDF 超入門」
byオラクルエンジニア通信
 

Similar to AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報

PDF
AWS and PCI DSS
byKameda Harunobu
 
PPTX
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
byKinoshitaHiroyuki1
 
PDF
セキュリティ基準、標準、規制 との付き合い方
byTomohiro Nakashima
 
PDF
20130216 JAWS-UG横浜 よりセキュアなAWS環境構築
by真吾 吉田
 
PDF
20190919 よくご相談いただくセキュリティの質問と考え方
byAmazon Web Services Japan
 
PPTX
Reinforce2021 recap session2
byShogo Matsumoto
 
PDF
クラウドでPCI DSS環境を構築・運用するポイント
by真吾 吉田
 
PDF
AWSにおけるセキュリティの考え方
bymorisshi
 
PPTX
PCI DSSについて知っておくべき10のこと
byYuki Kawashima
 
PDF
AWS Cloud Design Pattern for Enterprise
byAkio Katayama
 
PDF
AWS_reInforce_2022_reCap_Ja.pdf
byHayato Kiriyama
 
PDF
【IVS CTO Night & Day】AWS Cloud Security
byAmazon Web Services Japan
 
PDF
AWSのセキュリティについて
byYasuhiro Horiuchi
 
PPTX
Security Operations and Automation on AWS
byNoritaka Sekiyama
 
PDF
20140924イグレックcioセミナーpublic
byjunkoy66
 
PDF
JAWS-UG 情シス支部 #3
byNobuhiro Nakayama
 
PPTX
Awsについて
byNaoyuki Sano
 
PDF
AWSでセキュリティを高める!
byServerworks Co.,Ltd.
 
PDF
Aws summits2014 ソニー銀行_ソニー銀行の考える金融機関のaws活用方式
byBoss4434
 
PDF
セキュリティを捉えてクラウドを使うためのポイント
byYasuhiro Araki, Ph.D
 
AWS and PCI DSS
byKameda Harunobu
 
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
byKinoshitaHiroyuki1
 
セキュリティ基準、標準、規制 との付き合い方
byTomohiro Nakashima
 
20130216 JAWS-UG横浜 よりセキュアなAWS環境構築
by真吾 吉田
 
20190919 よくご相談いただくセキュリティの質問と考え方
byAmazon Web Services Japan
 
Reinforce2021 recap session2
byShogo Matsumoto
 
クラウドでPCI DSS環境を構築・運用するポイント
by真吾 吉田
 
AWSにおけるセキュリティの考え方
bymorisshi
 
PCI DSSについて知っておくべき10のこと
byYuki Kawashima
 
AWS Cloud Design Pattern for Enterprise
byAkio Katayama
 
AWS_reInforce_2022_reCap_Ja.pdf
byHayato Kiriyama
 
【IVS CTO Night & Day】AWS Cloud Security
byAmazon Web Services Japan
 
AWSのセキュリティについて
byYasuhiro Horiuchi
 
Security Operations and Automation on AWS
byNoritaka Sekiyama
 
20140924イグレックcioセミナーpublic
byjunkoy66
 
JAWS-UG 情シス支部 #3
byNobuhiro Nakayama
 
Awsについて
byNaoyuki Sano
 
AWSでセキュリティを高める!
byServerworks Co.,Ltd.
 
Aws summits2014 ソニー銀行_ソニー銀行の考える金融機関のaws活用方式
byBoss4434
 
セキュリティを捉えてクラウドを使うためのポイント
byYasuhiro Araki, Ph.D
 

More from Tomohiro Nakashima

PDF
AWSではじめるDNSSEC
byTomohiro Nakashima
 
PDF
セキュリティ設計の頻出論点
byTomohiro Nakashima
 
PDF
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
byTomohiro Nakashima
 
PPTX
続・広く知ってほしいDNSのこと
byTomohiro Nakashima
 
PDF
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
byTomohiro Nakashima
 
PPTX
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
byTomohiro Nakashima
 
PPTX
広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―
byTomohiro Nakashima
 
PDF
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
byTomohiro Nakashima
 
PDF
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
byTomohiro Nakashima
 
PPTX
JANOG39 脆弱性ハンドリングを楽にするBoF進行資料
byTomohiro Nakashima
 
PPTX
JANOG39 脆弱性ハンドリングを楽にするBoF頭出し資料
byTomohiro Nakashima
 
PDF
DDoS対処の戦術と戦略
byTomohiro Nakashima
 
AWSではじめるDNSSEC
byTomohiro Nakashima
 
セキュリティ設計の頻出論点
byTomohiro Nakashima
 
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
byTomohiro Nakashima
 
続・広く知ってほしいDNSのこと
byTomohiro Nakashima
 
「グローバルプラットフォーマー問題」なにそれ?おいしいの?
byTomohiro Nakashima
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
byTomohiro Nakashima
 
広く知ってほしいDNSのこと ―とあるセキュリティ屋から見たDNS受難の10年間―
byTomohiro Nakashima
 
改めて考える適材適所のDDoS対策~まだDDoSで消耗しているの?~
byTomohiro Nakashima
 
マルウェア流入対策のもうひと工夫~プロが厳選!低予算でもできる効果あるセキュリティ施策~
byTomohiro Nakashima
 
JANOG39 脆弱性ハンドリングを楽にするBoF進行資料
byTomohiro Nakashima
 
JANOG39 脆弱性ハンドリングを楽にするBoF頭出し資料
byTomohiro Nakashima
 
DDoS対処の戦術と戦略
byTomohiro Nakashima
 

AWSのPCI DSSへの取り組みと 押さえておきたい耳寄り情報

  • 1.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 1 アマゾン ウェブ サービス ジャパン株式会社 2020年5⽉25⽇ AWSのPCI DSSへの取り組みと 押さえておきたい⽿寄り情報 Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯
  • 2.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 2 ⾃⼰紹介 名前:中島 智広(なかしま ともひろ) 所属:技術統括本部 職種:セキュリティソリューションアーキテクト 業務:お客様のセキュリティの取り組みを AWSの利活⽤の視点からご⽀援 • セキュリティアーキテクチャ、運⽤設計の⽀援 • PCI DSSをはじめとするコンプライアンスプログラムへの準拠⽀援 • 公式トレーニング「Security Engineering on AWS」インストラクター
  • 3.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 3 Table of contents • はじめに • AWSにおけるPCI DSS準拠の基本的な考え方 • AWSの取り組みとリファレンスマテリアルの紹介 • 準拠と維持に有用なAWSサービス • まとめにかえて
  • 4.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 4 はじめに
  • 5.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 5 PCI DSSが改めて着⽬されている背景 デジタル化へシフト スマートフォンの採⽤拡⼤ と⾮現⾦取引のための新し いチャネルにより加速 新しいノンバンク と 決済サービスプロバイ ダ (PSPs) が伝統的な チャネル外で取引を可能に する決済サービス、技術を 提供 ストレスのない決済経験、 ワンタッチオプション、イ ンスタント決済などの 顧客ニーズの変化 透明性、セキュリティ、イ ノベーション、相互運⽤性、 競争を促進する規制当局 の漸進的な変化 変わりつつあるグローバル決済の様相
  • 6.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 6 PCI DSS準拠・維持のよくある課題感 • 準拠・維持運⽤の負荷 • レギュレーションへの追従と設備投資 • 担当者で異なるQSA(審査⼈)の解釈 etc・・・
  • 7.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 7 PCI DSS準拠に対するAWSのお客様の声 “AWSの活⽤により、全てにおいて時間の掛かる⾦融業界で、スピード 感を持って対応をしている。我々は、⾦融プロダクトのみにフォーカ スできる。AWS CloudFormationの活⽤により、PCI対応を容易 にすることができました。” ‒—Tom Wanielista, Engineer, Simple “Stripe は、2011年以来、AWS 上にてPCI DSSに準拠した決済プラット フォームを運⽤しています。AWS のセキュリティ、監査の容 易性を⾼く評価し、AWS 活⽤する決め⼿となりました。” — Jorge Ortiz, Infrastructure Manager, Stripe “弊社のようにすべて のサービスをAWS上で稼働しているような状態 でも全く問題なく、PCI DSSに準拠することができました。 その上、導⼊や運⽤のコスト⾯及びサービスのスケーラビリティも 考慮すると、AWSを使わない⼿はありません。 — コイニー株式会社 代表取締役 佐俣奈緒⼦⽒ Online payment processor Online US bank
  • 8.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 8 AWSを利⽤すると準拠が容易になる? このあと「なぜ?」を解説します。
  • 9.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 9 AWSにおける PCI DSS準拠の基本的な考え⽅
  • 10.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 10 クラウドにおけるPCI DSS準拠の指針 Information Supplement: PCI DSS Cloud Computing Guidelines カード保有者のデータ環境を管理しているお客様向けに、クラウドでの PCI DSS 管理作業の留意事項を記載したもの https://www.pcisecuritystandards.org/pdfs/PCI_SSC_Cloud_Guidelines_v3.pdf
  • 11.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 11 責任共有モデル AWS クラウドのセキュリティ に対する責任 SECURITY ʻOFʼ THE CLOUD お客様 クラウド内のセキュリティ に対する責任 SECURITY ʻINʼ THE CLOUD お客様のデータ プラットフォーム、アプリケーション、IDとアクセス管理 オペレーティングシステム、ネットワークとファイアウォール構成 クライアント側データ暗号化 データ整合性認証 サーバー側暗号化 (ファイルシステムやデータ) ネットワークトラフィック保護 (暗号化、整合性、アイデンティ ティ) ハードウェア/AWSグローバルインフラストラクチャー ソフトウェア リージョン アベイラビリティ ゾーン エッジロケーション コンピュート ストレージ データベース ネットワーキング https://aws.amazon.com/jp/compliance/shared-responsibility-model/
  • 12.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 12 マネージドサービス利⽤による審査範囲の削減 Power, HVAC, net Rack & stack Server maintenance OS patches DB s/w patches Database backups Scaling High availability DB s/w installs OS installation App optimization Power, HVAC, net Rack & stack Server maintenance OS patches DB s/w patches Database backups Scaling High availability DB s/w installs OS installation App optimization Power, HVAC, net Rack & stack Server maintenance OS patches DB s/w patches Database backups Scaling High availability DB s/w installs OS installation App optimization オンプレミス On EC2 RDS お客様 たとえば、データベース管理のフルマネージド化
  • 13.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 13 オンプレミスとAWS、審査⼿法の違い お客様の統制領域 AWSの統制領域 お客様の統制領域 QSAとお客様が 合意した⼿法で 全体を審査 AWSの提供する ドキュメント※を 確認 QSAとお客様が 合意した⼿法で 審査 お客様の審査範囲 オンプレミス AWS ※「PCI DSS Attestation of Compliance (AOC)およびResponsibility Summary 」
  • 14.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 14 PCI DSSワークロードをAWSに移⾏するメリット/考え⽅ • 責任共有モデルに基づく審査範囲の⼤幅な削減 • AWSの豊富なサービスや機能を活⽤ • より効率的に、より⾼いセキュリティを実現
  • 15.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 15 AWSの取り組みと リファレンスマテリアル
  • 16.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 16 PCIコンプライアンスへの取り組み 認定審査機関(QSA)のチームを組織し、AWSとお客様ワークロードの PCIコンプライアンス準拠を⽀援 https://ja.pcisecuritystandards.org/assessors_and_solutions/qualified_security_assessors
  • 17.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 17 AWS is a PCI DSS-compliant Level 1 Service Provider https://aws.amazon.com/jp/compliance/services-in-scope/
  • 18.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 18 PCI Compliance Package PCI DSS Cloud Computing Guidelinesに沿った内容を、AWS Artifactを 通じて提供しています • PCI DSS Attestation of Compliance (AOC) • PCI SSC 認定審査機関によって提供され、AWSがPCI DSSレベル1に準拠 したサービスプロバイダであることを証明する準拠証明書 • Responsibility Summary • PCI SSC 認定審査機関(QSA)によって提供され、AWS とお客様の間で コンプライアンスに関する責任をどのように分担するかを説明
  • 19.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 19 スプレッドシート版 Responsibility Summary 整理に便利なスプレッドシート版のご⽤意があります Responsibility Summary PDF内に スプレッドシートが埋め込まれている
  • 20.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 20 AWSにおけるスコーピングの考え⽅ https://aws.amazon.com/jp/blogs/news/new- whitepaper-available-architecting-for-pci-dss- segmentation-and-scoping-on-aws/
  • 21.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 21 AWSにおけるPCI DSS準拠のガイダンス https://d1.awsstatic.com/whitepapers/compli ance/pci-dss-compliance-on-aws.pdf
  • 22.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 22 PCI DSS コンプライアンスの標準化アーキテクチャ https://aws.amazon.com/jp/quickstart/architecture/compliance-pci/
  • 23.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 23 準拠と維持に有⽤なAWSサービス
  • 24.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 24 AWS セキュリティ・ソリューション AWS Identity & Access Management (IAM) AWS Single Sign-On AWS Directory Service Amazon Cognito AWS Organizations AWS Secrets Manager AWS Resource Access Manager AWS Security Hub Amazon GuardDuty AWS Config AWS CloudTrail Amazon CloudWatch VPC Flow Logs AWS Systems Manager AWS Shield AWS WAF – Web application firewall AWS Firewall Manager Amazon Inspector Amazon Virtual Private Cloud (VPC) AWS Key Management Service (KMS) AWS CloudHSM AWS Certificate Manager Amazon Macie AWS Config Rules AWS Lambda アイデンティティ & アクセス管理 発見的 統制 インフラストラクチャ 保護 インシデント 対応 データ 保護 豊富なサービスや機能をPCI DSS準拠に利用可能
  • 25.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 25 本⽇は以下2つをピックアップしてご紹介します Amazon Macie ⼤規模な機密データを検出して保 護する AWS Security Hub セキュリティアラートの⼀元的な 表⽰および管理を⾏い、セキュリ ティチェックを⾃動化する 2020年 2月 機 能 追 加 2020年 5月 新 バ ー ジ ョ ン
  • 26.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 26 AWS Security Hub AWS Security Hub • アカウント、サービス、サードパーティー製品のセキュリ ティ検出結果を統合 • サポートする「セキュリティ標準」のルールに対して⾃動 的かつ継続的なチェックを実⾏した結果を⽣成 PCI DSS v3.2.1 CIS Benchmark AWS 基礎セキュリティのベストプラクティス サポートする「セキュリティ標準」(2020年5⽉現在)
  • 27.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 27 AWS Security Hub セキュリティ標準の活⽤ 煩雑なコンプライアンスプログラムの準拠と維持を効率化 たとえば 「 PCI DSS v3.2.1 セキュリティ標準」を有効化し、検出結果のナビ ゲーションに従うことで、PCI DSS準拠に必要な統制が整う。 さらに運⽤フェーズの準拠状況を継続的モニタリングにより確実にする。 AWS Security Hubセキュリティ基準に よってナビゲーションされる統制 コンプライアンス 準拠に必要な統制
  • 28.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 28 Amazon Macie Amazon Macie • クレジットカード番号(PAN)、個⼈特定情報 (PII)、個⼈医 療情報 (PHI)、知的財産 (IP)、ソースコード、認証情報など の機密データを識別 • データアクセスに対する可視性を提供する • Amazon S3 に保存されたデータを保護する • 東京を含む17のリージョンで利⽤できる 2020年5⽉ 拡張された新しいバージョンをローンチ、 旧バージョンをMacie Classicに改称
  • 29.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 29 Amazon Macie ‒ ユースケース例 データプライバシーとセキュリティのチェック データ・セキュリティを適切なレベルで維持することは重要な観点であり、すなわちそれ は継続的に機微情報を特定し、セキュリティの状況とアクセス管理の状況を評価すること である レギュレーションとコンプライアンスへの適合状況を維持 コンプライアンスチームは、機微情報がどこにあるか監視し、それを正しく保護する、そ して法規制、コンプライアンスが要求するデータ・セキュリティとプライバシー要件を満 たしていることをエビデンスをもって証明する必要がある ⼤量のデータをAWSに移⾏するとき、安全なAmazon S3 環境を初期のステージングエリア として設定し、そこでMacieに機微情報を検出させることが出来る。この検出結果により、 移⾏したデータをどこで保管するか、暗号化リソースタグなどのセキュリティコントロー ルをどのように適⽤するかを判断出来る データ移⾏時の機微情報の検出
  • 30.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 30 Amazon Macie - Macie Classic からの主要な変更点 ユーザーエクスペリエンスと スケーラビリティ • ネイティブAWS コンソール対応とフルAPIサ ポート • カスタマー定義のデータ特定ルールによる柔軟 な設定 • 拡張されたマネージド機微データ検出モジュー ル • タグ、 AWS Organizations、Cloud Formation のサポート • 全てのオブジェクトを分類 (Classic は先頭 20MBの制限があった) 価値の向上 • 価格設定の単純化 • CloudTrailのデータイベントコストの削減 • 利⽤状況をAWSコンソール上で可視化 • サポートAWSリージョンの拡⼤ (東京リージョンで利⽤可能に) 異常検知機能、 CloudTrailのS3データイベントの監視機能は GuardDutyに移⾏予定
  • 31.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 31 まとめにかえて
  • 32.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 32 Key Takeaways • PCI DSSワークロードをAWSに移⾏するメリット/考え⽅ • 責任共有モデルに基づく審査範囲の⼤幅な削減 • AWSの豊富なサービスや機能を活⽤ • より効率的に、より⾼いセキュリティを実現 • 新しい2つのサービス/機能をぜひご利⽤ください • AWS Security Hub PCI DSS v3.2.1セキュリティ標準 • Amazon Macie
  • 33.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 33 参照リソース① AWS PCI Compliance Packages https://console.aws.amazon.com/artifact/ PCI DSS スコーピングおよび AWS 上でのセグメンテーションのためのアーキテクチャの設計 https://d1.awsstatic.com/whitepapers/ja_JP/pci-dss-scoping-on-aws.pdf PCI DSS 3.2.1 on AWS Compliance Guide https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws.pdf AWS での PCI DSS コンプライアンスの標準化アーキテクチャ https://aws.amazon.com/jp/about-aws/whats-new/2016/05/pci-dss-standardized-architecture- on-the-aws-cloud-quick-start-reference-deployment/
  • 34.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 34 参照リソース② AWS Security Hub PCI DSS v3.2.1 コンプライアンス標準の使⽤⽅法 https://aws.amazon.com/jp/blogs/news/how-to-use-the-aws-security-hub-pci-dss-v3-2-1- standard/ Amazon Macie の⼤幅な機能強化、80% 以上の値下げ、およびグローバルリージョンの拡⼤を発表 https://aws.amazon.com/jp/about-aws/whats-new/2020/05/announcing-major-enhancements- to-amazon-macie-an-80-percent-plus-price-reduction-and-global-region-expansion/ 責任共有モデルとは何か、を改めて考える https://aws.amazon.com/jp/blogs/news/rethinksharedresponsibility/
  • 35.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 35 Q&A
  • 36.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 36 ご質問への回答① Q. スプレッドシート版Responsibility Summary はArtifactからダウンロードできる PDFに含まれていますか? A.はい。ArtifactからダウンロードできるPDFの中に、Responsibility Summaryの PDFが含まれており、さらにその中にスプレッドシート版が含まれています。 Q. Security HubのPCI DSS v3.2.1 セキュリティ標準について、PCI DSSの要件に対 するカバレッジを教えてください。 A. PCI DSS v3.2.1 セキュリティ標準のコントロール項⽬は以下に⼀覧がございます。 https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/securityhub- pci-controls.html
  • 37.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 37 ご質問への回答② Q. Macieの⽇本語対応について教えてください。 A. カスタマー定義のデータ特定ルールでは、⽇本語を含むUnicode⽂字をサポートし ています。 Q. Amazon Macieはどのぐらいの頻度でクロールしますか? A. ワンタイムおよびスケジュールでの実⾏(毎⽇、毎週、毎⽉)をサポートしていま す。 https://docs.aws.amazon.com/ja_jp/macie/latest/user/discovery-jobs.html Q. Macieは、トークナイズなどによって、スコープの縮⼩はできますか? A. Macieは機微情報の検出、可視化、評価を⾏います。検出結果を他のサービスと連 携することによって追加の処理を実⾏(⾃動化)することが可能です。
  • 38.
    © 2020, AmazonWeb Services, Inc. or its Affiliates. 38 Thank you!