Comments
Description
Transcript
データ暗号化 - 双日システムズ株式会社
マイクロソフトのプラットフォーム戦略 Mobile First ! Cloud First ! 日本マイクロソフト株式会社 クラウド&ソリューションビジネス統括本部 Azureソリューション技術部長 平野 和順 マイクロソフトとしての出発点 Vision of Microsoft 1975 – “A Computer on every desk and in every home”. Bill Gates – すべての机に、すべての家庭にコンピュータを Microsoft Vision 2002 – “To enable people and businesses throughout the world to realize their full potential”. Steve Ballmer – 世界中のすべての人々とビジネスの持つ可能性を、 最大限に引き出すための支援をすること Mobile First! Cloud First ! 業界では伝統ではなく、 イノベーションだけが 重んじられる サティア ナデラ CEO, マイクロソフト 1992年にマイクロソフトに入社して以来、製品と サービスのポートフォリオ 全般にわたり戦略面および技術面での変革を推進 マイクロソフトのクラウドへのシフト、Bing、 Xbox、Officeといったサービスを支える世界最大 級のクラウド基盤の構築は最も重要な実績のひと つ 企業向けサーバー & ツールビジネスを統率してい た時には、市場の伸びを上回る業績を達成し、競 合他社から市場シェアを獲得しました。 現在の生活を取り巻く IT At Life (Home + Work) デバイス Devices サービス Services 検索、データ分析 パーソナル設定 ... データ マイクロソフトのビジョン あらゆるデバイス、場所で、やりたいことを支援 自宅で デバイス Devices サービス Services 仕事で 移動中でも サービス実行シェル サービス プラットフォーム 検索、データ分析 パーソナル設定 ... データ クラウドのニーズ拡大 • クラウドの急成長 (IaaS は直線的成長、PaaS は曲線成長) • ビックデータなどを支える基盤技術の強化 (SQL Server , HDInsight, Power BI, etc) 既存 IT のクラウド化 LOB バックアップ クラウドによる付加価値 • IT 企業最大の研究機関 (Microsoft Research) における次世代テクノロジへの継続投資 ソーシャル マーケティング ライブデータ フィード 次世代技術 予測分析 サイバーフィジカル システム データセンターへの投資 FY14 総売上 約863億ドル 設備投資額 総売上の約5% 4,000億円+ 累計投資 1.5兆円以上 Datacenters & Servers 出典: マイクロソフトの財務アナリスト ミーティング、2013 年 9 月 19 日 世界最大級のインフラ グローバルで 19 のリージョンがすでに稼働、さらに成長を継続 Central US Iowa US Gov Iowa North Europe Ireland North Central US Illinois West Europe Netherlands China North * Beijing East US Virginia West US California East US 2 Virginia South Central US Texas Japan East Tokyo China South * Shanghai India West TBD US Gov Virginia Japan West Osaka India East TBD East Asia Hong Kong Brazil South Sao Paulo SE Asia Singapore Australia East Sydney • 100 箇所以上のデータセンターで構成 • 世界で 3 番目に大きなネットワーク Australia West Melbourne 稼働中 発表済み * 21Vianet 社による運用 日本のデータセンターの特徴 全世界70拠点で行っている世界標準のDC管理を適用 日本特有なのは、災害対応などのDCファシリティスペックのみ 東・西日本リージョンによる冗長構成 リージョンは複数のDCで構成 ⇒ 透過的にDCの追加が可能 • 高スペックデータセンターを グローバル価格で提供 • • • • 日本データセンター:国内で広域災害対策を完結 各リージョン内で 3 重の複製 東西合計 6 重の複製 西日本リージョン 東日本リージョン Azure ストレージ Azure ストレージ Microsoft Azure 高評価ポイント PaaS の存在 セキュリティコンプライアンス 価格と支払通貨 より管理コストを抑制できる PaaS での実績 ブラックボックスを可能な限り ホワイトにするための取組 Trust Center での情報開示 プライスリーダーと同等 日本円での単価設定 為替レートの影響は極小化 ストレージの信頼性 エンタープライズ対応 サポート 日本国内での完璧な DR 対策 ハイブリッド化による資産の継承と 企業向けのSLA プライベート含む一貫したサポート Premier for Azure 米国本社に専任チームの配置も IaaS 仮想互換性 準拠法/管轄裁判所 営業体制 プライベート/パブリックも Hyper-V 仮想イメージの移行の互換性 Oracle DB も Hyper-V をサポート 日本法と東京地方裁判所 他社は米国法 貴社担当営業/SEの存在 営業組織に沿ったサービス部門 コンピューティング サービス データー・ストレージ サービス アプリケーション サービス ネットワーク サービス 仮想マシン クラウド サービス WEB サイト モバイル サービス Batch Blobs テーブル キュー Files DocumentDB StoreSimple SQL データベース HDInsight 復旧サービス Machine Leaning Stream Analytics Data Factory Search RemoteApp Caching Active Directory メディア サービス BizTalk サービス Automation Visual Studio Online API 管理 通知ハブ Event Hubs CDN Service Bus スケジューラ オペレーション インサイト 仮想 ネットワーク Traffic Manager ExpressRoute 相互互換性のサポート - OSS Languages CMS Devices Databases / Apps Operating systems Management パートナー様 まとめ • クラウドはマイクロソフトの最優先投資領域 • データセンターの技術革新・拡張、サービス開発 (IaaS/PaaS/SaaS)、 営業・サポート体制の拡充、ガイドラインやコンプライアンスの遵守 • グローバル パブリック クラウド サービスの継続提供には 健全な財務体質の維持が必要 • 累計設備投資額1.5兆円以上、設備投資金額約4,000億円ドル (FY14) • パブリッククラウドサービスの開発現場は技術革新の中心 • リーダーポジションの獲得/維持はパブリッククラウドサービスの提供が前提 17 信頼されるクラウド基盤 信頼できる コンピューティング イニシアチブ 最初の マイクロソフト データセンター 1989 1995 マイクロソフト セキュリティ レスポンス センター SOC 2 SOC 1 2000 Windows Update 英国G-Cloud レベル2 Malware Protection Center アクティブ ディレクトリ FedRAMP/ FISMA 2005 セキュリティ 開発ライフサイクル グローバル データセンター セービス 20以上の データセンター Operations Security Assurance 2010 Digital Crimes Unit EUデータ 保護条例 ISO/IEC 27001:2005 http://azure.microsoft.com/ja-jp/support/trust-center/ CSA クラウド コントロールマトリクス HIPAA/ HITECH PCI データ セキュリティ スタンダード レベル1 物理セキュリティ 警備員、施錠、入退室管理 セキュリティ ポリシー 文書化、ユーザー教育 ネットワーク境界部 ファイアウォール、VPN、 侵入検知 内部ネットワーク ネットワーク ポート、IPSec、 無線 / 有線 LAN セキュリティ、検疫 ホスト OS の設定、パッチ管理 ネットワーク認証、侵入検知 アプリケーション セキュアなコーディング、 ウイルス対策、ユーザー認証 データ ACL (アクセス コントロール リスト)、暗号化 19 第1層 ウイルス対策ソフト パッチ管理 OSのアカウント管理 認証強化 データ暗号化 マルウェア を検出、削 除 第2層 第3層 第4層 第5層 NG マルウェアの 狙いであるOS の脆弱性を防 ぐ NG マルウェアの狙 いである管理者 アカウントを不 正利用を防ぐ NG 重要サーバーへ のアクセスは、 ICカードで認証 NG 重要データは 暗号化 20 カテゴリー 機密性 完全性 可用性 運用保全 対策 内容 物理的対策 ・ 24時間、365日の監視 ・ 監視カメラによる監視 ・ モーションセンサーの設置 ・ 生体認証による入退出管理 ・ セキュリティ境界線突破時のアラーム通報 ネットワーク対策 ・ Cyber Trust によるセキュリティ認定(四半期ごとに実施) ・ 9階層にわたるセキュリティ対策 情報漏洩対策 ・ サポート/サービスチームは、Secure ID カードもしくは RSH Secure ID Token を利用した認証を行う ・ データは全て128ビットで暗号化/全通信は HTTPS データ保護 ・ データは3重化して保持 物理的対策 ・ 複数の発電機を装備 ・ 電源は複数の発電所から2系統 ・ 各ラックでの電源2重化 ・ 発電機用の燃料は、地震などで道路が寸断された場合には空輸 ・ バッテリーによるバックアップ ・ コンピューター コントロールによる空調制御 ネットワーク対策 ・ 冗長化、フルフェイルオーバー コンプライアンス • ISO27001 • SSAE16 SOC1 Type2 外部監査 21 項目 対策 ハイパーバイザー、ルート OS、ゲストVM の分 離 ルート VM とゲスト VM およびゲスト VM どうしは、ハイパーバイザーとルート OS に よって管理され、明確に分離されています。ハイパーバイザーとルート OS により、マイ クロソフトが数十年間取り組んできた OS のセキュリティ対応がさらに強化されました。 ファブリック コントローラーの分離 ファブリック コントローラー (FC) に対する脅威を防ぐための強力な制御方法が用意され ています。ファブリックエージェント(FA) には SSL で保護されたサービスが実装されて おり、このサービスは FC からの要求にのみ応答します。このサービスから FC やその他 の特権を持つ内部ノードへの接続を開始することはできません。またFC はすべての応答 を信頼性のない通信と見なし、強力な解析を行います。 VLAN の分離 VLAN は、FC とその他のデバイスの分離に使用されます。これにより、危険性の高い ノードは、VLAN 上の他のノードへの通信は行えても、VLAN の外部から通信を偽装した り受信することはできなくなります。 顧客アクセスの分離 顧客環境へのアクセスを管理するシステム (Azure ポータル、SMAPI など) は、マイクロ ソフトが運用する Azure アプリケーション内で分離されています。これにより、顧客の アクセス インフラストラクチャは、顧客のアプリケーションやストレージから論理的に 分離されます。 暗号化 ストレージ内や転送中のデータを暗号化する方法は、Azure 内で顧客がデータの機密性や 整合性を確保するためのベスト プラクティスとして活用することができます。開発者は、 Azure の SDK を利用して .NET のコアライブラリを拡張し、Azure に .NET 暗号化サー ビス プロバダー (CSP) を統合することができます。.NET CSP をよく理解している開 発者であれば、保存されたデータや転送されたデータに対して、暗号化、ハッシュ、キー 管理機能を簡単に実装できます。 出典:http://download.microsoft.com/download/E/9/1/E91ADDD8-6E37-4E7B-84B8-77AFE27E5DB2/WindowsAzureSecurityOverview_20100922.pdf