s94 microsoft azure セキュリティについて
TRANSCRIPT
1
更新履歴
2
• 以下の日付でドキュメントを更新、確認しています。
バージョン
1.00 2014/6/30 ・初版リリース
1.10 2014/9/30 ・2014年9月現在の情報に更新。
1.20 2015/1/31 ・2015年1月現在の情報に更新。
目次
• マイクロソフトのセキュリティに対する取り組み
• プライバシー
• コンプライアンス
3
4
セキュリティの中核 (1/2)
•セキュリティを基盤とした設計• Microsoft Azure の開発はセキュリティ開発ライフサイクル (SDL) に準拠• SDL は 10 年前からマイクロソフトの開発手法の中核的要素となっている• SDL では、計画、設計、開発、デプロイメントというフェーズを通じて、セキュリティ要件をシステムおよびソフトウェアに組み込んでいる
•運用の安全性を維持• Microsoft Azure は運用とサポートに関する厳格なセキュリティ統制を遵守• Microsoft Azure チームは Office 365 や Microsoft Operational Security Assurance (OSA) グループなどマイクロソフト内の他の組織と協力してリスクの特定と情報共有を行う→Microsoft Azure や会社全体に影響するセキュリティ上の脅威の阻止、検知、抑制、対処能力を
強化
5
セキュリティの中核 (2/2)
•侵害を想定した対応• セキュリティの専門チームがネットワーク、プラットフォーム、アプリケーションの各レイヤーを実際に攻撃。セキュリティ侵害に対する Microsoft Azure の検知、防御、復旧能力を検証しているサービスのセキュリティ機能を頻繁にチェック
•障害対応• Microsoft Azure には、24 時間 365 日体制のグローバルな障害対応サービスが用意されている• 障害対応チームは、障害の管理、連絡、復旧の手順に従って行動
6
インフラの保護 (1/4)
• 24 時間監視体制の物理セキュリティ• マイクロソフトのデータセンターは建物内で24 時間体制で管理、監視されている
→不正なアクセスや環境に対する脅威からデータやサービスを保護
• 監視およびログ記録• Microsoft Azure で生成される大量の情報はサービス管理チームが継続的に状況を把握
アラートに適宜対応
• 監視、ログ記録、レポーティング機能によって情報をお客様に提供
7
インフラの保護 (2/4)
• 修正プログラムの管理• セキュリティ修正プログラムは、既知の脆弱性からシステムを保護
• 統合デプロイメント システムによりMicrosoft Azure サービスのセキュリティ更新プログラムの配布およびインストールの管理は行われる
• お客様は統合デプロイメント システムの更新管理プロセスを、Microsoft Azure にデプロイされている仮想マシンにも適用できる
• ウイルス対策/マルウェア対策保護機能• お客様は、Microsoft Endpoint Protection またはその他のウイルス対策ソリューションを仮想マシンにインストールできる
• 仮想マシンは定期的に再イメージ化して、侵入が検知されなかった脅威を一掃できる
8
インフラの保護 (3/4)
• 米国政府専用クラウド• 米国政府の特別なセキュリティ ニーズに応えるコミュニティ クラウドを構築している
• 侵入検出/ DDoS 対策• Microsoft Azure では、DDoS 攻撃対策として SYN Cookies、帯域制限、接続制限などの標準的な検出および緩和手法を採用している
• Microsoft Azure の DDoS 対策システムには、システム外部からの攻撃や他のお客様による攻撃に耐える設計が施されている
9
インフラの保護 (4/4)
• 侵入テスト
• 侵入テストを行うために
http://download.microsoft.com/download/C/A/1/CA1E438E-CE2F-4659-B1C9-CB14917136B3/Penetration%20Test%20Questionnaire.docx
10
ネットワークの保護 (1/2)
• ネットワークの分離• Microsoft Azure は、Software as a Service、Platform as a Service、Infrastructure as a
Service のすべてのデプロイメント モデルでネットワークを分離する設計になっている
• ネットワークの分離により、不要なテナント間の通信を防ぐと共にアクセス制御によって不正なユーザーがネットワークに侵入するのを阻止
• 仮想マシンは、お客様が受信するように設定した場合を除き、インターネットからのトラフィックは受信しない
• 仮想ネットワーク• お客様は仮想ネットワークのサブスクリプション 1 つに複数のデプロイメントを割り当て、これらのデプロイメント間をプライベート IP アドレスで通信させることができる
• 仮想ネットワークは他の仮想ネットワークから分離される
11
ネットワークの保護 (2/2)
• 通信の暗号化• ビルトインの暗号化テクノロジにより、お客様はデプロイメント内およびデプロイメント間の通信、Microsoft Azure リージョン間の通信、Microsoft Azure からオンプレミス データセンターへの通信を暗号化出来る
• 管理者によるリモート デスクトップやリモート Windows PowerShell を使用した仮想マシンへのアクセスを暗号化で保護することも可能
• Microsoft Azure 管理ポータルにはHTTPS 経由でアクセスするため、既定で暗号化される
• Express Route の使用• オプションの Express Route プライベート ファイバー リンクを使用してMicrosoft Azure データセンターに接続することで、トラフィックがインターネットに流れる事を防ぐことが出来る
12
IDおよびアクセス (1/2)
•エンタープライズ クラウド ディレクトリ• Microsoft Azure Active Directory はクラウドの包括的な ID およびアクセス管理ソリューションであり、コア ディレクトリ サービス、高度な ID ガバナンス、セキュリティ、アプリケーション アクセス管理が統合
• Microsoft Azure Active Directory を使用することで、開発者はポリシーベースの ID 管理をアプリケーションに容易に組み込むことができる
• Microsoft Azure Active Directory Premium には、企業の ID やアクセスに関するより高度な要件に対応可能な機能が用意されている
•アクセス監視とログ記録• セキュリティ レポートを使用してアクセス パターンの監視や、潜在的な脅威の特定および抑制を行う
• システムへのアクセスといったマイクロソフトによる管理操作はログに記録されるため、不正な変更や不慮の変更があった場合に監査証跡として使用出来る
• その他の脅威については、Microsoft Azure のその他のアクセス監視機能を有効にするか、サードパーティの監視ツールを使用して検出することが出来る
• お客様はマイクロソフトに対して、自社環境へのユーザー アクセスに関するレポートを要求できる
13
IDおよびアクセス (2/2)
•シングル サインオン• マイクロソフトのオンライン サービス、Microsoft Azure やその他のクラウド プラットフォームで構築されたカスタム アプリケーションおよび人気の高いさまざまなマイクロソフト製以外のクラウド アプリケーションのユーザーに、シームレスなシングル サインオンを提供
• エンド ユーザーは Web ベースの自分用のアクセス パネルから効率的にクラウド アプリケーションを起動できる
•強力な認証• Microsoft Azure 多要素認証は、ユーザーのアカウント資格情報に加えてさらに別の認証手段を使用して従業員、顧客、パートナーによるアクセスをセキュリティ保護。組織的なリスクを低減すると共に法規制遵守を支援
• Microsoft Azure 多要素認証はオンプレミスおよびクラウド アプリケーションの両方で使用可能
•ロールベースのアクセス制御• Microsoft Azure では、複数のツールがロールに基づく承認をサポートしており、あらかじめ定義されたユーザー グループのアクセス制御を簡単に行うことが出来る
14
15
プライバシーポリシー (1/2)
• プライバシー バイ デザイン• マイクロソフトでは、 プライバシー バイ デザイン (英語)(※1) をマイクロソフトの製品およびサービスの構築方法、サービスの運用方法、社内チームの編成を定めるポリシーとしている
• 契約上の義務履行の努力• マイクロソフトは、大手クラウド サービス プロバイダーとして唯一、クラウド サービス向けのプライバシー声明を提供
• 顧客データの安全を確保しプライバシーを保護する契約上の義務を果たすことに尽力している• マイクロソフトは、EU が作成した標準契約条項 (「EU モデル条項」と呼ばれる) を企業のお客様に提供しており、個人データの転送に関して契約による追加の保証を提供
• 広告目的のデータ利用はなし• Microsoft Azure では顧客データを広告付きサービスと共有しない• 広告を目的とした顧客データのデータ マイニングを行わない
※1 http://www.microsoft.com/en-us/twc/privacy/commitment.aspx
16
プライバシーポリシー(2/2)
• データのアクセスと使用の制限• マイクロソフトのスタッフによる顧客データへのアクセスは禁止としている
• 顧客データへのアクセスは、お客様による Microsoft Azure の利用を支援するために必要な場合に限られる。これには Microsoft Azure の運用に影響する問題の防止、検知、修正を目的としたトラブルシューティング、およびユーザーに対する新たな脅威や進化した脅威 (マルウェアやスパムなど) を検知および防止する機能の改良が含まれる
• アクセスが許可されると、細心の注意をもってアクセスを制御し、アクセス履歴を記録
• 多要素認証などの強力な認証により、承認を得たスタッフにアクセス権の付与を限定
• 不要になったアクセス権は直ちに無効となる
17
18
コンプライアンス確保が容易に (1/3)
• コンプライアンスについて• Microsoft Azure は国際的な情報セキュリティ基準である ISO 27001 認証を取得している
• Microsoft Azure は Service Organization Control (SOC)レポート フレームワーク SOC 1 Type 2 の監査も実施。統制環境の設計および運用効果が証明されている
• SOC 2 Type 2 の監査も実施。セキュリティ、可用性、機密性に関連した Microsoft Azure 統制環境の検証を行っている
• Microsoft Azure は毎年 SOC 監査を行っている
※Microsoft Azure は業界固有の認定を多数取得している
19
コンプライアンス確保が容易に (2/3)
•PCI-DSS• Microsoft Azure は独立認定審査機関である Qualified Security Assessor (QSA) によるクレジット カード業界データ セキュリティ基準 (Payment Card Industry Data SecurityStandard: PCI-DSS) 準拠認定を取得
• クレジット カード情報の保存、処理、転送を行う組織は、クレジット カードのデータに対する統制強化を通じて不正行為阻止を支援することを目的としたこの認定を取得することが必要となる
• Microsoft Azure のサービスの使用により、PCI-DSS 認定に伴う煩雑な手続きを省くことができる
•米国 FedRAMP• Microsoft Azure は、連邦政府によるリスクおよび認証管理プログラム (Federal Risk and
Authorization Management Program: FedRAMP) の合同認定委員会 (Joint AuthorizationBoard: JAB) の P-ATO (Provisional Authorization to Operate) を取得
• 米国政府のセキュリティ基準を満たしていることが証明されているため、安心して使用して頂ける
20
コンプライアンス確保が容易に (3/3)
• HIPAA および HITECH 法• お客様が HIPAA (医療保険の携行性と責任に関する法律) および HITECH 法 (経済的および臨床的健全性のための医療情報技術に関する法律) のセキュリティ条項およびプライバシー条項への遵守を支援するために、マイクロソフトは保護対象の医療情報 (Protected Health Information: PHI) と呼ばれる患者情報を利用する医療関連法人のお客様に HIPAA 事業提携者契約 (Business Associate Agreement: BAA) を提供
• EUデータ保護指令
21