AWSセキュリティ
AWS運用をより安全に行うためのセキュリティ対策を支援いたします。各種セキュリティ基準の準拠を保証した、安全なAWS利用を支援する「セキュリティプリセット」や、脆弱性対策やログ分析、ID監視を支援するさまざまなセキュリティ対策メニューをご用意しています。TISでは、お客様と共に安全なAWS移行計画を作成し、セキュリティ対策を支援します。ぜひ、500件以上のAWS導入を支援してきたプロフェッショナル集団であるTISにご相談ください。
このような課題をお持ちであれば、TISにぜひご相談ください!
✔ AWSアカウントのセキュリティに不安がある
✔ AWS環境のセキュリティを簡単に素早く設定したい
✔ セキュリティを考慮した開発/本番環境を構築したい
TISのAWSセキュリティ対策の特長
これまでの導入実績・ノウハウからAWS運用をより安全に行うためのセキュリティ対策を支援いたします。
TISが選ばれる3つのポイント
<Point1>
システム技術に精通したTISのPCI DSSコンサルタントとAWS認定資格者が、お客様のAWS環境の構築~運用までをトータルでご支援いたします。
TISでは、
業界トップのPCI DSS準拠実績数
(20社以上)を保有し、
500件以上のAWS導入実績
があります。多くの実績で得たノウハウを元に、AWS特有の仕様を考慮しつつ、PCIDSSやCSマーク、ISMSなど各種セキュリティ基準に準拠した形でAWSの活用を支援します。
<Point2>
AWSのサービスを組み合わせて各種セキュリティ基準の準拠を保証する
AWSセキュリティプリセット
を提供します。さらに、お客様環境に合わせたサードパーティのセキュリティ対策として、WAF,UTM,IPSに代表される様々なセキュリティ監視製品および機器と、それらを運用する
マネージドセキュリティサービス(MSS)
をご用意しております。また、最新のセキュリティ脅威情報やAWSアップデート情報の収集、Well-Architected Frameworkに基づく継続的なセキュリティ改善を柱として、お客様のAWS環境を常にセキュアに維持するための運用をご提供いたします。TISは現在までに、約100社のお客様にセキュリティ運用をご提供しており、豊富な実績を持ちます。
<Point3>
業種・業界によってセキュリティ要件は様々ですが、TISが持つ
豊富な業務知識と対応実績
により、AWSにおいても各業種・業界のセキュリティ要件を満たした環境のご提供が可能です。TISでは、最も高セキュリティが求められる金融・公共における実績を数多く持ちます。近年では、日本政府による「クラウド・バイ・デフォルト原則」の閣議決定により、AWS利用時におけるセキュリティ対策は必須と言える状況ですが、AWSに関連した様々なセキュリティ要件に対応してきたTISならば、「セキュリティ・バイ・デザイン」の考えに基づいて、
将来に渡るセキュアな環境と体制
をご用意できます。
AWSにおけるセキュリティ対策関連サービスマップ
「セキュリティプリセット」でAWS運用上必ずしておくべきセキュリティ対策を初期設定
「AWSアカウントを発行したら最初にやるべきセキュリティ設定」を追加費用不要で初期設定。各種セキュリティ基準の準拠を保証した、安全なAWSアカウントを発行します。
セキュリティプリセットの導入によって以下を保証
- CIS AWS Foundation Benchmarks準拠率93%以上
- PCIDSS準拠率91%以上
- AWS Foundational Security Best Practices準拠率94%以上
セキュアな環境を更にセキュアにする、TISのセキュリティインテグレーション
初めからセキュリティプリセットが導入されたセキュアなAWS環境をベースラインとして、更にお客様の要件に合わせた個別のセキュリティ対策を追加します。運用時のセキュリティを考慮したネットワーキング、DDos対策の「AWS Shield」、Webアプリ保護のための「AWS WAF」、リソース監視のための「CloudWatch」、ログ監査のための「CloudTrail」等、多様なAWSのセキュリティ対策機能の中から、お客様の要件および基準を満たす機能を導入します。このように共通セキュリティに個別セキュリティを重ねることで、AWS環境はより安全となります。
お客様環境に合わせて必要になるセキュリティ対策をオプションでご提供
クラウド環境のセキュリティ・ガバナンス統制
「Cloud Security Posture Management」
クラウド環境のセキュリティチェックとコンプライアンス/ガイドライン準拠を支援するツール群を提供します。
「セキュリティ観点で統制が取れていない」「設定不備が誘発している」環境下において、不適切な設定、ネットワークの脅威、ユーザーの不審な振舞い、マルウェア、データ漏洩、ホストの脆弱性を検出し、機械的なセキュリティチェックによってコンプライアンスおよびガイドラインからの逸脱を防止します。ツールは、クラウド環境とのAPI連携で容易に導入可能です。
インシデント対応・AWS環境の可視化
「Splunk」
Splunkは、多層的なインシデント検知に加え、検知後のインシデント対応を実現するログ分析基盤です。外部の通信を24時間365日監視し、インシデントの速報発信から、検知、調査まで可能です。また、ご利用中のAWS運用環境において、アプリとインフラを含めたシステム全体の挙動が可視化され、セキュリティ関連のアクティビティ監視やユーザの行動・PCI要件の監視などが行えます。
特権IDアクセス管理業務を支援
「SecureCube/AccessCheck」
ゲートウェイ型の特権IDアクセス管理ソリューションです。クラウド環境での利用をサポートし、数万台規模の大規模環境にも対応しています。
監査業務を効率化するための機能も搭載されており、特権ID管理業務における負荷軽減に役立ちます。
高セキュリティ要件に対応する、ハイブリッドクラウド全体の鍵管理
「Thales(暗号化/鍵管理ソリューション)」
作成場所/共有場所/保存場所を問わず、高度な暗号化ソリューションと、一元的鍵管理ソリューションを活用し、データの安全な保護管理が可能です。
導入事例
株式会社日本カードネットワーク様 業種:決済ネットワーク業
J-HelixシステムにAWSを採用
日本カードネットワーク様では、「新しいWebインタフェースに対応した決済ゲートウェイ機能の開発」「一時的な流量増加やピーク性の非常に高いトランザクションをアーキテクチャを変える事無く処理可能なスケーラビリティのあるサービス」「システム企画、開発着手からシステムリリースまで5カ月という短納期」を実現するために、AWSのクラウドサービスを選択。開発期間の短縮のために可能な限りマネージドサービスを活用し、Amazon API Gateway、Amazon SQS、Amazon Auroraなどを中心とした構成として、既存接続先とのインタフェース部分に独自開発アプリケーションが稼働するEC2を採用した。
また、J-Helixシステムは、顧客の決済情報を取り扱うシステム基盤として高いセキュリティを担保するため、PCI DSSへの準拠を求められており、高い要求を満たすためにAWSのセキュリティマネージドサービスを採用。AWSサービスレイヤの操作履歴と変更履歴の取得にはAWS CloudTrailとAWS Configを活用し、取り扱うデータの暗号化と暗号鍵の管理にはAWS CloudHSMとAWS Key Management Service(KMS)を選択した。更にこれらのサービスとシステム間の通信を内部ネットワークからのVPC Endpoint経由のアクセスに限定することにより、機密性の高いシステム基盤が完成した。
TISでは本システムの構築を支援するため、AWSの技術知識に習熟するだけではなく、お客様の業務や重要度を熟知したメンバーによるマネージドサービスを提供し、短納期でシステムリリースを完遂。現在は、顧客と業界の進化に追従し続けるべく、各種サービスのサイジング最適化によるランニングコストの適正化や更なる可用性向上のためのAWSサービス利活用の検討など、2022年8月現在も継続して改善対応を実施している。
※構成図はイメージです。
※更新日:2023/10
パーソルホールディングス株式会社様 業種︓サービス業
クラウド接続ゲートウェイにAWSを採用
パーソルグループ様では、ビジネスのアジリティーを高めるため全社的にクラウド化を推進している。AWSをオンプレミスとのハイブリッドで利用し、さらにマルチアカウントで構成する中で、各拠点からAWSへのセキュアな接続経路を整備する必要があり、経営陣から高度なセキュリティを要求されていた。
この課題を解決するため、TISはAWSに加えオンプレミスのネットワーク技術にも習熟したTISのスペシャリストによるマネージドサービスを提供し、パーソルグループ全社が利用するクラウド基盤のネットワーク構築を支援した。テクノロジードリブンな文化であるパーソルグループ様の最前線に立つエンジニアチームと共同推進体制を組んで対応することで、柔軟かつ非常に速いスピードで構築を進めることに成功した。
今回のネットワーク構築では、まず複数のAWS Transit Gatewayにより、マルチアカウントのVPCを束ね、ネットワークトポロジの最適化を行った。更に、オンプレミスとAWS間をAWS Direct Connectで閉域接続し、オンプレミス側の各ルータでVRF (Virtual Routing and Forwarding) を構成して閉域接続を論理的に分離することで、AWS Direct Connectの閉域接続のセキュリティを更に高めることに成功した。
また、本番環境で閉域回線を契約する前に上記の構成を検証するため、AWS Loft TOKYOにある無料の検証環境「AWS専用線アクセス体験ラボ」を活用。ラボでネットワーク機器の動作やレイテンシを事前に確認できたことで、開発上のリスクを低減し、短期間でネットワークを構築することが可能になった。
AWS Transit Gatewayを組み合わせたネットワーク構成では、新たにVPCが増設された場合も、専用線やVPN回線の開通などのリードタイムを待たずに、速やかにサービスインができるアジリティーが確保される。
また、AWS Transit Gatewayを利用しない場合は拠点ごとに接続費用が必要となるが、本事例のようにAWS Transit Gatewayを利用することで1接続に集約できるため、コストの削減も可能となる。
※構成図はイメージです。
※更新日:2023/10
TISのマネージドサービスでは、本事例に代表されるAWSとオンプレミスに跨がるハイブリッド・ネットワーク構成に習熟したエンジニアによる構築・運用支援を行っている。