クラウドエンジニアが本音で語る！ドコモはawsのセキュリ … ·...

クラウドエンジニアが本音で語る！

NTTドコモはAWSのセキュリティをこう考えた

福田俊介

トレンドマイクロ株式会社

プロダクトマーケティング本部

Deep Security担当

守屋裕樹様株式会社NTTドコモ

イノベーション統括部クラウドソリューション担当

2 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

職歴

福田俊介トレンドマイクロ株式会社プロダクトマーケティング本部法人製品マーケティング部

≪2015年～現在≫ サーバ向け製品”Deep Security”のプロダクトマーケティングを担当。2018年からネットワーク型IPS製品“TippingPoint”も担当。

守屋裕樹株式会社NTTドコモ

イノベーション統括部クラウドソリューション担当

職歴

≪2013年～現在≫社内外パブリッククラウド利用コンサルティング

ドコモグループ内向け共通基盤（Deep Securityなど）開発運用

第000893号


本日のAgenda

① NTTドコモが考える「AWS×セキュリティ」

② トレンドマイクロが考える「AWS×セキュリティ」

③ NTTドコモがTrend Micro Deep Securityを採用した理由

④ NTTドコモはAWSとDeep Securityをどう使っている？

ドコモ様のスライドトレンドマイクロのスライド

NEXT：ドコモのAWS利用


NTTドコモのAWS利用の特徴

• 2012年から本格的に利用開始

• サービス系を中心に約400のAWSアカウントを運用中

• CCoE（Cloud Center of Excellence）チームの存在

NEXT：ドコモの社内体制


ドコモ社内体制

AWSを利用するプロジェクト

プロジェクトA プロジェクトB プロジェクトC

ドコモCCoEチーム連携

（サポート契約）

ガイドライン/テンプレート作成共通基盤開発運用

提供

・問い合わせ・フィードバック・ノウハウ蓄積

コンサル提供

フィードバック事例・ノウハウ反映

個別問い合わせ

NEXT：ドコモが考えるセキュリティポイント


ユーザとしてのAWS利用のポイント

「責任共有モデル」は全てのベース

重要なのは「何を守りたいか」• チェックリストを埋めることがセキュリ

ティ対策ではない，チェックリストで記載されている対策事項の本質を考える

• 守るべきものを守ることがセキュリティ対策

• ホワイトペーパーや第三者認証レポートにてAWSの統制や対策を確認

• AWS Artifactの活用

NEXT：ユーザの責任範囲…ポイントは？


“ユーザ”が実施すべき対策

ソフトウェア脆弱性管理ウイルス対策ファイアウォールIDS/IPS改ざん検知ネットワーク管理構成管理暗号化アクセス制御権限管理可用性/バックアップ監視 etc…

AWSの機能で対策

ユーザ独自で対策

ガイドライン化テンプレート化

どう対策する？効率的な方法は？

ドコモの場合

NEXT：トレンドマイクロはどう考える？


AWS×セキュリティ｢責任共有モデル｣

クラウドのセキュリティに

責任

クラウド”内”のセキュリティに

責任

具体的には？

NEXT：ユーザの責任範囲…ポイントは？


攻撃フェーズに合わせた対策4.侵入拡大

情報漏えい／改ざん3.2.初期潜入1.事前準備

攻撃手法

バックドア設置

環境確認･侵入ウイルス設置脆弱性の悪用

ポートスキャン

脆弱性探索アクセス権奪取

情報漏えい改ざん

攻撃手法




NEXT：AWSの機能だけで完結？


攻撃フェーズに合わせた対策4.侵入拡大

情報漏えい／改ざん3.2.初期潜入1.事前準備

バックドア設置

防御方法

コンプライアンス準拠

脆弱性棚卸し

パッチ適用

IPSによる脆弱性攻撃通信の遮断

ウイルス対策

C&C通信検知

変更監視

ユーザ認証

DB暗号化

コマンド実行検知･遮断

攻撃手法




大量の認証試行検知

意図しないSQL文検知･防御

IDSによる疑わしい通信の検知

攻撃方法から見た防御のキーワードは

「脆弱性対策」「多層防御」

NEXT：AWSの機能だけで完結？


AWSの機能･サービスで完結する？

ファイアウォールユーザー認証

セキュリティ診断アクセス制御

データ暗号化

施設

サーバ

ネットワーク

法規制対応物理冗長性

ストレージ

ハイパーバイザー

IAM Amazon Inspector

AWS KMS AWS WAF AWSConfig

AWS Direct Connect

Amazon VPC

security group

Amazon CloudFront

セキュリティ診断

インシデント・レスポンス

アンチマルウェア IPS/IDS,WAF

フォレンジックフォレンジック

snapshot

AWS Trusted Advisor

AWS Shield

<AWSが責任を持つ範囲>

<AWSの機能でセキュリティを保てる範囲>

AWSが対策を実施している範囲

AWSのセキュリティ機能を使って対策する範囲

AWS以外のサービスを

利用する範囲

＜AWS以外のサービスを利用する範囲＞

NEXT：ドコモ・トレンドマイクロの共通認識


NTTドコモ・トレンドマイクロの共通認識

• AWSセキュリティのベース･キーワード⇒ ｢責任共有モデル｣

• ①AWSの機能で実装するもの②セキュリティ製品･サービスで対策するもの⇒ この2つを分けて考えて対策する

セキュリティを考える時に気を付けたことは？

NEXT：ドコモが気を付けたこと


セキュリティ対策で避けたいこと

AWSのベストプラクティスボトルネックを排除する

スケールしやすい構成にする

セキュリティ対策したらボトルネックが発生し，パフォーマンスが低下

ユーザの腕の見せどころ!!

セキュリティ対策したら，密結合化してスケールしづらい構成に

NEXT：Deep Security採用理由①


• ホストインストール型のため，ネットワーク型に比べ，ボトルネックになりづらい

• AutoScaling対応もされており，スケールに対応している

• AWS APIを利用した連携（クラウドアカウントなど）が可能

Trend Micro Deep Securityの採用

NEXT：Deep Security採用理由②


Trend Micro Deep Securityでの対策

ソフトウェア脆弱性管理ウイルス対策ファイアウォールIDS/IPS改ざん検知ネットワーク管理構成管理暗号化アクセス制御権限管理可用性/バックアップ監視 etc…

AWSの機能だけで対策しきれない部分を幅広くDeep Securityでカバー

NEXT：Deep Securityとは


Trend Micro Deep Securityとは

Deep Security Manager

Deep SecurityAgent

物理環境仮想環境

Deep SecurityVirtual appliance

クラウド環境

Deep SecurityAgent

サーバを多層防御する総合サーバセキュリティ対策製品

NEXT：Deep Securityの優位性


Deep Security on AWS 優位性

守屋様より

【ボトルネックになりにくいホスト型】【AutoScaling対応】

1. セキュリティ製品の

スループットに依存しない

2. 万一障害時の影響も

インスタンス単位

3. 必要な時に必要なだけ使える

AWS Management Console

Deep Security Manager

Deep SecurityAgent

同期

増加したAgentを自動登録

NEXT：機能面以外にも採用理由が？


事例の多さ

AWS上でDeep Securityを導入した事例が多い

調べると導入方法や設定方法などの情報がたくさん出てくるので参考にしやすい

Deep Security AWS 検索

NEXT：どんな事例がある？


Deep Security on AWS導入企業（一例）

（※社名順不同）

NEXT：市場シェアNO.1

Copyright 2017 Trend Micro Inc.20

MARKET LEADER

in server security for 7 straight years!

Symantec

Intel

Other

30%

Source: IDC, Securing the Server Compute Evolution: Hybrid Cloud Has Transformed the Datacenter, January 2017 #US41867116

NEXT：Gartnerも認めた製品

Copyright 2018 Trend Micro Inc.21

16 of 21 controls!

Trend Micro delivers the most cloud security

controls of all security vendors evaluated

Market Guide for Cloud Workload

Protection Platforms

Published: 22 March 2017

Analyst(s): Neil MacDonald

NEXT：テクニカルサポート


トレンドマイクロのテクニカルサポートサポート体制に満足しています。 & メーカーのサポート/技術力があるため、安心して顧客に提供できる。

サポートに安心感がある※ 2017年2月実施 Deep Securityユーザ向け利用実態調査より抜粋

有償サポートの満足度(5点満点)

1 2 3 4 5

数回利用しているが、対応が丁寧で迅速である。

満足度:93.4%

平均:4.69

スタンダードサポートの満足度(5点満点)

1 2 3 4 5

満足度:90.8%

平均:4.30

※ 2017年にお問い合わせいただいたサポートケースでご回答いただいたアンケートから抜粋

NEXT：オンライン資料


Deep Security オンライン資料

【Deep Securityヘルプセンター】

• Deep Security開発チームからの情報発信も含めた全世界共通のサポート情報ページ。

• 製品の使い方(管理者ガイド)が情報の中心。

【Deep Securityサポートページ】

• 日本のテクニカルサポートチームが作成しているサポート情報ページ。

• 日本のお客さまからのよくある質問などをFAQ化。

• アップグレードガイドなどの各種手順書も公開。

https://success.trendmicro.com/jp/product-support/deep-security-10-0

http://esupport.trendmicro.com/ja-jp/enterprise/ds/top

https://help.deepsecurity.trendmicro.com/10/0/ja-jp/Welcome.html

NEXT：オンライン資料について


確かにオンライン資料は多いけど…

運用者にとって十分な情報ではないことも。

ユーザやSIerが書いているブログ･記事が多数ヒット。⇒ 実運用に則して書かれているので

分かりやすいことが多い。

Deep Security アラート検索

NEXT：ドコモのセキュリティ運用


セキュリティの運用背景

• セキュリティポリシーはプロジェクト（≒AWSアカウント）単位• 運用もプロジェクト（≒AWSアカウント）単位

AWSアカウントA AWSアカウントB AWSアカウントC

運用者A 運用者B 運用者C

別の運用体制別の運用体制

別の運用体制NEXT：ドコモのセキュリティ運用


対策すべきこと

ドコモセキュリティ基準

Start

機密情報あり

機密情報なし

インターネット公開あり

インターネット公開なし

インターネット公開あり

インターネット公開なし

Webサーバあり

Webサーバなし

Webサーバあり

Webサーバなし

Webサーバあり

Webサーバなし

Webサーバあり

Webサーバなし

プロジェクトB

プロジェクトA

対策すべきことがプロジェクトによって異なるNEXT：ドコモのセキュリティ運用


対策の実施方法

AWSアカウントA AWSアカウントB AWSアカウントC

ドコモ社員A ドコモ社員B ドコモ社員C

運用パートナー様（A社）運用パートナー様（B社）運用パートナー様（C社）

運用支援運用支援運用支援

対策の実施方法がプロジェクトによって異なる

NEXT：ドコモから皆さまへ


セキュリティの運用時のポイント

• 対策レベルに合わせた対策各対策レベルに必要な対策ができること “過度”な対策を強いることで効率を損なわないこと

• 対策方法の柔軟な選択各プロジェクトの特性に合わせた対策が実施できること

「何を守りたいか」を意識して各プロジェクトで対策

NEXT：Deep Securityどう使っている？


Deep Security Manager共通基盤DSM共通基盤

Internet

ELB

EC2

EC2

NATGateway

EC2 EC2

接続先をスケールさせるため，DSM-DSA間はインターネット接続グローバルIPアドレスを

持たない状態でもNAT経由でDSMに接続可

プロジェクトA プロジェクトB プロジェクトC

NEXT：ドコモ×AWSの方向性


今後のAWS活用

ーAWSはビジネスを成功させる手段ー

• AWSの良さであるAgilityやScalabilityなどを損なうことなく，AWSを使いこなす

• これまで蓄積してきたノウハウを積極的に活用し，効率化や自動化していく

• 新しい技術やサービスは積極的に取り入れる

NEXT：ドコモのノウハウ？


共通基盤化ガイドライン

インシデント対応ガイドライン IAMデザインパターン

クラウド開発ガイドラインセキュリティデザインパターン

システム移行ガイドライン

1年目19万円/年 2年目以降10万円

ノウハウの活用

NEXT：Deep Securityの方向性


Trend Micro Deep Securityの方向性

• AWSの使い方･セキュリティの考え方ともに時代の最先端をゆき、スタンダードを作ってきたNTTドコモ様。

• あのドコモ様にご採用いただけるレベルの製品。– 製品機能・安定性・市場シェア・オンラインの情報(ブログなど)

これまで

安心

そして、これから

• 製品安定･安心感だけではなく、更にAWSとの親和性を高く。

• セキュリティがAWS利用促進の妨げになってはいけない。

▶ AWS連携強化･セキュリティ自動化の推進。最適化NEXT：最後にまとめ


本日のまとめセキュリティで気を付けるポイント

NTTドコモ様がDeep Securityを選んだ理由

1. ホスト型(ソフトウェア)のためボトルネックになりづらい

2. AutoScaling対応やAPI連携などAWSとの高い親和性

3. AWSの機能では対策しきれない範囲を広くカバー

Deep SecurityならAWSのセキュリティも安心！

• AWSセキュリティのベース･キーワード ⇒ ｢責任共有モデル｣

• 脆弱性を利用した攻撃への対策＋多様な攻撃手法に対応する仕組み

• AWSだけで足りない機能はセキュリティベンダーの製品･サービスを利用

クラウドエンジニアが本音で語る！ ドコモはawsのセキュリ … ·...

Documents

クラウドエンジニアが本音で語る！ドコモはawsのセキュリ … ·...