Abstract image of a woman sitting on books and studying on a laptop

JAWS-UG 初心者支部_20151127

Koji Kanazawa, profile picture
Koji Kanazawa

安心してください、やってますよ。〜○○○も認めるセキュリティへの取り組み〜

Technology
1 of 85
Downloaded 10 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
安心してください、やってますよ。 〜○○○も認めるセキュリティへの取り組み〜 株式会社D2C ドコモ事業本部 技術開発部 金澤幸治 2015年11月27日(金)
2 D2C?
3 株式会社D2C × ・デジタルマーケティング事業 ・ドコモ事業 ・海外事業
4 誰?
5 自己紹介 名前 : 金澤 幸治(かなざわ こうじ) 所属 : 株式会社D2C ドコモ事業本部 技術開発部 仕事 :広告配信システムの開発・運用を担当している部署のマネージャー      (10月まで、全社の情報セキュリティ・システム監査もみてました)       PMP(米国PMI)、認定スクラムマスター、認定スクラムプロダクトオーナー 好きなAWSのサービス:Amazon Machine Learning 趣味:読書、ダイエット   個人情報:恐妻家           kozykana   ⇒この10年で10キロの増減を4,5回繰り返す・・・  ⇒ でも、自分の奥さんを「鬼嫁」と言われると怒る
6 今日のお話し ①はじめに ②AWS導入までの話 ③セキュリティに対する取り組み ④おまけ&まとめ
7 ①はじめに
8 ①はじめに いきなりですが
9 ①はじめに 親会社の言うことは、絶対〜!!(笑)
10 ①はじめに ○T○ド○モ
11 ①はじめに D2Cのシステムは ド○モの基準に準拠しています
12 ①はじめに 高品質!品質  ⇒ SLA  ⇒ 納期  ⇒ セキュリティ ⇒ 通信会社と同等のセキュリティ!! 落としちゃダメ! 厳守!
13 ①はじめに 要求が高い。。。
14 ①はじめに やっている方は面倒くさいが、 なかなか出来ない経験を得られる。 大変だ
15 ②AWS導入までの話
16 ②AWS導入までの話 ちょっと、懐かしい話をします。
17 ②AWS導入までの話 あれは今からまだ7〜8年以上前・・・・・・
18 ②AWS導入までの話 「オンプレ」や「クラウド」 なんて言葉もない時代
19 ②AWS導入までの話 携帯電話と言えば、 まだ「ガラケー」
20 ②AWS導入までの話 余談:フューチャーフォン     フィーチャーフォン
21 ②AWS導入までの話 インターネット ケータイインターネット ≒
22 ②AWS導入までの話 キャリア網 通信キャリア キャリアGateWay 携帯端末 コンテンツ 提供企業 専用 ネットワーク インターネット
23 ②AWS導入までの話 ・通信はキャリア網で安全 ・JavaScriptは使えない ・トラフィックも予測可能(かつ少ない)
24 ②AWS導入までの話 かなり古いOS/ ミドルウェアを使っていても ⇒なんとかなんじゃね?
25 ②AWS導入までの話 不自由だけど安全
26 ②AWS導入までの話 そんな時代でした
27 ②AWS導入までの話 時は流れ・・・・・・
28 ②AWS導入までの話 携帯電話と言えば「スマホ」
29 ②AWS導入までの話 ・通信はインターネット回線 ・PCと同じScriptが使えてしまう ・トラフィックが予測不可能
30 ②AWS導入までの話 自由だけどセキュリティに注意を 払わなければならない
31 ②AWS導入までの話 クラウドの登場!
32 ②AWS導入までの話 でも、
33 ②AWS導入までの話 クラウドサービスなんてもってのほか 親会社も同じ方針
34 ②AWS導入までの話 「情報資産はデータセンターに格納した サーバ上で管理しなければならない。」
35 ②AWS導入までの話 クラウドって、大丈夫なの?
36 ②AWS導入までの話 なんか、クラウドは使ってはいけない 「暗黙の了解」縛り
37 ②AWS導入までの話 ・「パトリオット法」問題 ・性能が良くない ・セキュリティに問題がある なんて都市伝説を 自分に都合のいいように解釈して 自分を慰めてました。。。
38 ②AWS導入までの話 転機は、忘れもしない2013年
39 ②AWS導入までの話 2013 re:Invent
40 ②AWS導入までの話
41 ②AWS導入までの話 使えるなら
42 ②AWS導入までの話 まずは使ってみる
43 ②AWS導入までの話 最初は遠隔地バックアップ のリプレイスで利用
44 ②AWS導入までの話 AWS cloud corporate data center virtual private cloud
45 ②AWS導入までの話 これで大きな効果を得る (コスト30分の1に減)
46 ②AWS導入までの話 AWS導入の際に背中を押してくれたポイント ・第3者認証を数多く取得している/  FBIも使っている ・導入事例が豊富 ・セキュリティ要件を満たせる
47 ②AWS導入までの話
48 ②AWS導入までの話 自社で賄おうとしても無理!!
49 ②AWS導入までの話 AWS導入の際に背中を押してくれたポイント ・第3者認証を数多く取得している/  FBIも使っている ・導入事例が豊富 ・セキュリティ要件を満たせる ・親会社(ド○モ)が使っている
50 2015年10月にリリースした 広告配信システムでAWSを全面採用! ②AWS導入までの話
51 ③セキュリティに対する取り組み
52 ③セキュリティに対する取り組み サービスリリース前は セキュリティチェック必須
53 ③セキュリティに対する取り組み チェック項目は、250以上!
54 ③セキュリティに対する取り組み 一例を ・権限管理、アカウント管理、PC管理ポリシー 【クラウド利用の際は】 ・第3者認証を取得していること ・撤退時の条件が確認できているのか? ・(クラウドサービスは)安全な場所のデータセンター を使っているのか?
55 ③セキュリティに対する取り組み チェックリスト以外にも、 ネットワーク&アプリケーションの 脆弱性診断試験
56 ③セキュリティに対する取り組み 脆弱性診断試験時はAWSに伝えてください
57 プライバシーマークとISMS(ISO27001)も 取得しているので、 それらに準拠した独自のガイドライン ③セキュリティに対する取り組み
58 ③セキュリティに対する取り組み ・アクセス制御ルール ・ログの保存期間 ・業務委託先のチェック ・情報資産管理と漏洩時のリスク をチェック
59 ③セキュリティに対する取り組み 目的はなんだっけ?
60 ③セキュリティに対する取り組み AWSにおけるセキュリティの取り組み
61 「AWS」「セキュリティ」 といえば、共有責任モデル ③セキュリティに対する取り組み
62 ・仮想インフラ ・ネットワークインフラ ・物理インフラ ・物理セキュリティ ・ファシリティ ・アカウント管理 ・セキュリティグループ ・アプリケーション ・ネットワーク設定 ・OS 共有責任モデル ユーザー AWS ③セキュリティに対する取り組み
63 ③セキュリティに対する取り組み OS以上は自分たちで守る
64 ③セキュリティに対する取り組み ・AWSのアカウント管理を行う機能 ・必要なユーザーに必要な権限を与え、 必要なアクセスのみを許可できる ・権限の設定は適切か、見直しがなされているのか? 定期的な確認が必要 ・ルートアカウントと呼ばれるAWSアカウントではなく、 IAMを利用 IAM(Identity and Access Management)
65 ③セキュリティに対する取り組み ・AWSのAPIコールのログを管理することが出来る ・どのアカウントがいつ何を行ったかが、記録可能  ⇒問題発生時の原因追跡、再発予防につなげる ・IAMやS3バケットのポリシーを利用して  ログファイルのアクセス制御も可能 ・ログは半永続的に保存 Cloudtrail
66 ③セキュリティに対する取り組み VPC(Virtual Private Cloud)/DirectConnect ・グローバルIPを持たずインターネットと通信をしない  セキュアな環境を作ることが可能 ・専用線(Direct Connect)接続を利用することで、  既存の物理的なデータセンターと同等の  セキュリティ環境を整えることが可能 ・使ってみるとセキュリティよりも、回線速度が◎
67 ③セキュリティに対する取り組み セキュリティグループ  ・仮想ファイアーウォール   ⇒不要なPortやアクセスを閉じる MFA(Multi-Factor Authentication)  ・多要素認証 暗号化  ・通信、データ その他
68 ③セキュリティに対する取り組み セキュリティは運用も大事
69 ③セキュリティに対する取り組み ・緊急の脆弱性対応 ・年次の点検 も実施
70 ③セキュリティに対する取り組み 「完全に防ぐ」という観点も必要だが、 「被害を最小限にする」観点も必要
71 おまけ
72 おまけ re:Inventに行けなかった人間が、re:Inventで 発表されたセキュリティ関連サービスを試してみた件 少し
73 ④おまけ re:Invent2015セキュリティ関連 1.AWS WAF
74 ④おまけ re:Invent2015セキュリティ関連 ・WAFとは?  ⇒Web Application Firewallの略、    Webアプリケーションへの攻撃を防ぐための機能 ・CloudFrontと連動 ・XSS/SQLインジェクション対策、特定UserAgent・  IPアドレスからの攻撃を防御 ・あくまでWAFこれだけでは不十分 mobile client CloudFront Web App Firewall EC2
75 2.Amazon Inspector ④おまけ re:Invent2015セキュリティ関連
76 ④おまけ re:Invent2015セキュリティ関連 ・Amazon Inspectorとは  ⇒自動セキュリティ診断サービス ・一般的な脆弱性、OSやアプリケーションにおける  ベストプラクティスも用意 ・Agentのインストール必要 ・脆弱診断試験時のAWSへの事前連絡必要なし ・要望:AWSによるレポート
77 3.AWS Config Rules ④おまけ re:Invent2015セキュリティ関連
78 ④おまけ re:Invent2015セキュリティ関連 ・AWS Config Rulesとは  ⇒AWS configの拡張機能、今までのAWSリソース   設定値の記録・確認だけではなく、   ルールに基づく検査が可能に ・監査、コンプライアンスルールに則った運用が可能に ・AWSで決められたマネージドルールの他にLambdaを  使ったカスタムルールも設定可能 ・設定ミスも防げる(IAMにも対応予定)
79 ④おまけ re:Invent2015セキュリティ関連 色々なサービスが出てくるので、 どれが自分たちに合うのか検証・検討が必要
80 ④おまけ re:Invent2015セキュリティ関連 セキュリティ対策は重要だが、 それ自体が売上に直結するわけではない
81 ④おまけ re:Invent2015セキュリティ関連 でも
82 ④おまけ re:Invent2015セキュリティ関連 やっぱ、re:Invent行きたかったな〜
83 まとめ
84 ④まとめ ・AWS導入の際に一番の後ろ盾は「○○○も使っている」 ・AWS上で適切な対策をすれば○○○向けの  セキュリティ要件も満たすことができる ・セキュリティ対策は、  目的を持って、やりっ放しにしない、どこまでやるか見極める ・re:Invent2015でリリースされた、セキュリティ関連サービスは  WAF、Inspector、Config Rules ・来年こそはre:Invent行きた〜い!
85 ありがとうございました!

More Related Content

PDF
2014年4月9日RM研究会第一部「女性活用はもはや常識!」
日本 アルマック
 
PPTX
【Diversity】オモシロイ人が集まる、育つ環境づくり (隠岐さや香・広島大学大学院 准教授)
Science Talks (サイエンストークス)
 
PDF
コラボレーション・エナジャイザーというお仕事
八木橋 パチ
 
PDF
チャレンジを楽しむ文化と価値観
八木橋 パチ
 
PDF
「大和証券グループのCsr活動」
csr_alterna
 
PDF
女性が活躍する物流会社の、一歩先行くマネジメントの秘訣とは【投影資料】
Naturallink Maemoto
 
PDF
企業の取組みか加速する女性活躍推進について【投影資料】
Naturallink Maemoto
 
PDF
ミニフォーラム「多様な働き方を実現する組織風土を醸成するには」配付資料
株式会社ヒューマンバリュー
 
2014年4月9日RM研究会第一部「女性活用はもはや常識!」
日本 アルマック
 
【Diversity】オモシロイ人が集まる、育つ環境づくり (隠岐さや香・広島大学大学院 准教授)
Science Talks (サイエンストークス)
 
コラボレーション・エナジャイザーというお仕事
八木橋 パチ
 
チャレンジを楽しむ文化と価値観
八木橋 パチ
 
「大和証券グループのCsr活動」
csr_alterna
 
女性が活躍する物流会社の、一歩先行くマネジメントの秘訣とは【投影資料】
Naturallink Maemoto
 
企業の取組みか加速する女性活躍推進について【投影資料】
Naturallink Maemoto
 
ミニフォーラム「多様な働き方を実現する組織風土を醸成するには」配付資料
株式会社ヒューマンバリュー
 

Viewers also liked (9)

PDF
WWCT ラズパイ Bluemix 講習資料
Masaya Fujita
 
PDF
合同研究発表会用発表資料(内村 亮太)
亮太 内村
 
PPTX
input type = password autocomplete = off は使ってはいけない
彰 村地
 
PDF
スタートアップならおさえておきたいAWS(Amazon Web Services)入門 ~メディア露出時のピーク対策編~ 先生:高山 博史・今井 雄太
schoowebcampus
 
PDF
TPM 設備保全の概要 | 機械保全 | TPMとは?
博行 門眞
 
PPTX
ホワイトカラーの生産性向上に向けた 組織の時間価値向上への取り組み ~現実的な導入、展開プロセスのご提案~
POP
 
PDF
魅せるPowerPointビジネスプレゼン【入門編】先生:河合 浩之
schoowebcampus
 
PDF
デキるプログラマだけが知っているコードレビュー7つの秘訣
Masahiro Nishimi
 
PDF
【プレゼン】見やすいプレゼン資料の作り方【初心者用】
MOCKS | Yuta Morishige
 
WWCT ラズパイ Bluemix 講習資料
Masaya Fujita
 
合同研究発表会用発表資料(内村 亮太)
亮太 内村
 
input type = password autocomplete = off は使ってはいけない
彰 村地
 
スタートアップならおさえておきたいAWS(Amazon Web Services)入門 ~メディア露出時のピーク対策編~ 先生:高山 博史・今井 雄太
schoowebcampus
 
TPM 設備保全の概要 | 機械保全 | TPMとは?
博行 門眞
 
ホワイトカラーの生産性向上に向けた 組織の時間価値向上への取り組み ~現実的な導入、展開プロセスのご提案~
POP
 
魅せるPowerPointビジネスプレゼン【入門編】先生:河合 浩之
schoowebcampus
 
デキるプログラマだけが知っているコードレビュー7つの秘訣
Masahiro Nishimi
 
【プレゼン】見やすいプレゼン資料の作り方【初心者用】
MOCKS | Yuta Morishige
 
Ad

Similar to JAWS-UG 初心者支部_20151127 (20)

PDF
誰のためのリモートアクセスか
Koji Kanazawa
 
PDF
情シスのひみつ
cloretsblack
 
PPTX
【ITソリューション塾・特別講義】Security Fundamentals/2017.5
Masanori Saito
 
PDF
ほめなれワーク
広告制作会社
 
PDF
KLabのエンジニアを支えるカルチャー
KLab Inc. / Tech
 
PPTX
セキュリティ教育とUX ~結ばれていた赤い糸~
Yahoo!デベロッパーネットワーク
 
PDF
A16_VB でクラサバシステムの開発をしていた平凡なチームが、どのようにクラウドネイティブプロダクト開発にシフトしアジャイル開発を進めることができたのか...
日本マイクロソフト株式会社
 
PDF
220118 RPAコミュニティ Google Workspace セミナー
ラリオス 川口
 
PDF
骨抜きアジャイルの骨を生み出す 〜私(スクラムマスター)のXP学習記録〜(XP祭り2023 発表資料)
NTT DATA Technology & Innovation
 
PDF
「納品のない受託開発」にみるソフトウェア受託開発の未来
Yoshihito Kuranuki
 
PDF
Microsoft MVP を受賞するために取り組んだこと
Tetsuya Odashima
 
PDF
『Mobageの大規模データマイニング活用と 意思決定』- #IBIS 2012 -ビジネスと機械学習の接点-
Koichi Hamada
 
PPTX
チームトポロジーから学び、 データプラットフォーム組織を考え直した話.pptx
Rakuten Commerce Tech (Rakuten Group, Inc.)
 
PDF
S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [...
日本マイクロソフト株式会社
 
PPTX
ゲーム事業×データ分析 ドリコムにおける組織と仕事の組み立て方
Hisahiko Shiraishi
 
PPTX
2020/05/18 Alibaba cloud AIソリューションセミナー
寛之 松浦
 
PDF
DBREから始めるデータベースプラットフォーム
Insight Technology, Inc.
 
PDF
Office 365 を使っただけなのに~あなたのテナントも狙われる~
祥子 松山
 
PPTX
No codecamp weekly_output adalo database_20201112
翼 宮崎
 
PDF
【de:code 2020】 テレワーク時のワークマネージメントとセキュリティ強化の実現方法
日本マイクロソフト株式会社
 
誰のためのリモートアクセスか
Koji Kanazawa
 
情シスのひみつ
cloretsblack
 
【ITソリューション塾・特別講義】Security Fundamentals/2017.5
Masanori Saito
 
ほめなれワーク
広告制作会社
 
KLabのエンジニアを支えるカルチャー
KLab Inc. / Tech
 
セキュリティ教育とUX ~結ばれていた赤い糸~
Yahoo!デベロッパーネットワーク
 
A16_VB でクラサバシステムの開発をしていた平凡なチームが、どのようにクラウドネイティブプロダクト開発にシフトしアジャイル開発を進めることができたのか...
日本マイクロソフト株式会社
 
220118 RPAコミュニティ Google Workspace セミナー
ラリオス 川口
 
骨抜きアジャイルの骨を生み出す 〜私(スクラムマスター)のXP学習記録〜(XP祭り2023 発表資料)
NTT DATA Technology & Innovation
 
「納品のない受託開発」にみるソフトウェア受託開発の未来
Yoshihito Kuranuki
 
Microsoft MVP を受賞するために取り組んだこと
Tetsuya Odashima
 
『Mobageの大規模データマイニング活用と 意思決定』- #IBIS 2012 -ビジネスと機械学習の接点-
Koichi Hamada
 
チームトポロジーから学び、 データプラットフォーム組織を考え直した話.pptx
Rakuten Commerce Tech (Rakuten Group, Inc.)
 
S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [...
日本マイクロソフト株式会社
 
ゲーム事業×データ分析 ドリコムにおける組織と仕事の組み立て方
Hisahiko Shiraishi
 
2020/05/18 Alibaba cloud AIソリューションセミナー
寛之 松浦
 
DBREから始めるデータベースプラットフォーム
Insight Technology, Inc.
 
Office 365 を使っただけなのに~あなたのテナントも狙われる~
祥子 松山
 
No codecamp weekly_output adalo database_20201112
翼 宮崎
 
【de:code 2020】 テレワーク時のワークマネージメントとセキュリティ強化の実現方法
日本マイクロソフト株式会社
 
Ad

Recently uploaded (7)

PDF
20250826_Devinで切り拓く沖縄ITの未来_AI駆動開発勉強会 沖縄支部 第2回
Masaki Yamakawa
 
PDF
Working as an OSS Developer at Ruby Association Activity Report 2025
Hiroshi SHIBATA
 
PPTX
生成AIとモデルベース開発:実はとても相性が良いことを説明します。まあそうだろうなと思われる方はご覧ください。
Akira Tanaka
 
PDF
ココロ分解帳|感情をやさしく分解し自分と他者を理解するためのモバイルノートアプリ
hatedwunao
 
PDF
Geminiの出力崩壊 本レポートは、Googleの大規模言語モデル「Gemini 2.5」が、特定の画像と短文入力に対して、誤った地名を推定し、最終的に...
池田 直哉
 
PDF
翔泳社 「C++ ゼロからはじめるプログラミング」対応 C++学習教材(三谷純)
Jun MITANI
 
PDF
[email protected]
Matsushita Laboratory
 
20250826_Devinで切り拓く沖縄ITの未来_AI駆動開発勉強会 沖縄支部 第2回
Masaki Yamakawa
 
Working as an OSS Developer at Ruby Association Activity Report 2025
Hiroshi SHIBATA
 
生成AIとモデルベース開発:実はとても相性が良いことを説明します。まあそうだろうなと思われる方はご覧ください。
Akira Tanaka
 
ココロ分解帳|感情をやさしく分解し自分と他者を理解するためのモバイルノートアプリ
hatedwunao
 
Geminiの出力崩壊 本レポートは、Googleの大規模言語モデル「Gemini 2.5」が、特定の画像と短文入力に対して、誤った地名を推定し、最終的に...
池田 直哉
 
翔泳社 「C++ ゼロからはじめるプログラミング」対応 C++学習教材(三谷純)
Jun MITANI
 
[email protected]
Matsushita Laboratory
 

JAWS-UG 初心者支部_20151127