...

データ暗号化 - 双日システムズ株式会社

by user

on
Category: Documents
22

views

Report

Comments

Transcript

データ暗号化 - 双日システムズ株式会社
マイクロソフトのプラットフォーム戦略
Mobile First ! Cloud First !
日本マイクロソフト株式会社
クラウド&ソリューションビジネス統括本部
Azureソリューション技術部長
平野 和順
マイクロソフトとしての出発点
Vision of Microsoft 1975
– “A Computer on every desk and in every home”. Bill Gates
– すべての机に、すべての家庭にコンピュータを
Microsoft Vision 2002
– “To enable people and businesses throughout the world to
realize their full potential”. Steve Ballmer
– 世界中のすべての人々とビジネスの持つ可能性を、
最大限に引き出すための支援をすること
Mobile First!
Cloud First !
業界では伝統ではなく、
イノベーションだけが
重んじられる
サティア ナデラ
CEO, マイクロソフト
1992年にマイクロソフトに入社して以来、製品と
サービスのポートフォリオ
全般にわたり戦略面および技術面での変革を推進
マイクロソフトのクラウドへのシフト、Bing、
Xbox、Officeといったサービスを支える世界最大
級のクラウド基盤の構築は最も重要な実績のひと
つ
企業向けサーバー & ツールビジネスを統率してい
た時には、市場の伸びを上回る業績を達成し、競
合他社から市場シェアを獲得しました。
現在の生活を取り巻く IT
At Life (Home + Work)
デバイス
Devices
サービス
Services
検索、データ分析
パーソナル設定 ...
データ
マイクロソフトのビジョン あらゆるデバイス、場所で、やりたいことを支援
自宅で
デバイス
Devices
サービス
Services
仕事で
移動中でも
サービス実行シェル
サービス
プラットフォーム
検索、データ分析
パーソナル設定 ...
データ
クラウドのニーズ拡大
• クラウドの急成長
(IaaS は直線的成長、PaaS は曲線成長)
• ビックデータなどを支える基盤技術の強化
(SQL Server , HDInsight, Power BI, etc)
既存 IT のクラウド化
LOB
バックアップ
クラウドによる付加価値
• IT 企業最大の研究機関 (Microsoft Research)
における次世代テクノロジへの継続投資
ソーシャル
マーケティング
ライブデータ
フィード
次世代技術
予測分析
サイバーフィジカル
システム
データセンターへの投資
FY14 総売上 約863億ドル
設備投資額
総売上の約5%
4,000億円+
累計投資
1.5兆円以上
Datacenters & Servers
出典: マイクロソフトの財務アナリスト ミーティング、2013 年 9 月 19 日
世界最大級のインフラ
グローバルで 19 のリージョンがすでに稼働、さらに成長を継続
Central US
Iowa
US Gov
Iowa
North Europe
Ireland
North Central US
Illinois
West Europe
Netherlands
China North *
Beijing
East US
Virginia
West US
California
East US 2
Virginia
South Central US
Texas
Japan East
Tokyo
China South *
Shanghai
India West
TBD
US Gov
Virginia
Japan West
Osaka
India East
TBD
East Asia
Hong Kong
Brazil South
Sao Paulo
SE Asia
Singapore
Australia East
Sydney
• 100 箇所以上のデータセンターで構成
• 世界で 3 番目に大きなネットワーク
Australia West
Melbourne
稼働中
発表済み
* 21Vianet 社による運用
日本のデータセンターの特徴
全世界70拠点で行っている世界標準のDC管理を適用
日本特有なのは、災害対応などのDCファシリティスペックのみ
東・西日本リージョンによる冗長構成
リージョンは複数のDCで構成
⇒ 透過的にDCの追加が可能
• 高スペックデータセンターを
グローバル価格で提供
•
•
•
•
日本データセンター:国内で広域災害対策を完結
各リージョン内で 3 重の複製
東西合計 6 重の複製
西日本リージョン
東日本リージョン
Azure ストレージ
Azure ストレージ
Microsoft Azure 高評価ポイント
PaaS の存在
セキュリティコンプライアンス
価格と支払通貨
より管理コストを抑制できる
PaaS での実績
ブラックボックスを可能な限り
ホワイトにするための取組
Trust Center での情報開示
プライスリーダーと同等
日本円での単価設定
為替レートの影響は極小化
ストレージの信頼性
エンタープライズ対応
サポート
日本国内での完璧な DR 対策
ハイブリッド化による資産の継承と
企業向けのSLA
プライベート含む一貫したサポート
Premier for Azure
米国本社に専任チームの配置も
IaaS 仮想互換性
準拠法/管轄裁判所
営業体制
プライベート/パブリックも Hyper-V
仮想イメージの移行の互換性
Oracle DB も Hyper-V をサポート
日本法と東京地方裁判所
他社は米国法
貴社担当営業/SEの存在
営業組織に沿ったサービス部門
コンピューティング
サービス
データー・ストレージ
サービス
アプリケーション
サービス
ネットワーク
サービス
仮想マシン
クラウド
サービス
WEB サイト
モバイル
サービス
Batch
Blobs
テーブル
キュー
Files
DocumentDB
StoreSimple
SQL
データベース
HDInsight
復旧サービス
Machine
Leaning
Stream
Analytics
Data
Factory
Search
RemoteApp
Caching
Active
Directory
メディア
サービス
BizTalk
サービス
Automation
Visual
Studio
Online
API 管理
通知ハブ
Event Hubs
CDN
Service Bus
スケジューラ
オペレーション
インサイト
仮想
ネットワーク
Traffic
Manager
ExpressRoute
相互互換性のサポート - OSS
Languages
CMS
Devices
Databases /
Apps
Operating
systems
Management
パートナー様
まとめ
• クラウドはマイクロソフトの最優先投資領域
• データセンターの技術革新・拡張、サービス開発 (IaaS/PaaS/SaaS)、
営業・サポート体制の拡充、ガイドラインやコンプライアンスの遵守
• グローバル パブリック クラウド サービスの継続提供には
健全な財務体質の維持が必要
• 累計設備投資額1.5兆円以上、設備投資金額約4,000億円ドル (FY14)
• パブリッククラウドサービスの開発現場は技術革新の中心
• リーダーポジションの獲得/維持はパブリッククラウドサービスの提供が前提
17
信頼されるクラウド基盤
信頼できる
コンピューティング
イニシアチブ
最初の
マイクロソフト
データセンター
1989
1995
マイクロソフト セキュリティ
レスポンス センター
SOC 2
SOC 1
2000
Windows
Update
英国G-Cloud
レベル2
Malware
Protection
Center
アクティブ
ディレクトリ
FedRAMP/
FISMA
2005
セキュリティ
開発ライフサイクル
グローバル
データセンター
セービス
20以上の
データセンター
Operations
Security
Assurance
2010
Digital
Crimes
Unit
EUデータ
保護条例
ISO/IEC
27001:2005
http://azure.microsoft.com/ja-jp/support/trust-center/
CSA クラウド
コントロールマトリクス
HIPAA/
HITECH
PCI データ
セキュリティ
スタンダード
レベル1
物理セキュリティ
警備員、施錠、入退室管理
セキュリティ ポリシー
文書化、ユーザー教育
ネットワーク境界部
ファイアウォール、VPN、 侵入検知
内部ネットワーク
ネットワーク ポート、IPSec、
無線 / 有線 LAN セキュリティ、検疫
ホスト
OS の設定、パッチ管理
ネットワーク認証、侵入検知
アプリケーション
セキュアなコーディング、
ウイルス対策、ユーザー認証
データ
ACL (アクセス コントロール リスト)、暗号化
19
第1層
ウイルス対策ソフト
パッチ管理
OSのアカウント管理
認証強化
データ暗号化
マルウェア
を検出、削
除
第2層
第3層
第4層
第5層
NG
マルウェアの
狙いであるOS
の脆弱性を防
ぐ
NG
マルウェアの狙
いである管理者
アカウントを不
正利用を防ぐ
NG
重要サーバーへ
のアクセスは、
ICカードで認証
NG
重要データは
暗号化
20
カテゴリー
機密性
完全性
可用性
運用保全
対策
内容
物理的対策
・ 24時間、365日の監視
・ 監視カメラによる監視
・ モーションセンサーの設置
・ 生体認証による入退出管理
・ セキュリティ境界線突破時のアラーム通報
ネットワーク対策
・ Cyber Trust によるセキュリティ認定(四半期ごとに実施)
・ 9階層にわたるセキュリティ対策
情報漏洩対策
・ サポート/サービスチームは、Secure ID カードもしくは
RSH Secure ID Token を利用した認証を行う
・ データは全て128ビットで暗号化/全通信は HTTPS
データ保護
・ データは3重化して保持
物理的対策
・ 複数の発電機を装備
・ 電源は複数の発電所から2系統
・ 各ラックでの電源2重化
・ 発電機用の燃料は、地震などで道路が寸断された場合には空輸
・ バッテリーによるバックアップ
・ コンピューター コントロールによる空調制御
ネットワーク対策
・ 冗長化、フルフェイルオーバー
コンプライアンス
• ISO27001
• SSAE16 SOC1 Type2 外部監査
21
項目
対策
ハイパーバイザー、ルート OS、ゲストVM の分
離
ルート VM とゲスト VM およびゲスト VM どうしは、ハイパーバイザーとルート OS に
よって管理され、明確に分離されています。ハイパーバイザーとルート OS により、マイ
クロソフトが数十年間取り組んできた OS のセキュリティ対応がさらに強化されました。
ファブリック コントローラーの分離
ファブリック コントローラー (FC) に対する脅威を防ぐための強力な制御方法が用意され
ています。ファブリックエージェント(FA) には SSL で保護されたサービスが実装されて
おり、このサービスは FC からの要求にのみ応答します。このサービスから FC やその他
の特権を持つ内部ノードへの接続を開始することはできません。またFC はすべての応答
を信頼性のない通信と見なし、強力な解析を行います。
VLAN の分離
VLAN は、FC とその他のデバイスの分離に使用されます。これにより、危険性の高い
ノードは、VLAN 上の他のノードへの通信は行えても、VLAN の外部から通信を偽装した
り受信することはできなくなります。
顧客アクセスの分離
顧客環境へのアクセスを管理するシステム (Azure ポータル、SMAPI など) は、マイクロ
ソフトが運用する Azure アプリケーション内で分離されています。これにより、顧客の
アクセス インフラストラクチャは、顧客のアプリケーションやストレージから論理的に
分離されます。
暗号化
ストレージ内や転送中のデータを暗号化する方法は、Azure 内で顧客がデータの機密性や
整合性を確保するためのベスト プラクティスとして活用することができます。開発者は、
Azure の SDK を利用して .NET のコアライブラリを拡張し、Azure に .NET 暗号化サー
ビス プロバ゗ダー (CSP) を統合することができます。.NET CSP をよく理解している開
発者であれば、保存されたデータや転送されたデータに対して、暗号化、ハッシュ、キー
管理機能を簡単に実装できます。
出典:http://download.microsoft.com/download/E/9/1/E91ADDD8-6E37-4E7B-84B8-77AFE27E5DB2/WindowsAzureSecurityOverview_20100922.pdf
Fly UP