”もと”中の人が語り尽くすSoftLayerセキュリティー(2016/10/13更新版)
- 5. 5
SoftLayer - A global hosting leader
企業サーバーホスティング分野のリーディング・プロバイダー
SoftLayerは、テキサス州ダラスを本拠地として2005年設立されました。米国に加え、
2011年よりアジア、欧州にデータセンターとネットワーク接続ポイントを展開。140カ国
にわたる25,000*以上の先進的なお客様にご利用いただいてきました。*2014年初時点
2013年のSoftLayer買収により、IBM はお客様がクラウドのスピードと柔軟性を活用
できるように、パフォーマンス、コントロール、セキュリティ、およびグローバル・リーチ
に優れ、かつオープンなIaaS を提供いたします。
これにより、SoftLayer/IBMは世界最大クラスのホスティング・プロバイダーとなってい
ます。
企業理念
イノベーション, エンパワーメント, オートメーション, インテグレーション
- 10. 10
特長4: Direct Link Collocation
Direct Link Collocationが実現するハイブリッドクラウド
- 東京データセンター内のお客様コロケーションエリアから、SoftLayerに構内接続可能
(Direct Link Collocation) 。
- 専用ストレージやネットワーク機器をコロケーション領域に配置したり、お客様拠点と専用
線で接続することで、クラウド化できないシステムとの柔軟かつセキュアなハイブリッド構成
を実現。
- もちろん、SoftLayerのPOP経由で専用線接続するDirect Link NSPや、Equinix社のCloud
Exchange経由で接続するDirect Link Cloudも選択可能。
NWキ
ャリア
お客様コロケーションエリア SoftLayer PoD
東京データセンター
お客様持ち込み機器
Direct Link Collocation
お客様によって自由にカスタマイズ可能な領域 SoftLayerが管理する物理領域
イン
ター
ネット
- 12. 12
(参考)データセンターの透明性
【字幕】SoftLayer DAL05 Data Center Tour
https://www.youtube.com/watch?v=I4OdiKpX86A
【字幕】IBM SoftLayer のデータセンターとその中の仕組みをご紹介!
https://www.youtube.com/watch?v=9DOTsPqeMjY
SoftLayerへのサーバールームへの立ち入りは禁
じられていますが、代わりに各種外部認定を��得
し、データセンター内部の動画を公開しています。
- 16. 16
(続き)VMware on SoftLayer
vMotion, vSphere HA, vSphere Data Protection等の機能はもちろん、NSXと
Long Distance vMotionを組み合わせた海外DCへのライブマイグレーションや、
VSANを使用した専有ストレージの利用が可能です。
vMotion vSphere HA
vMotion 再起動
vSphere Data Protection
バックアップ
リストア
vCenter Server
Long Distance
vMotion
vCenter Server
NSX NSX
NSX + Long Distance vMotion
SSD
Virtual SAN
VM VMVMVM VM VM
HDD
- 18. 18
セキュリティは、依然としてクラウド導入
の最大の課題と位置づけられています。
1. 2013, IDC US Cloud Security Survey
2. Sept 2013, Information Week Cloud Security and Risk Survey
3. Verizon 2014 Data Breach Investigations Report
73%
の企業で、クラウド
がITポリシーまた
はセキュリティー
ポリシーの範囲外
で使用されていま
した1
50%
の企業が、不正な
アクセスや機密情
報の漏洩に対して
懸念を抱いていま
す2
75%
のセキュリティ侵害
が、その発見に数日、
数週間、または数ヶ
月を要しています3
http://www.ibm.com/smarterplanet/us/en/innovation_explanations/article/nataraj_nagaratnam.html
クラウド・サービ
スへの無制限の
アクセス
制御の及ばない
データやアプリ
ケーション
セキュリティー侵
害による損害
- 19. 19
情報セキュリティ10大脅威+α 2015
1位. インターネットバンキングやクレジットカード情報の不正利用
2位. 内部不正による情報漏えい
3位. 標的型攻撃による諜報活動
4位. ウェブサービスへの不正ログイン
5位. ウェブサービスからの顧客情報の窃取
6位. ハッカー集団によるサイバーテロ
7位. ウェブサイトの改ざん
8位. インターネット基盤技術の悪用
9位. 脆弱性公表に伴う攻撃
10位. 悪意のあるスマートフォンアプリ
11位. ウィルスを使った詐欺・恐喝
12位. サービス妨害
13位. 無線LANの無断使用・盗聴
14位. ネット上の誹謗・中傷・いじめ
15位. 悪意のあるアプリを使った遠隔操作
16位. 利用者情報の不適切な取り扱いによる信用失墜
17位. 不適切な情報公開
18位. 不正請求詐欺
・
・
・ https://www.ipa.go.jp/security/vuln/10threats2015.html
あれ、クラウドだから
危ないんだっ
け???結局自社
サイトでも同じ検討
が必要なような・・・
- 20. 20
情報セキュリティ10大脅威+α 2016
1位. インターネットバンキングやクレジットカード情報の不正利用
2位. 標的型攻撃による諜報活動
3位. ランサムウェアを使った詐欺・恐喝
4位. ウェブサービスからの顧客情報の窃取
5位. ウェブサービスへの不正ログイン
6位. ウェブサイトの改ざん
7位. 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ
8位. 内部不正による情報漏えいとそれに伴う業務停止
9位. 巧妙・悪質化するワンクリック詐称
10位. 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
11位. サービス妨害攻撃によるサービスの停止
12位. インターネットの広告機能を悪用した攻撃
13位. 匿名によるネット上の誹謗・中傷
14位. 職業倫理欠如による不適切な情報公開
15位. インターネットサービス利用に伴う意図しない情報漏えい
16位. 過失による情報漏えい
17位. IoTに関連する機器の脆弱性の顕在化
18位. 情報モラル不足に伴う犯罪の低年齢化
19位. 無線LANの無断使用・盗聴
https://www.ipa.go.jp/security/vuln/10threats2016.html
モバイル、IoT、ク
ライアント側のセ
キュリティー対策も
必要
- 23. 23
SoftLayerと利用者の責任分界点
オファリング項目
責任項目
物理サーバー(専有) 仮想サーバー(専有) 仮想サーバー(共有)
データセンター管理 SoftLayer SoftLayer SoftLayer
プロビ
ビジョ
ジョニ
ニン
グ
サーバー 利用者: 要求
SoftLayer(自動): 実行
利用者: 要求
SoftLayer(自動): 実行
利用者: 要求
SoftLayer(自動): 実行
OS 利用者: 要求
SoftLayer(自動): 実行
利用者: 要求
SoftLayer(自動): 実行
利用者: 要求
SoftLayer(自動): 実行
運用・
用・管
管理
ハードウェア 利用者: 監視やHW交換要求 SoftLayer SoftLayer
ハイパーバイ
ザー
(もしハイパーバイザーを導
を導入する場合は利用者)
SoftLayer SoftLayer
OS 利用者 利用者 利用者
アプリケーショ
ションやデータ
利用者 利用者 利用者
基本的な考え方としては、
- 利用者が操作できる領域は利用者責任
- 利用者が操作できない領域はSoftLayer責任
利用者が決めるこ
とはできず、
SoftLayerが定め
ているサービス内
容やSLAを受容
する必要がある。
SoftLayerは関与
しないため、利用
者が構築・運用す
る必要がある。
- 25. 25
SoftLayerでの実装例
不正利用
なりすまし
不正アクセス
不正侵入
ウィルス/マル
ウェア
(検疫・駆除)
改ざん
書き換え
盗聴 情報疎漏 サービス妨
害
人
的
組
織
的
セキュリティ
全般
情報セキュリティポリシー(リスク分析・セキュリティ基本方針・対策基準・実施手順)
対策ベンチマーク/情報セキュリティマネジメントシステム(ISMS)の導入/情報漏洩防止強化対策
セキュリティ診断/侵入テスト/監査(内部・外部)/教育
技
術
的
ネットワー
ク・セキュリ
ティ
侵入検知システム(IDS)/侵入防止システム(IPS) 通信暗号化
(IPSec/IP-VPN)
DoS/DDoS
対応(フィ
ルタリン
グ)
ファイアウォール(パケット・フィルタリング)
デジタル署名 アクセス制御/デバイス認証 無線LAN(認証・暗号
化)
Fake AP
サーバー・セ
キュリティ
ユーザ認証 アクセス制御/権限管理 バックアッ
プ
負荷分散
OS Firewall
セキュリティ・パッチ(適用・逐次更新)・セキュアーなWeb開発 ログ管理 メール・
MSGスキャ
ン
DoS/DDoS
対応(NDS、
パケット制
限)
Trusted OS/Secure OS ウィルス駆除 改ざん検知・
防止
DBMS暗号
化・ファイ
ル暗号化
物
理
的
環
境
的
セキュアな環
境・施設・オ
フィス
セキュア・ゾーニング、セキュア・オフィス・施設・設備・什器
(入退出管理、監視カメラ、バイオメトリクス認証/盗難・紛失防止備品)
http://www.ipa.go.jp/security/manager/protect/pdca/risk.htmlよりクライアント・セキュリティ部分を削除して一部改変
SoftLayerで無償実装可能
SoftLayerで購入可能(一部制限あり)
IBMや3rd Partyの例
Private NW/SSL VPN
/PPTP VPN
IPSec VPN/Direct Link
Cisco Guard
Arbor
Peakflow
NetScaler Platinum
Edition
Fortigate Appliance + Fortiguard NGFW add on
VLAN/VyattaによるゾーニングSSL証明書
SoftLayerデータセンター内では無線LANは使用し
ていないので対象外
SSH秘密鍵認証
パスワード定期変更
iptables/Firewalld
OS権限設定, sudo, PAM構成
Local LB,
NetScaler
eVault, Idera
IBM
InfoSphere
Guardium
IBM ESMS
Deep
Security
OSの各種ア
クセスログ、
監査ログ
Q-Rader
Private NW内に存在するパッチサーバー
SE Linux
不要なサービスの停止
Deep Security
McAfee
VirusScan
Tripwire
Intel TXT
SOC2などの
各種第三
者認証
物理サーバー、
仮想専有サー
バー、仮想サー
バー
サーバー削
除時のデータ
消去
Hardware Firewall/Fortigate Appliance/Vyatta/VMware NSX(Micro Segmentation)
Nessus Security診断
Tier3以上の
データセンター
設備
NIST 800-53
frameworkを基
準としたセキュリティ
運用ルール
McAfee
Host
Intrusion
Protection
AltaVault
iptables
Firewalld
日本国内デー
タセンター
Customer Portalの権限設定
Deep Security Deep
Security
Deep Security
Guardium Guardium
生態認証、監
視カメラ、入退
室管理
Web ARGUS
HSM
IBM クラウド・セキュリティ-・アセスメント・サービス
IBM セキュリティー技術標準策定サービス
IBM CSIRT研修サービス
IBM エマージェンシー・レスポンス支援サービス
コロケーションサービス+NWアプライアンス持込み+SOC監視
FFR yarai
クラウド型リバースプロキシ
- 30. 30
SoftLayerの提供品質 - SoftLayerの
データセンター基準
• 99.995% の稼動率
• 年間のダウン時間 .04 時間
• 二つの独立な電源と冷却方法
• 完全な冗長性 (2N+1)
• 電源維持時間が96時間
• 99.982% の稼働率
• 年間のダウン時間 1.6時間
• 99.749% の稼働率
• 年間のダウン時間 22.0
時間
• 99.671% の稼働率
• 年間のダウン時間 28.8
時間
• 二つの独立な電源と冷却方法
• 電源のなんらかの冗長性
• 1つの電源と冷却方法
• 冗長性なし
• 複数の電源と冷却方法
• 復旧対応 (N+1)
• 電源維持時間が72時間
Tier 4
Tier 3
Tier 2
Tier 1
SoftLayerのデータセンター選定の基準は、Tier3以上です。
- 35. 35
データセンターセキュリティーと監査
お客様A用のケージ+ラック
お客様B用のケージ+ラック
お客様C用のラック(ケージなし)
お客様A
お客様B
お客様C
オンプレミス or ホスティング クラウド
お客様A
お客様B
お客様C
•他のお客様もサーバールームに立ち入り可能。サー
バー直前まで、他の利用者も物理的に立ち入れてしま
うため、ケージやラックの施錠等による保護が必須。
•外部認証も限定的(一般的には自社内の監査部門に
よる評価)。自社内での甘い評価になるリスクがあり、
監査期間もまばら。(3ヶ月に一度、年に1度、等)
•作業ミスを防止する手段が手順書作成や技術員の教
育といった俗人的な対応に限定される(自動化されて
いない)。
•独立した第三者の監査業者のみ立ち入りを許可。お客
様ごとの入室は許可しない。
•第三者による監査業者が継続的に監査を実施(SOC2な
どの外部監査業者による認証取得)。
•NWプロビジョニングもサーバープロビジョニングもすべ
て自動化されており、データセンター内の作業員も個々
の利用者のサーバーを特定できない。サーバーには、利
用者を特定付ける情報は付与されていない。
•生態認証を初めとしたアクセス制御、ビデオ監視だけで
なく、必ず誰かが常駐。
APIによる自動化作業に
よってネットワークプロビ
ジョニングやサーバープ
ロビジョニングを行い、属
人的な作業を排されるこ
とによる効率性と確実性
、安全性が担保される。
サーバールーム
サーバールーム
サーバー
ルーム管
理者
クラウド業者作業員
立ち入りを許可しない
- 37. 37
SoftLayer内での作業管理(2)
よくある疑問 答え
SoftLayerの社員のセキュリティ教育はどう
なっているのか?
SoftLayerのDCを管理しているのはSoftLayer社員です。
IBMと同様のBusiness Conduct Guidelineに従い、IBMのセキュリティ
研修も毎年受講していることは、第三者の監査機関からも報告されて
います(SOC2)。
SoftLayer社員は誰でもDCに入れるのか? DCに入れるメンバーは、(典型的には)各DCごとに17人~23人の
Server Build Tech(SBT)のみです。
DC内のメンバーに自分達のサーバーを特
定付けされてしまうのではないか?
SoftLayerはクラウドであり、ホスティングではありません。サーバーに
は、サーバー名やお客様を特定付けるような情報は付与されておら
ず、バーコードのみで管理しています。
USBメモリやCD-ROMドライブを使ったコ
ピーがされてしまうのではないか?
SoftLayerの運用ポリシーとして、左記の機材を使ったメンテナンスを
実施していません。
クラッシュカートを使って直接サーバーにア
クセスして操作されてしまうのではないか?
SoftLayerの運用ポリシーとして、左記の機材を使った修正や問題解
析を実施していません。
スイッチ上の空きポートにケーブルを挿され
ることで、接続できてしまうことはないのか?
VLANはアカウントごとに割り振られ、サーバーがプロビジョニングさ
れた際に初めて構成されます。逆に言うと、プロビジョニングが実施さ
れるまではスイッチ上のVLANは構成されていませんので、適当な空
きポートにケーブルを挿しても接続されません。
HDDを引き抜かれてしまうことはないのか? HDDを正規のプロセスに従わずに引き抜くようなことがあれば、IPMI
監視に引っかかり、即時に通知されます。
キャンセル後のサーバーのHDDを引き抜い
てデータがコピーされてしまうのではない
か?
サーバーキャンセルが実施されると、ドライブ消去ソフトウェア
(Defense (DoD) 5220.22-m standards)によって、自動的にデータは
消去されます。削除に失敗したディスクは物理的に破壊されます。
- 41. 41
SoftLayer外部認証(1)
名称 説明
SOC1/SOC2/SOC3 - AICPAによって設けられた運用基準(セキュリティ、可用性、処理の一貫性、機密保持、
プライバシー)に対する第三者機関による監査。
- 時点評価(Type1)ではなく、期間評価(Type2)での評価。
- SOC1/SOC2結果はCustomer portalからリクエストすることで入手可能
- SOC3:http://static.softlayer.com/sites/default/files/assets/page/softlay
er_soc_3_final_report_10_2016.pdf
ISO27001:2013 - 情報資産を様々な脅威から守り、リスクを軽減させるための情報セキュリティマネジメントシス
テムに必要とされる世界的なセキュリティースタンダード。
http://static.softlayer.com/sites/default/files/assets/page/softlayer_iso
_27001_041516.pdf
ISO27017:2015 - クラウドサービスプロバイダーおよびクラウド利用者の両方の視点に基づいた、クラウドサービス
の実装や情報セキュリティコントロールに関するガイドライン。第三者機関によって監査。
http://static.softlayer.com/sites/default/files/assets/page/softlayer_iso
27017.pdf
ISO27018:2014 - ISO29100のプライバシー原則に従ったパブリッククラウド環境のためのPII(Personally
Identifiable Information)を保護するためのガイドライン。ISO27002を土台にしてい
る。
http://static.softlayer.com/sites/default/files/assets/page/softlayer-iso-
27018.pdf
Cloud Security Alliance - 非営利法人が提唱しているクラウド利用時のセキュリティーに関するベストプラクティスに対し
ての応答集
- CSA STARレジストリーからセルフ・アセスメント結果を入手可能
https://cloudsecurityalliance.org/star-registrant/softlayer/
- 42. 42
SoftLayer外部認証(2)
名称 説明
PCI-DSS - クレジットカード業界のセキュリティ基準。お客様ワークロードについては必要に応じて個別
に認証取得が必要であり、SoftLayerはそのための支援が可能。プライベートクラウド
(シングルテナントの仮想サーバー)や、物理サーバーがPCIワークロードをホストするのに
適している。
HIPPA - 「医療保険の相互運用性と説明責任に関する法律」。お客様ワークロードについては必
要に応じて個別に認証取得が必要であり、SoftLayerはそのための支援が可能。プライ
ベートクラウド(シングルテナントの仮想サーバー)や、物理サーバーがPCIワークロードを
ホストするのに適している。
EU Model Clauses - 欧州経済地域 (EEA) から発信するデータを EEA 以外の国に転送するために、セーフ
ハーバー原則の代わりに欧州委員会と欧州連合 (EU) のデータ保護機関に承認された
形式で提供。
(参考リンク)
http://www.softlayer.com/compliance
http://www.softlayer.com/government
http://www.softlayer.com/government-security
- 49. 49
カスタマーポータルのセキュリティ(2)
password
– 短いパスワード長の禁止(8 to 20文字)
– 大文字・小文字が両方含まれること
– 最低1文字は数字を含むこと
– 最低1文字は右記の記号を含むこと _-|@.,?/!~#$%^&*(){}[]=
– Expire期限の設定(30日/45日/60日/90日/120日/無期限)
ユーザーごとの操作権限
– 70を越える権限(Support/Devices/Network/Security/Services/Account)
– ベアメタルサーバー、仮想サーバーへのアクセス制御
ポータルへのログイン成功履歴、ログイン不成功履歴などの監査ログの自動取得(APIでも
実装可能)
60日以上Customer PortalにもVPNにもアクセスしなかったユーザーは自動的にInactive状
態に遷移
IPアドレス制限
– 例)特定のIPレンジからでないとカスタマーポータルにアクセスできないように構成可
能。
Private NWからもアクセスが可能。
– https://control.softlayer.com (Public)
– https://control.service.softlayer.com (Private)
- 50. 50
(参考)人的組織的対策について
Computer Security Incident Response
Team(CSIRT)とは
インターネット上で何らかの問題(主にセキュ
リティー上の問題)が起きていないかどうか監
視すると共に、万が一問題が発生した場合に
その原因解析や影響範囲の調査を行う組織
の総称(起源は米国カーネギーメロン大学内
に設置されたCERT/CC)。
個別導入
計画の
作成
(製品レベ
ルまで落と
しこんだも
の)
1章.セキュリティ技術標準の使い方
- 新規システム構築時
- 既存システム改変時
- ・・・
2章.前提となる考え方
- システムモデル
- 情報資産価値の区分
- ネットワークのゾーニング
- ・・・
3章.セキュリティ機能
- セキュリティ機能マトリックス
- セキュリティ対策マトリックスの見方
- ・・・
4章.実装案
- 識別と認証
- アクセス制御
- 暗号化
- ・・・
目次
「セキュリティー技術標準」策定結果ご報告書
Red Yellow Green Blue
外部ネットワーク 内部ネットワーク
Blueゾーンの特定サーバからの
直接アクセスを許可。
GreenゾーンもしくはBlueゾーン
から特定のサーバに対しての直接
アクセスを許可。
Yellowゾーンからの直接アク
セスのみ許可。 Greenゾーン
もしくはBlueゾーンからの直
接アクセスは禁止。
内
部
→
外
部
Redゾーンからの直接アクセス
は禁止。Greenゾーンもしくは
Yellowゾーンからのアクセスの
み許可。
Redゾーンからの直接アクセス
は禁止。Yellowゾーンからのア
クセスのみ許可。
Redゾーンから特定のサーバに対
しての直接アクセスを許可。
外
部
→
内
部
Blueゾーンの特定サーバからの
直接アクセスを許可。
GreenゾーンもしくはBlueゾーン
から特定のサーバに対しての直接
アクセスを許可。
Yellowゾーンからの直接アク
セスのみ許可。 Greenゾーン
もしくはBlueゾーンからの直
接アクセスは禁止。
内
部
→
外
部
Redゾーンからの直接アクセス
は禁止。Greenゾーンもしくは
Yellowゾーンからのアクセスの
み許可。
Redゾーンからの直接アクセス
は禁止。Yellowゾーンからのア
クセスのみ許可。
Redゾーンから特定のサーバに対
しての直接アクセスを許可。
外
部
→
内
部
外部から直接内部システムを攻
撃される危険性があるため、Red
ゾーンからの直接アクセスは
Yellowゾーンのみ許可する
戻りパケットを悪用して外部から直
接内部システムを攻撃される危険
性があるため、Yellowゾーン以外
からの外部ネットワークへの直接ア
クセスは禁止する
:ゾーン間の通信の方向:ゾーン間の通信の方向
ネットワークゾーン間のアクセスルール
セキュリティ
対策機能名
概要
利用者の識別
と認証
情報資産のアクセス主体(人やコンピュータ、プログラム)を適切な識別子(アクセス主体を識別する
ためのID情報)で識別し、その識別子の利用者の真正性を、認証キー(アクセス主体と認証者のみ
が共有する情報)をもとに確認する。
システム
アクセス制御
システムやネットワークに対する不正なアクセスを防止する為に、システムやネットワーク機器への
アクセスを利用者(アクセス主体)の識別子情報(アクセスID情報)とアクセス権限情報に基づき適
切に制御する。
データ
アクセス制御
データに対する不正なアクセスを防止する為に、データへのアクセスを利用者(アクセス主体)の識
別子情報(アクセスID情報)とアクセス権限情報に基づき適切に制御する。
ネットワーク
アクセス制御
ネットワークやシステムに対する不正なアクセスを防止する為に、ネットワーク及びシステムへのア
クセスを利用者(アクセス主体)の識別子情報(アクセスID情報)とアクセス権限情報に基づき適切
に制御する。
~
~
~
~
セキュリティ機能名
内容
該当セキュリティ機能の概要
実装箇所
該当セキュリティ機能の実装対象となるシステムコンポーネント
の種別情報
実装案
各システムコンポーネントごとの実装案
実装上の考慮点
セキュリティ対策を実装する際に考慮すべき点
運用上の考慮点
セキュリティ対策を運用する際に必要となる運用手順や対応手
順、決定すべき体制などを記述
~ 各セキュリティ機能項目ごとに上記内容を記述 ~
各セキュリティ機能に関する記述内容の項目
総合評価
Gap分析評価結果サマリー ×と△のみ 「対策必須項目」と「必須ではないが原則対策実施項目」のみセレクト
OA使用PC
APLサーバ GWサーバ RDPサーバ
ジョブ管理
サーバ
バックアップ
サーバ
システム管理
サー バ
DBサーバ クライアントPC
SNA GWサー
バ
CTIサーバ Sagentサーバ
バックアップド
メインサーバ
DBサーバ
MatchMail
サーバ
音声応答装置
オペレータ端
末
全銀送信端末 Webサーバ
メールサーバ
1
メールサーバ2
ファ イルサー
バ
伝送サーバ コンソー ル
テープバック
アップ
DBサーバ 外部公開 バックボー��
重要ネットワー
ク
URLフィルタ リ
ング 機器
GWウィルス対
策機器
OA使用PC
#2 #2 #2 #2 #2-A #2 #2-A #3-A #2 #2 #2 #2 #2-B #2-B #2-B #3 #3-A #4 #4 #4 #2-B #6-B #6 #2-A #2-A #00 #0 #000 #4 #4 #3
1 「利用者の識別と認証」 △ △ △ △ △ △ △ △ △ △ × × × × △ △ △
2 「システムアクセス制御」 △ △ △ △ △ × △ △ △ × × × × × × ×
3 「データアクセス制御」 × × × × × ×
4 「ネットワークアクセス制御」 × × × × × △ △ △
5 「不正入出力データ排除」 △
6 「送受信制限」
7 「クライアントデータ不正持ち出し制限」 △ × ×
8 「否認防止」
9 「ウィルス対策製品の導入と設定」 × × × × × × × × × × × × × × × × △
10 「GW型ウィルス対策製品の導入と設定」
11 「ハードニング」 △ × × × × × × × × × × ×
12 「セキュリティパッチの適用」 △ △ △ △ △ △ △ △ × × × × × × × × × △ △
13 「セキュリティルール違反クライアント接続排除」
14 「持ち込みクライアント接続排除」
15 「保管データ保護」 × × × × × × × △ × ×
16 「転送データ保護」 × × × × × × × △ △ × × × × ×
17 「データ冗長化」
18 「システム冗長化」 × △ △ × △ △ △ △ △
19 「ネットワーク冗長化」
20 「利用者認証ログ取得」 × × × × × × × × × × × × × × × × × △ △ △ △ △ △
21 「システム認可ログ」 △ △ △ △ △ △ × × × × × × × × × × × × × × × × × × × △ △ △ △ △ △
22 「データ認可ログ」 × × × × × × × × × × ×
23 「ネットワーク通信ログ取得」 △ × △ △ △ × × × × × × × × × × × × × × × × × △ △ △ △ △
24 「保管データ改竄検知」 △ × ×
25 「転送データ改竄検知」 × × × × × △ × × × × ×
26 「システム侵入検知」
27 「ネットワーク侵入検知」
28 「システム異常検知」 × × × × × × × △ △
29 「ネットワーク異常検知」
30 「システムバックアップ」 △ △ △ △ △ △ △ × × × × × × × × × △ △
31 「データバックアップ」 × △ △ △ × × × ×
32 「転送データ再送」
コンポーネント名
モデル名
DACS コールセンターシステム 社外向け Web ネットワーク機器システム名称
実
既存システ
ムのGap
分析
セキュリテ
ィー整備計
画(案)の作
成
実装レベルのセ
キュリティー技術
標準策定
実
装
セキュリティー
予算 パフォーマンス
キャパシティーe.t.c
ポリシー Gap分析 初期整備計画 導入計画 実装
IBM セキュリティー技術標準策定支援サービス
IBM CSIRT研修
- 55. 55
SoftLayerが実装しているDDoS防御
SoftLayer の DDoS対応
• ある特定のサーバー攻撃を受けることによってSoftLayer上のNW機
器のリソースが逼迫し、攻撃を受けていない他のIPアドレスまでも
利用できなくなることを防ぐことが目的
• SoftLayerによる共通サービスであるため、利用者ごとのカスタマイ
ズは不可
• Cisco Guard/Arbor Peakflow/ Arbor ATLAS Global Traffic
Analyzer/Radwareなどを使って、PoPを通過するトラフィックを監視
し、DDoSのパケットを検知した際に対策を実施
• モニタリングは24/365体制にてNOCで集中監視
インターネット
DDOS
対策機器
閾値監視
SoftLayer
データセンター
インターネット
DDOS
対策機器
DDoS攻撃の検知がされたら、何が起こるか?
◆第一フェーズ
• 攻撃を検知すると、攻撃対象へのトラフィックをDDOS対策機器へ
転送し、一定期間そのIPアドレスへの経路を完全に無効化(null
route)
• DDoSアタックが終了すると、トラフィックは通常のルートに戻る
◆第二フェーズ
• 攻撃が継続しトラフィックが増大するなどして、更なる保護が必要
だとNOCで判断されると、問題が解決されたとみなされるまで、そ
のIPアドレスへの経路を無効化(null route)
対象IPへの経
路を無効化
SoftLayer
データセンター
正常時
DDoS検知時
- 61. 61
(参考)ファイアーウォール構成
Vyatta(Router + Firewall)
Inboundパケットは、Hardware
FirewallやFortigate Firewallが
ユーザーVLANに入ってくる前
で保護
Vyatta Gateway Applianceは対
象のVLANを紐付けて、Vyatta
自身がユーザーVLANに入って
くる前で保護
①あるPublic VLANは、Vyatta/Hardware Firewall/Fortigateのどれか1つで保護する。
FWを兼用できない。(既に紐付け済みのVLANに対してFWの注文ができない)
Hardware Firewall or
Fortigate Security Appliance
Vyatta(Router + Firewall)
②Vyatta Gateway Appliance自体をHardware FirewallやFortigate で保護することはで
きない
VyattaのVLANに対してFirewall
機器を注文しようとすると、”The
selected VLAN is a transit
VLAN and therefore ineligible
for a dedicated firewall.”という
エラーメッセージがでる。
このサーバーのdefault
gatewayはVyatta
このサーバーのdefault
gatewayはFirewall機器
- 62. 62
ロードバランサーの選択基準
特徴
Nginxや
mod_proxyなど
のOSSやソフトウェ
ア持込み
ローカル
ロードバランサー
(共用型)
ローカル
ロードバランサー
(専用型)
Citrix
NetScaler
VPX/MPX
適用範囲 パブリック、プライベート パブリックのみ(1IPのみ) パブリックのみ パブリック、プライベート
共用/専用
専用(OS) 共用(HW機器) 専用(HW機器) VPX: 専用仮想サーバー
MPX: 専用HWアプライアンス
HA構成 可能 コールドスタンバイ 可能 可能
配置場所
ユーザーVLAN Hardware Firewallより
更に前段にありNATするた
め、特定サイトからの接続を
防ぐFW構成��不可のた
め、Webサーバー側での
保護が必要(次ページ参
照)。
Hardware Firewallより
更に前段にありNATするた
め、特定サイトからの接続を
防ぐFW構成が不可のため、
Webサーバー側での保護
が必要(次ページ参照)。
ユーザーVLAN
性能情報
採用製品・サーバーリソー
スに依存
最新情報はhttp://www.softlayer.com/tco/pdf/Compare_LoadBalancers_us-en.pdfを参照
SSLオフロード
採用製品・サーバーリソー
スに依存
あり あり v10.5 Build 57.7から
TLS1.1. TLS1.2に対応
AutoScale機能と
の連携
なし あり あり なし
その他の特徴
・自前でライセンス購入・
導入が必要
・ただし、ライセンス持込
によって、購入元から日
本語でのサポートが受け
られる
比較的安価 ・高価 ・高価
・NetScaler VPXを利用するにしても、代理店経由で
購入したライセンス持込みタイプにした方がベターかも
。
- 67. 67
NWゾーニング構成例3
Routing Zone
DMZ Zone
Web/AP Zone
SoftLayer
Backend Service
Endurance
Storage
Performance
Storage
NTP Patch
Vyatta(Router + Firewall)
Load Balancer
イン
ター
ネッ
ト
お客様拠点(LAN)
VPN GW
IPSec VPN
DB Zone
• Vyattaがボトルネックになりや
すいので、10GbpsのNICを採
用し、冗長化することを推奨。
• VyattaからDNATでPrivate
NW経由でLoad Balancerに
転送するのも1つの方法。
• DMZ ZoneとWeb/AP Zoneは
同一Zoneとして、両者の間の
アクセスはVyattaを経由させな
いようにするのも1つの方法。
「定番構成」パターン
(まずはこれを基本に考える)
- 68. 68
NWゾーニング構成例4
DMZ Zone
Web/AP Zone
SoftLayer
Backend Service
Endurance
Storage
Performance
Storage
NTP Patch
Load Balancer
イン
ター
ネッ
ト
DB Zone
「Fortigate/Hardware FW」パ
ターン
Routing Zone
Vyatta(Router + Firewall)
• SoftLayer上でのForigateや
Hardware Firewallの運用上
の制約を理解した上で利用
したい場合に使用。
• VyattaはPrivate VLAN間の
通信制御やVPN接続のみに
利用している。
Fortigate Security
Applianceや
Hardware FW
お客様拠点(LAN)
VPN GW
IPSec VPN
- 70. 70
NWゾーニング構成例6
Vyatta Zone
イン
ター
ネッ
ト
Vyatta(Router + Firewall)
VMWare NSX利用時のパターン
VMwareNSX
VMWare NSXを利用する利点
• VXLANによる仮想ネットワークによって、マルチテナント環境(開発環境、検証環境)を同一物理サーバー上で幾つで
も作成可能。もちろん複数サイトにまたがったL2延伸や物理ネットワークとのVLAN-VXLAN bridgeも可能。
• 分散ルーターによって、セグメントをまたぐ通信であっても、毎回上位ルーターを経由するヘアピン通信を防ぐことが可能。
• 分散ファイアーウォールによるマイクロセグメンテーション(vNICごとにFWルールを設定できる)が使える。
• ロードバランサーやSSL-VPNもVMware NSXのライセンスがあれば利用可能。
SoftLayer
Backend Service
- 71. 71
(参考)VMware NSXのマイクロセグメンテーション
VMVM VM
VMVM VM
インターネット
境界型FWで
内部拡散を防
ぐ事は困難
標的型攻撃
など
従来のセキュリティー対策
• ネットワーク・セグメントの境界に設置した
境界型ファイアウォールで保護
• 標的型攻撃や内部犯行などで一度内部に侵入
された場合、内部拡散を防ぐことが困難
• 各VM単位でファイアウォールを設置すること
で内部拡散を防止することも可能だが、OS上
で稼動するソフトウェア・ファイアウォール
は、感染により無力化されてしまう恐れがあ
り、また、個別に設定・管理を行う必要があ
るため運用コストの観点から実現が困難
NSX
分散
ルーター
分散
ファイア
ウォール
vSphere
セグメント A セグメント B
ESXi
セグメント単位で
はなくVM単位で
通信制御が可能
WebWeb DBDB
NSXによるセキュリティー対策
• VM単位でファイアウォールを設定するマイク
ロ・セグメンテーションを実現
• IPアドレス単位ではなくvCenterのオブジェク
ト単位(仮想マシン、クラスター、リソース
プール等)で指定することが可能
• 個々のハイパーバイザーで分散処理を行うため、
容易にスケールアウトが可能
• ルール設定はNSXから一元管理できるため、運
用負荷を低減
• サードパーティー製品(例:トレンドマイクロ社
Deep Security)と連携させる事で、マルウェ
アやウイルスへの感染が検知されたVMを、自
動的にネットワークから隔離することも可能
- 79. 79
NetApp様: NetApp AltaVaultクラ
ウド統合ストレージ
AltaVaultは、物理アプライアンス、仮想アプライアンスに対
応しているため、SoftLayerのObject Storageに安全かつシン
プルにバックアップが可能です。
効率性:インラインの重複排除
と圧縮によって、データ ボ
リュームを最大30分の1に削減
オープン:既存のバックアップ
アーキテクチャやお好みのプラ
イベート クラウド プロバイダ
と容易に統合
安全性:FIPS 140-2レベル1に
準拠する暗号化により、保存中
または移動中のデータにもエン
ドツーエンドの完結したセキュ
リティを提供
シンプル:わかりやすい管理コ
ンソールを使って、30分未満で、
保護環境をゼロから導入可能
http://solutionconnection.netapp.com/npsforsoftlayer
- 81. 81
IBM Eメール・セキュリティー管理サービス
アンチウィルス機能
• 既知・未知問わずすべてのウィルスを検知し遮断するために、複数の商用スキャナーと特許取得の人
工知能Skepticを併用。
• ウィルスのDNAを分析し、シグネチャーだけに依存せずにプロアクティブに保護。
• ウィルスが直接添付されておらず、URLのリンク先にウィルスが仕掛けられている場合もプロアクティブに
分析。
アンチスパム機能
• 公開ブラックリスト、ホワイトリスト、ブラックリスト、シグネチャリング、すけぷてぃっく技法が利用可能。
• 1500以上の独自ルールにより迷惑メールを判定し、隔離。
コンテンツコントロール機能
• メールの利用方針に基づく管理(添付ファイル形式、メールサイズ、不適切な用語、送信者・受信者
制限、利用時間制限など)
http://www-935.ibm.com/services/jp/ja/it-services/jp-so-its-email_sec.html
本サービスご利用のお客
様でEメールによるウィル
ス感染はゼロ。(過去7年
以上の実積)
- 82. 82
IBM Managed Security Services
for Web Security
クラウド環境
もしくはお客様ネットワーク環境
ウェブ・セキュリティー・センター
危険なサイト
ウィルスに感染するサイト
ウェブへのアクセスは
全てウェブ・セキュリ
ティー・センターを経由
して検査されます。
リモート・ユーザーも設
定によりウェブ・セキュ
リティー・センターを経
由して検査されます。
http://www-935.ibm.com/services/jp/ja/it-services/iss-mss-websecurity-00.html
ウェブ・アンチウィルス/アンチスパイウェア
• 危険なサイトへのアクセスによる、スパイウェアやアドウェアのダウンロードをブロック、ウィルスとマルウェアを除去することで、
ユーザー・クライアントへの侵入、感染を防止。
ウェブURLフィルタリング
• 高性能なURL分類データベースと、強化されたポリシーエンジン、カスタマイズ可能なブロックメッセージやグループ・ユー
ザー単位のレポーティングを提供。
フル・マネージド・サービス
• ウェブ・セキュリティー・センターにて、ユーザーのウェブ・アクセスを監視、セキュリティー対策による導入コストや運用管理
負担を軽減。複数のセキュリティー・センターによる運用で高い可用性を実現。
- 84. 84
Intel Trusted Execution Technology
(Intel TXT)
参照:http://www.softlayer.com/intel-txt
1. Power ON時にIntel
TXTがBIOS/Firmware
を確認
2. Hypervisorが正
しいことを確認
3. OS、アプリを
起動
2. Hypervisorが不
正であることを検
出
3. Hypervisor
の起動が中断
Intel TXTはハードウェア支援型のセキュリティ技術であり、Hypervisorの起動前
に、BIOS/Firmware/Hypervisorが適合であることを確認できる技術です。
- 85. 85
Hardware Security Module(HSM)
一般的な鍵管理と欠点
• ファイルシステムへ鍵を保管し、OSやミドルウェアやアプリケーションによる制御を実施する。そ
のため、OSやミドルウェアやアプリケーションにセキュリティーホールがあるリスクがある。
• 鍵利用時にはメモリ中に展開する。そのため、メモリーダンプを取られることで読み取られる可
能性があり(鍵データは乱数性が高いので簡単に見分けが付く)
Luna SA HSMによる暗号鍵管理の利点
• 不正操作から防御するセキュアな鍵管理(メモリダンプやサイドチャネル攻撃から防御)
• 高速な暗号演算処理(暗号化、復号化、署名、検証)
• 物理的な改竄の痕跡を残さずに鍵を取り出せないように FIPS 140-2 Level 2認定済み
主なユースケース
• SSL/TLS: 秘密鍵のセキュアな保管とライフサイクル管理+SSLアクセラレーション
• Oracle DB/SQL ServerのTransparent Data Encryption (TDE)機能におけるマス
ターキー保管。
• アプリケーション配布時のコード署名
• クラウドアプリケーションの暗号演算処理(例:ブロックチェインにおけるledger
transactionの電子署名や、金融および決済サービスをクラウド上で扱う際の暗号化など)
https://knowledgelayer.softlayer.com/learning/le
arn-more-about-hsm
- 86. 86
IBM SoftLayer上のセキュリティ対策に
最適なTrend Micro Deep Security
Trend Micro Deep Securityは現在のサーバが抱えているセキュリティ課題を仮想・クラウド・
物理環境にまたがって、トータルに解決する統合型サーバセキュリティソリューションです
OS上にインストールするエージェント型と、VMWare上にVirtual Applianceとして導入するこ
とでゲストサーバーにエージェント導入を不要とするエージェントレス型が存在します。
SoftLayerでは物理サーバーを提供しているため、どちらのタイプも利用できます。
- 87. 87
標的型攻撃対策:FFR yarai (FFRI, Inc.)
• パターンに依存することなく、標的攻撃型マルウェア、既知マルウェア、
未知マルウェアによる脆弱性攻撃やゼロディ脆弱性の防御に対応。
• アンチウイルスソフトと組み合わせることで、アンチウイルスソフトを回避
する攻撃に対して多層的に防御可能。
http://jslug.jp/images/CloudSecurity.pdf
- 89. 89
IBM QRadar Security Intelligence
Platform
IBM QRadar Security Intelligence (Hybrid Cloud ,
SoftLayer 用)
• 複数のクラウド・デバイスとの統合
– IBM SoftLayer ‒ Qualys
– Amazon CloudTrail ‒ CloudPassage
– Salesforce.com ‒ IBM Security Trusteer Apex
– Zscaler ‒ OpenStack
• 組み込みの暗号化機能と、クラウドとオンプレミスのデータ・
センター間の圧縮データ転送機能
• SoftLayer、Amazon Web サービス (AWS) へインストールす
ることにより、物理、仮想、クラウドの各インフラストラク
チャーにわたるイベント・データやフロー・データを可視化
社内システムとクラウド上のセキュリティー状況をリアルタイムに分析
SOCとの連携について
は、別途ご相談下さい。
す!
- 90. 90
IBM Security Guardium family
IBM InfoSphere Guardium 製品は、データ・センターの情報のセキュリティー、プラ
イバシー、および整合性を確保するのに役立ちます。
クラウド環境における
企業データの保護
IBM InfoSphere Guardium Data Activity Monitoring
(SoftLayer,AWS 用)
•クラウド環境における機密データのアクセスをモニタリング
•クラウド環境における機密データを自動的に検出、分
類、評価
•クラウドの仮想イメージ上に展開されたデータベースに
対する一元化された監査機能
(参考)その他のfaimiiy製品
IBM Security Guardium Data Encryption: 機密データが盗まれたり、誤用されたり、公開されたりする事態を防止します。
IBM Security Guardium Data Redaction:非構造化文書、フォーム、およびグラフィックの機密データを自動的に認識して削除します。
IBM Security Guardium Vulnerability Assessment:データベース・インフラストラクチャーをスキャンし、ぜい弱性を検出して、是正措置
を提案します。
脆弱性の特定と、機密データを狙った攻撃に対する防御
- 91. 91
NetApp様: Private Storage for
SoftLayer
SoftLayerのクラウド サービスを専用のエンタープ
ライズ ストレージで拡張できます。
どうしてもクラウドに配置したくないデータを、ク
ラウド上のサーバーから利用することが可能。
– http://www.netapp.com/jp/solutions/cloud/private
-storage-cloud/softlayer.aspx
– http://www.netapp.com/jp/system/pdf-
reader.aspx?cc=jp&m=ds-
3619.pdf&pdfUri=tcm:36-127472
- 92. 92
DB2 Native Encryption
・CREATE DATABASE mydb ENCRYPT;
・どのプラットフォームでも
・どのトポロジーでも(DPFやpureScale含む)
・クラウドでも、アプライアンスでも
DB2 10.5 FP5~(FP6以降の適用を強く推奨)。
AESE, AWSEで追加フィーチャーなしで使用可能。その他のEditionではIBM
DB2 Encryption Offeringにより提供
・表スペース
・全てのデータタイプ(LOB, XML含む)
・トランザクションログ(アクティブ、アーカイブ)
・LOAD COPYファイル
・ダンプファイル
・バックアップ
ポイント1: アプリケーション変更不要: デフォルトはAES256
ポイント2: DB2が動く環境であれば利用可能
ポイント3: データベースの全てのデータが暗号化対象
- 96. 96
SoftLayerに標準で選択可能なセキュリティ
サービス:1(全般)
種別 名称 特徴・仕様
データセンターレベルのセ
キュリティ
各種コンプライアンスに準拠し認定を取得 SoftLayerのセキュリティ管理は、NIST 800-53
frameworkをベースとしたUS政府標準に従う。
第三者監査機関によって、運用まで含めて監査を受けており、
各種認定を取得している。詳細は後述のページを参照。
Customer Portalへの
アクセスおよびAPIへのア
クセス
SSL TLS1.2に対応。
APIはPublic NWだけでなく、Private NW経由でアクセス
可能。
ユーザーごとのリソースへの
アクセス制御
SoftLayer Customer Portal ユーザーごとに操作権限を付与・剥奪可能。
接続元IPを制限することが可能。
ログイン履歴情報を閲覧可能。
二要素認証
Google Authenticator
Symantec Identity Protection(有償)
Phone-based authentication(有償)
ポータルログイン時に組み合わせ可能な二要素認証サービス。
SoftLayerが暗黙的に対応
- 97. 97
SoftLayerに標準で選択可能なセキュリティ
サービス:2(ネットワークレベル)
種別 名称 特徴・仕様
DDoS防御
Cisco Guard DDoS protection
Arbor Peakflow traffic analysis
Arbor ATLAS Global Traffic Analyzer
Radware
データセンターレベルの保護に利用。
Threat management system (TMS)
脅威の発生点を特定するための能動的な活動を実施。
ファイアウォール
Standard Hardware Firewall(有償) サーバーのPrimary IPのみを保護する共有型FW
Public VLANのInboundのみ制御
カスタマーポータルからFWルールを制御可能
Dedicated Hardware Firewall(有償) Public VLANレベルの保護が可能な専有FW
Public VLANのInboundのみ制御
カスタマーポータルからFWルールを制御可能
Fortigate アプライアンス(有償) Public VLANレベルの保護が可能な専有FW
Public VLANのInbound/Outboundが制御可能
アプライアンス製品を直接構成
脆弱性診断
Nessus vulnerability Assessment &
Report
Public VLANに接続するサーバーに対して脆弱性検査を
実施し、レポートを発行。
VLAN
VLAN(有償) アカウント専有のBroadcastドメインの境界
Public用VLAN, Private用VLANが存在。複数購入可
能することで、セグメント化が可能。
ファイアーウォール & ルー
ター & VPN
Vyatta Gateway Appliance(有償) 複数VLAN間のルーティング機能を提供
Public VLAN, Private VLANの
Inbound/Outbound制御が可能。
IPSec VPN Endpointの提供
SoftLayerが暗黙的に対応
- 98. 98
SoftLayerに標準で選択可能なセキュリティ
サービス:3(ネットワークレベル)
種別 名称 特徴・仕様
ロードバランサー & WAF
Shared Local Load Balancer(有償) Public VLANに割り振り可能なロードバランサー(共用
型)。SSL-Offload機能あり。
ポータルから割り振りルールを設定可能
Dedicated Local Load Balancer(有償) Public VLANに割り振り可能なロードバランサー(専有
型)。SSL-Offload機能あり。
ポータルから割り振りルールを設定可能
NetScaler VPX(有償) Public VLAN/Private VLANに割り振り可能な専有仮
想アプライアンス。SSL-Offload機能あり。
Platinum Editionに限っては、WAF機能あり。
NetScaler MPX(有償) Public VLAN/Private VLANに割り振り可能な専有
HWアプライアンス。SSL-Offload機能あり。
Platinum Editionに限っては、WAF機能あり。
VPN
SSL、PPTP VPN (クライアント用)
IPSec VPN サービス(サイト間。有償)
運用に利用するネットワーク回線セキュリティ機能の提供
専用線
Direct Link(有償) SoftLayerのPOPまで専用線を引き込むことで、オンプレ
ミス-SoftLayer間をセキュアかつ安定した性能で接続可
能。
CDN(Content
Delivery Network)
EdgeCast CDN(有償) 追加Add-Onを購入することで、専用ポータルからSSL,
Custom Certificate, CookieやSignatureベースの
キャッシュコントロール、CORS(Cross-Origin
Resource Sharing)等への対応が可能。
SoftLayerが暗黙的に対応
- 99. 99
SoftLayerに標準で選択可能なセキュリティ
サービス:4(ネットワークレベル)
種別 名称 特徴・仕様
SSLサーバー証明書
Rapid SSL(有償)
QuickSSL Premium (有償)
GeoTrust True BusinessID(有償)
Symantec Secure Site(有償)
GeoTrust True BusinessID with EV(有償)
Symantec Secure Site with EV(有償)
各社から提供されているSSL証明書
暗号化と鍵保管
Hardware Security Module(HSM)(有償) 暗号化鍵のセキュアな保管。
FIPS 140-2 Level 2準拠。
SSL アクセラレーション、TDE、Codeサイニングなどにも
利用可能。
SoftLayerが暗黙的に対応
Editor's Notes
- 講演資料は非常に多いです。本来、この量を50分とかで話すものではないということは重々承知しています。
ただ、後で皆様が自社に持ち帰って活用していただけるように、量は多くしました。
また、本来は参考資料とするべきところもあるのですが、そうするとあちらこちらを参照となって分かりにくくなるかもしれないため、本文中に入れています。
なので、ご紹介にすぎないページは積極的に飛ばしていきますのでご了承下さい。
- 講演資料は非常に多いです。本来、この量を50分とかで話すものではないということは重々承知しています。
ただ、後で皆様が自社に持ち帰って活用していただけるように、量は多くしました。
また、本来は参考資料とするべきところもあるのですが、そうするとあちらこちらを参照となって分かりにくくなるかもしれないため、本文中に入れています。
なので、ご紹介にすぎないページは積極的に飛ばしていきますのでご了承下さい。
- 講演資料は非常に多いです。本来、この量を50分とかで話すものではないということは重々承知しています。
ただ、後で皆様が自社に持ち帰って活用していただけるように、量は多くしました。
また、本来は参考資料とするべきところもあるのですが、そうするとあちらこちらを参照となって分かりにくくなるかもしれないため、本文中に入れています。
なので、ご紹介にすぎないページは積極的に飛ばしていきますのでご了承下さい。
- 車はなぜ毎年どこかで事故が起こっているのにみんな乗るのか?なぜ禁じないのか?答えは便利だから。
・教育し、免許証を発行し、啓蒙活動を行う。
・シートベルトやエアバッグを備える。
人手が入るオンプレミスの方が危険。クラウドは自動化されており、人手が極力入らないため、内部漏洩リスクは小さくなる。実際、データセンター業者やクラウド業者が原因で情報漏洩したという例は、今のところ聞いたことがない。ほとんどが(内部不正などの)利用者側の問題。
- 講演資料は非常に多いです。本来、この量を50分とかで話すものではないということは重々承知しています。
ただ、後で皆様が自社に持ち帰って活用していただけるように、量は多くしました。
また、本来は参考資料とするべきところもあるのですが、そうするとあちらこちらを参照となって分かりにくくなるかもしれないため、本文中に入れています。
なので、ご紹介にすぎないページは積極的に飛ばしていきますのでご了承下さい。
- Data center and server room security
Data centers located only in facilities with controlled access and 24- hour security.
No server room doors are public-facing.
Server rooms are staffed 24 x 7.
Unmarked entry and exit doors into server rooms.
Digital security video surveillance is used in the data center and server rooms
Biometric security systems are used throughout the data center.
Server room access strictly limited to SoftLayer employees and escorted contractors or visitors.
Barcode-only identification on hardware; no customer markings of any type on the servers themselves.
- Operational security
Engineers and technicians trained on internal industry standard policies and procedures, and audited yearly.
Geographic redundancy for all core systems for disaster recovery and business continuity.
Two-factor authentication for Customer Portal access adds greater server security.
All data removed from re-provisioned machines with drive wipe software approved by the US Department of Defense.
Ongoing PCI DSS compliance for SoftLayer’s own handling of credit card information.
- 講演資料は非常に多いです。本来、この量を50分とかで話すものではないということは重々承知しています。
ただ、後で皆様が自社に持ち帰って活用していただけるように、量は多くしました。
また、本来は参考資料とするべきところもあるのですが、そうするとあちらこちらを参照となって分かりにくくなるかもしれないため、本文中に入れています。
なので、ご紹介にすぎないページは積極的に飛ばしていきますのでご了承下さい。
- 講演資料は非常に多いです。本来、この量を50分とかで話すものではないということは重々承知しています。
ただ、後で皆様が自社に持ち帰って活用していただけるように、量は多くしました。
また、本来は参考資料とするべきところもあるのですが、そうするとあちらこちらを参照となって分かりにくくなるかもしれないため、本文中に入れています。
なので、ご紹介にすぎないページは積極的に飛ばしていきますのでご了承下さい。
- 講演資料は非常に多いです。本来、この量を50分とかで話すものではないということは重々承知しています。
ただ、後で皆様が自社に持ち帰って活用していただけるように、量は多くしました。
また、本来は参考資料とするべきところもあるのですが、そうするとあちらこちらを参照となって分かりにくくなるかもしれないため、本文中に入れています。
なので、ご紹介にすぎないページは積極的に飛ばしていきますのでご了承下さい。
- 講演資料は非常に多いです。本来、この量を50分とかで話すものではないということは重々承知しています。
ただ、後で皆様が自社に持ち帰って活用していただけるように、量は多くしました。
また、本来は参考資料とするべきところもあるのですが、そうするとあちらこちらを参照となって分かりにくくなるかもしれないため、本文中に入れています。
なので、ご紹介にすぎないページは積極的に飛ばしていきますのでご了承下さい。
- 講演資料は非常に多いです。本来、この量を50分とかで話すものではないということは重々承知しています。
ただ、後で皆様が自社に持ち帰って活用していただけるように、量は多くしました。
また、本来は参考資料とするべきところもあるのですが、そうするとあちらこちらを参照となって分かりにくくなるかもしれないため、本文中に入れています。
なので、ご紹介にすぎないページは積極的に飛ばしていきますのでご了承下さい。