”もと”中の人が語り尽くすsoftlayerセキュリティー(2016/10/13更新版）

日本アイ・ビー・エム株式会社クラウド事業統括IBMクラウドマイスター安田忍

”もと”中の人が語り尽くすSoftLayerセキュリティー(2016年10月13日更新）

2

自己紹介

話すひと

日本IBM クラウド・マイスター安田忍①データベース(DB2/Oracle等)のスペシャリスト②IBMにおいて、長らくミドルウェア製品のデリバリーを経験③SoftLayerを使ったクラウド設計屋さん

好きなSoftLayer

のサービス

無料のデータセンター間グローバルネットワーク

Twitter:@testnin2 (shinobilayer)

http://qiita.com/testnin2

3

今日お話すること（目次）

• SoftLayer概要• クラウドにおけるセキュリティの考え方• 物理セキュリティ• 人的、組織的なセキュリティー• ネットワークセキュリティー• その他のセキュリティツールやサービス• まとめ• （参考情報）

4



5

SoftLayer - A global hosting leader

企業サーバーホスティング分野のリーディング・プロバイダー

SoftLayerは、テキサス州ダラスを本拠地として2005年設立されました。米国に加え、2011年よりアジア、欧州にデータセンターとネットワーク接続ポイントを展開。140カ国にわたる25,000*以上の先進的なお客様にご利用いただいてきました。*2014年初時点

2013年のSoftLayer買収により、IBM はお客様がクラウドのスピードと柔軟性を活用

できるように、パフォーマンス、コントロール、セキュリティ、およびグローバル・リーチに優れ、かつオープンなIaaS を提供いたします。これにより、SoftLayer/IBMは世界最大クラスのホスティング・プロバイダーとなっています。

企業理念

イノベーション, エンパワーメント, オートメーション, インテグレーション

6

SoftLayer – 5つの特長

物理サーバーも利用可能

グローバル・ネットワーク

トリプルネットワークアーキテクチャーと物理ネットワーク

従来のプロバイダーとは一線を画した「妥協なきクラウド」をご提供します。

Direct Link Collocation

豊富で透明性の高いサービス

7

特長1：物理サーバーも利用可能

最新の物理サーバーを専有利用通常のクラウド・サービスが提供する仮想サーバーに加え、物理サーバーを専有で提供。1ヶ月または1時間単位の短期契約で利用可能。

セキュリティーとパフォーマンス専有サーバーは他ユーザーと共存しないため、より高いセキュリティー要件の用途に向きます。ハイパーバイザーのオーバーヘッドを避け、サーバーの性能をフルに活用可能。ソフトウェアのライセンス料金も仮想環境に比べて節約できる可能性があります。Intel HT/AES-NIなどのBIOS構成変更も可能です。

HPCに適した環境最新世代のTesla K80やM60が利用可能。また、Power8もDAL09で提供を開始しています。

もちろん、共用の仮想サーバーも、専有の仮想サーバーもあります！仮想サーバーでもデータセンターによっては、56 core/242 GBメモリまで選択可能です。

8

特長2: グローバル・ネットワーク高速バックボーン・ネットワーク

通常のクラウド・サービスではDC間ネットワークを別途用意しなければならないのに対し、SoftLayerで10Gbps x N の回線を標準提供。

安価なネットワーク転送料金プライベートネットワークを使えば、データセンター間の送受信が無料で使い放題！

■プライベートネットワーク：・受信無料/送信無料（データセンター間通信も無料！）■パブリックネットワーク：・受信無料・250GBまで送信無料（月額仮想サーバー）・500GBまで送信無料（月額物理サーバー）・20TBまで送信無料（Vyatta Gateway Appliance)

9

特長3: トリプルネットワークアーキテクチャーと物理ネットワーク物理的に分離されたネットワーク・アーキテクチャ

- インターネットに面したパブリックネットワーク- 利用者のサーバーのみ互いに通信可能なプライベートネットワーク- IPMIやKVMコンソールのための管理ネットワーク

利用者ごとに割り当てられた専用VLAN- 仮想化されていない高速な物理ネットワークを利用。-利用者ごとに割り当てられた専用VLAN。物理サーバーも仮想サーバーも区別なく同一VLAN上に配置可能。- VLANタギング（IEEE 802.1Q)も利用可能。- 通信高速化や高可用性のために、LACPやJumbo Frameも利用可能。- VLAN内では、マルチキャスト通信にも対応。- 複数のVLANを組み合わせることでゾーニング構成も可能。

10

特長4: Direct Link CollocationDirect Link Collocationが実現するハイブリッドクラウド

- 東京データセンター内のお客様コロケーションエリアから、SoftLayerに構内接続可能（Direct Link Collocation) 。

- 専用ストレージやネットワーク機器をコロケーション領域に配置したり、お客様拠点と専用線で接続することで、クラウド化できないシステムとの柔軟かつセキュアなハイブリッド構成を実現。- もちろん、SoftLayerのPOP経由で専用線接続するDirect Link NSPや、Equinix社のCloud Exchange経由で接続するDirect Link Cloudも選択可能。

NWキャリア

お客様コロケーションエリア SoftLayer PoD

東京データセンター

お客様持ち込み機器


お客様によって自由にカスタマイズ可能な領域 SoftLayerが管理する物理領域

インターネット

11

特長5：豊富で透明性の高いサービス世界で明快な料金体系グローバルで標準化されたサービス・メニューと従量部分を最小化した分かりやすい課金方式。

充実したAPIによる自動化の推進ほとんどの機能をプログラムからも利用可能。運用ワークロードとヒューマンエラーを最小化。

使いやすいポータルとモバイル対応見やすく設計されたカスタマー・ポータルにより、効率的な運用が可能。スマートフォン、タブレットに対応。

無料のサポート24/365で問い合わせ可能なチケットと、日本語対応もしているチャット・電話サポート。どれだけ問い合わせしても無料。

積極的な情報公開SOC2 Type2レポートを中心とした、第三者監査機関による監査レポートの公開や、N/W接続/トラフィック状況などをポータルで可視化。

12

（参考）データセンターの透明性【字幕】SoftLayer DAL05 Data Center Tour

https://www.youtube.com/watch?v=I4OdiKpX86A

【字幕】IBM SoftLayer のデータセンターとその中の仕組みをご紹介！https://www.youtube.com/watch?v=9DOTsPqeMjY

SoftLayerへのサーバールームへの立ち入りは禁じられていますが、代わりに各種外部認定を取得し、データセンター内部の動画を公開しています。

13

（参考）物理サーバーの透明性Customer Portalから見たIPMIのセンサー情報物理サーバーのIPMIコンソール

利用者が物理サーバーのIPMIコンソールを利用できるので、OS持込も含めて非常に柔軟な構成が可能です。

温度情報

ファンの回転数

14

（参考）ネットワーク情報の透明性

各NWキャリアとのBandwidth帯域Looking Glass(http://lg.softlayer.com/)

Speed Meter(http://www.softlayer.com/data-centers)

KnowledgeLayer(https://knowledgelayer.softlayer.com/procedure/direct-link-connectivity-options)

15

米ラスベガスで開催中のイベント「IBM InterConnect 2016」において戦略的提携を発表しました。

・インターネットVPNや豊富な専用線接続サービス。・東京POP経由で東京DCに接続するのであれば、転送量による課金は発生しない！

・物理サーバーを利用することで慣れ親しんだVMWareをそのままSoftLayer上でも利用可能。・データセンター間NWはどれだけ使っても無料！

シームレスなネットワーク

共通の管理機能

プラットフォーム互換性

NSX, vMotion, vRealize, Replication, etc...

オンプレミスのVMware環境を最大限活用したハイブリッドクラウド環境実現が可能に！

オンプレミス環境 SoftLayer

（参考）VMware on SoftLayer

16

（続き）VMware on SoftLayervMotion, vSphere HA, vSphere Data Protection等の機能はもちろん、NSXとLong Distance vMotionを組み合わせた海外DCへのライブマイグレーションや、VSANを使用した専有ストレージの利用が可能です。

vMotion vSphere HA

vMotion 再起動

vSphere Data Protection

バックアップ

リストア

vCenter Server

Long DistancevMotion

vCenter Server

NSX NSX

NSX + Long Distance vMotion

SSD

Virtual SAN

VM VMVMVM VM VM

HDD

17



18

セキュリティは、依然としてクラウド導入の最大の課題と位置づけられています。

1. 2013, IDC US Cloud Security Survey

2. Sept 2013, Information Week Cloud Security and Risk Survey

3. Verizon 2014 Data Breach Investigations Report

73%の企業で、クラウドがITポリシーまたはセキュリティーポリシーの範囲外で使用されていました1

50%の企業が、不正なアクセスや機密情報の漏洩に対して懸念を抱いています2

75%のセキュリティ侵害が、その発見に数日、数週間、または数ヶ月を要しています3

http://www.ibm.com/smarterplanet/us/en/innovation_explanations/article/nataraj_nagaratnam.html

クラウド・サービスへの無制限のアクセス

制御の及ばないデータやアプリケーション

セキュリティー侵害による損害

19

情報セキュリティ10大脅威＋α 20151位. インターネットバンキングやクレジットカード情報の不正利用2位. 内部不正による情報漏えい3位. 標的型攻撃による諜報活動4位. ウェブサービスへの不正ログイン5位. ウェブサービスからの顧客情報の窃取6位. ハッカー集団によるサイバーテロ7位. ウェブサイトの改ざん8位. インターネット基盤技術の悪用9位. 脆弱性公表に伴う攻撃

10位. 悪意のあるスマートフォンアプリ11位. ウィルスを使った詐欺・恐喝12位. サービス妨害13位. 無線LANの無断使用・盗聴14位. ネット上の誹謗・中傷・いじめ15位. 悪意のあるアプリを使った遠隔操作16位. 利用者情報の不適切な取り扱いによる信用失墜17位. 不適切な情報公開18位. 不正請求詐欺・・・

https://www.ipa.go.jp/security/vuln/10threats2015.html

あれ、クラウドだから危ないんだっけ？？？結局自社サイトでも同じ検討が必要なような・・・

20

情報セキュリティ10大脅威＋α 20161位. インターネットバンキングやクレジットカード情報の不正利用2位. 標的型攻撃による諜報活動3位. ランサムウェアを使った詐欺・恐喝4位. ウェブサービスからの顧客情報の窃取5位. ウェブサービスへの不正ログイン6位. ウェブサイトの改ざん7位. 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ8位. 内部不正による情報漏えいとそれに伴う業務停止9位. 巧妙・悪質化するワンクリック詐称

10位. 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加11位. サービス妨害攻撃によるサービスの停止12位. インターネットの広告機能を悪用した攻撃13位. 匿名によるネット上の誹謗・中傷14位. 職業倫理欠如による不適切な情報公開15位. インターネットサービス利用に伴う意図しない情報漏えい16位. 過失による情報漏えい17位. IoTに関連する機器の脆弱性の顕在化18位. 情報モラル不足に伴う犯罪の低年齢化19位. 無線LANの無断使用・盗聴

https://www.ipa.go.jp/security/vuln/10threats2016.html

モバイル、IoT、クライアント側のセキュリティー対策も必要

21

クラウドにおけるセキュリティー実装のステップ

クラウド業者と利用者間の責任範囲の境界を理解する。

クラウド業者の責任内容と取り組みを理解する。

・セキュリティーはSoftLayerと利用者の共同作業です。・SoftLayerが脅威の全てから保護することを保障している訳ではありません。

利用者が負うべき責任部分

に対して、クラウド業者提供の製品・サービスや3rd Party提供の製品・サービス持ち込みを組み合わせて実装・運用する。

・SoftLayerの責任範囲は利用者が操作できないデータセンターや共用機器等です。・運用は極力自動化して人手を介さないようにしています。

・OSやアプリケーションやデータは、利用者の責任で保護する必要があります。・消失に備えたバックアップもユーザー責任です。

① ② ③

22

クラウドにおける一般的な情報公開の考え方

• SoftLayerのNW機器の機種を教えて欲しい！

• 私の会社だけにはSoftLayerのデータセンターへの見学を許可して欲しい！

オンプレミスと違って、全ての情報を公開する訳ではないことに注意。

• SoftLayerは共通のインフラに則ったクラウドであり、そのために高度な自動化と競争力のある価格提供を実現しています。NW機器をお客様ごとに個別にカスタマイズしていません。

• 情報公開によるリスクがあるため、内部仕様についてNDAを結んでいても情報提供できないものもあります。

• データセンター見学は可能ですが、SoftLayerのサーバールームへの立ち入りは許可していません。１社にでも立ち入りの例外を許可すると、セキュリティーの前提が崩れるため、例外は設けていません。仮に入室できても、目印が付いている訳ではないので、どれが自分が利用しているサーバーか分かりません。

• 各種第三者機関の認定を受けていますので、そのレポートや各種公開情報を参考にして下さい。

23

SoftLayerと利用者の責任分界点オファリング項目

責任項目物理サーバー（専有）仮想サーバー（専有）仮想サーバー（共有）

データセンター管理 SoftLayer SoftLayer SoftLayer

プロビビジョジョニニング

サーバー利用者: 要求SoftLayer（自動）: 実行

利用者: 要求SoftLayer（自動）: 実行


OS 利用者: 要求SoftLayer（自動）: 実行



運用・用・管管理

ハードウェア利用者: 監視やHW交換要求 SoftLayer SoftLayer

ハイパーバイザー

（もしハイパーバイザーを導を導入する場合は利用者）

SoftLayer SoftLayer

OS 利用者利用者利用者

アプリケーショションやデータ

利用者利用者利用者

基本的な考え方としては、- 利用者が操作できる領域は利用者責任- 利用者が操作できない領域はSoftLayer責任

利用者が決めることはできず、SoftLayerが定めているサービス内容やSLAを受容する必要がある。

SoftLayerは関与しないため、利用者が構築・運用する必要がある。

24

セキュリティ管理策の全体図不正利用なりすまし

不正アクセス不正侵入

ウィルス/マルウェア

（検疫・駆除）

改ざん書き換え

盗聴情報疎漏サービス妨害

人的

組織的

セキュリティ全般

情報セキュリティポリシー（リスク分析・セキュリティ基本方針・対策基準・実施手順）

対策ベンチマーク/情報セキュリティマネジメントシステム（ISMS)の導入/情報漏洩防止強化対策

セキュリティ診断/侵入テスト/監査（内部・外部）/教育

技術的

ネットワーク・セキュリティ

侵入検知システム(IDS)/侵入防止システム（IPS) 通信暗号化(IPSec/IP-VPN)

DoS/DDoS対応（フィルタリング）

ファイアウォール（パケット・フィルタリング）

デジタル署名アクセス制御/デバイス認証無線LAN（認証・暗号化）

Fake AP

サーバー・セキュリティ

ユーザ認証アクセス制御/権限管理バックアップ

負荷分散

OS Firewall

セキュリティ・パッチ（適用・逐次更新）・セキュアーなWeb開発ログ管理メール・MSGスキャン

DoS/DDoS対応（NDS、パケット制限）

Trusted OS/Secure OS ウィルス駆除改ざん検知・防止

DBMS暗号化・ファイル暗号化

物理的

環境的

セキュアな環境・施設・オフィス

セキュア・ゾーニング、セキュア・オフィス・施設・設備・什器（入退出管理、監視カメラ、バイオメトリクス認証/盗難・紛失防止備品）

http://www.ipa.go.jp/security/manager/protect/pdca/risk.htmlよりクライアント・セキュリティ部分を削除して一部改変

http://www.ipa.go.jp/security/manager/protect/pdca/risk.html

25

SoftLayerでの実装例不正利用なりすまし


ウィルス/マルウェア

（検疫・駆除）



人的

組織的





技術的






Fake AP



負荷分散

OS Firewall





物理的

環境的




SoftLayerで無償実装可能

SoftLayerで購入可能（一部制限あり）

IBMや3rd Partyの例

Private NW/SSL VPN /PPTP VPNIPSec VPN/Direct Link

Cisco GuardArborPeakflow

NetScaler Platinum Edition

Fortigate Appliance + Fortiguard NGFW add on

VLAN/VyattaによるゾーニングSSL証明書SoftLayerデータセンター内では無線LANは使用していないので対象外

SSH秘密鍵認証パスワード定期変更iptables/Firewalld

OS権限設定, sudo, PAM構成Local LB,NetScaler

eVault, Idera

IBM InfoSphereGuardium

IBM ESMS

Deep Security

OSの各種アクセスログ、監査ログ

Q-Rader

Private NW内に存在するパッチサーバー

SE Linux不要なサービスの停止

Deep Security

McAfeeVirusScan

Tripwire

Intel TXT

SOC2などの各種第三者認証

物理サーバー、仮想専有サーバー、仮想サーバー

サーバー削除時のデータ消去

Hardware Firewall/Fortigate Appliance/Vyatta/VMware NSX(Micro Segmentation)

Nessus Security診断

Tier3以上のデータセンター設備

NIST 800-53 frameworkを基準としたセキュリティ運用ルール

McAfee Host Intrusion Protection

AltaVault

iptablesFirewalld

日本国内データセンター

Customer Portalの権限設定

Deep Security Deep Security

Deep Security

Guardium Guardium

生態認証、監視カメラ、入退室管理

Web ARGUS

HSM

IBM クラウド・セキュリティ－・アセスメント・サービスIBM セキュリティー技術標準策定サービス

IBM CSIRT研修サービスIBM エマージェンシー・レスポンス支援サービス

コロケーションサービス＋NWアプライアンス持込み+SOC監視

FFR yarai

クラウド型リバースプロキシ


26

SoftLayerでの実装例

専用線接続

NW Firewall

アカウントごとに明確に分離された専用のPublic VLAN/Private VLAN

インターネットに出て行かなくても良い、SoftLayer提供のパッチサーバー

OS Firewall、AntiVirus, Anti-Spireware, IPS、WAF, 改ざん検知、暗号化、アクセス制御、ログ管理

第三者認定を受けた強固な物理セキュリティー

SSL-VPN,PPTP-VPN

SSL-Offload

DDOS防御（DC防御）

無償のNWセキュリティー診断機能

外部セキュリティーサービス(ESMS, MSS for Securityなど）

IPSec-VPN

複数VLAN＋Vyatta

専有の物理サーバー、専有・共有の仮想サーバー

27



28



ウィルス（検疫・駆除）



人的

組織的





技術的






Fake AP



負荷分散

OS Firewall





物理的

環境的





29

データセンターの物理アーキテクチャー

参考： http://www.softlayer.com/data-centers

全てのデータセンターで、”最低限”下記の仕組みを提供する施設を採用• n+1 UPS Battery Backup Units• n+1 Backup Power Generators• n+1 Cooling Infrastructure• Pre-Action Dry Pipe Fire Suppression• Multi-Level Access Control

30

SoftLayerの提供品質 - SoftLayerのデータセンター基準

• 99.995% の稼動率• 年間のダウン時間 .04 時間

• 二つの独立な電源と冷却方法• 完全な冗長性 (2N+1)• 電源維持時間が96時間

• 99.982% の稼働率• 年間のダウン時間 1.6時間

• 99.749% の稼働率• 年間のダウン時間 22.0

時間

• 99.671% の稼働率• 年間のダウン時間 28.8

時間

• 二つの独立な電源と冷却方法• 電源のなんらかの冗長性

• 1つの電源と冷却方法• 冗長性なし

• 複数の電源と冷却方法• 復旧対応 (N+1)• 電源維持時間が72時間

Tier 4

Tier 3

Tier 2

Tier 1

SoftLayerのデータセンター選定の基準は、Tier3以上です。

31

データセンターとサーバールームのセキュリティ（１）データセンター

アクセスコントロールがあり、24時間監視された施設を利用している。

生体認証セキュリティが、データセンター全体で利用されている。

デジタルセキュリティビデオによる監視がされている。

公道 DC敷地 DCフロント

DC共同エリア

エレベーター

セキュアゲート

サーバールーム

サーバー

警備員による出入り口監視

受付チェック入館チェックエレベーター：権限のないフロアには止まらない

共付れ（テールゲート）禁止

入室チェック次ページ参照

32

データセンターとサーバールームのセキュリティ（２）サーバールーム

公開エリアに面した出入り口は1つも存在しない。

出入り口のドアには、施設を特定できるような表示は出ていない。

24時間/365日、スタッフが常駐している。

デジタルセキュリティビデオによる監視がされている。

SoftLayerの従業員とエスコートされた契約者と訪問者に厳格に制限されている。

ハードウエアは、バーコードのみでID管理している。サーバー自身には、お客様を特定できるような印を付けていない。

33

データセンター運用上のセキュリティ

SoftLayerのセキュリティ管理は、NIST 800-53 frameworkをベースとしたUS政府標準に従う。

SOC2 Type2に従い、第三者監査機関により運用まで含めて監査を受けている。

エンジニアや技術者は、業界標準ポリシーと行動に対して教育が実施され、毎年監査されている。

災害対策とビジネス継続性のために、SoftLayerを支えるコアシステムは地理的に分散された冗長性を持っている。

US国防省によって認可されたドライブ消去ソフトウェア（Defense (DoD) 5220.22-m standards）を使うことで、全ての過去データは新規にプロビジョニングされた専有サーバーのローカルディスクから削除されている。削除に失敗したディスクは物理的に破壊される。

34

廃棄時のディスク破壊

中央に穴が開いているプラッターが曲がってボードからはみ出ている

参考– http://blog.theplanet.com/2014/softlayer-security-questions-and-answers– http://blog.theplanet.com/2010/redrum

http://blog.theplanet.com/2014/softlayer-security-questions-and-answers

http://blog.theplanet.com/2010/redrum

35

データセンターセキュリティーと監査

お客様A用のケージ+ラック

お客様B用のケージ+ラック

お客様C用のラック（ケージなし）

お客様A

お客様B

お客様C

オンプレミス or ホスティングクラウド

お客様A

お客様B

お客様C

•他のお客様もサーバールームに立ち入り可能。サーバー直前まで、他の利用者も物理的に立ち入れてしまうため、ケージやラックの施錠等による保護が必須。

•外部認証も限定的（一般的には自社内の監査部門による評価）。自社内での甘い評価になるリスクがあり、監査期間もまばら。（3ヶ月に一度、年に１度、等）

•作業ミスを防止する手段が手順書作成や技術員の教育といった俗人的な対応に限定される（自動化されていない）。

•独立した第三者の監査業者のみ立ち入りを許可。お客様ごとの入室は許可しない。

•第三者による監査業者が継続的に監査を実施（SOC2などの外部監査業者による認証取得）。

•NWプロビジョニングもサーバープロビジョニングもすべて自動化されており、データセンター内の作業員も個々の利用者のサーバーを特定できない。サーバーには、利用者を特定付ける情報は付与されていない。

•生態認証を初めとしたアクセス制御、ビデオ監視だけでなく、必ず誰かが常駐。

APIによる自動化作業によってネットワークプロビジョニングやサーバープロビジョニングを行い、属人的な作業を排されることによる効率性と確実性、安全性が担保される。

サーバールームサーバールーム

サーバールーム管理者

クラウド業者作業員

立ち入りを許可しない

36

SoftLayer内での作業管理（１） SoftLayerの作業員は、与えられた業務の規定によって明確に役割分担されています。また、作

業員が業務内容を遂行する上で、必要最小限のアクセス権限のみ付与されます。

分類項目データセンター作業担当者

システム技術担当者

サービスデスク担当者

自動化ツール

業務分担

業務内容各データセンターのHW機器の構築・保守作業

システム・NW基盤の構築・運用・保守

サービス利用者への営業支援、技術支援

サービス提供作業の自動化

作業場所各データセンターオペレーションセンター

オペレーションセンター

オペレーションセンター

作業方法手作業遠隔作業（二要素認証あり）

遠隔作業（二要素認証あり）

Internal Management System

アクセス権限

DC

DC サーバー室入室 ○ × × ×

DC ラックアクセス（サーバー筐体、配線）

○ × × ×

共用資源

共用NW機器構成変更（スイッチ、ルーター） ×

△（自動化ツールで修正できな

い場合）× ○

仮想サーバー環境運用（Hypervisor） ×

△（自動化ツールで修正できな

い場合）× ○

利用者

OS導入、パスワード設定 × × × ○

利用者サーバーアクセス× ×

△（利用者からの依頼時）

○

37

SoftLayer内での作業管理（２）よくある疑問答え

SoftLayerの社員のセキュリティ教育はどうなっているのか？

SoftLayerのDCを管理しているのはSoftLayer社員です。IBMと同様のBusiness Conduct Guidelineに従い、IBMのセキュリティ研修も毎年受講していることは、第三者の監査機関からも報告されています（SOC2)。

SoftLayer社員は誰でもDCに入れるのか？ DCに入れるメンバーは、（典型的には）各DCごとに17人～23人のServer Build Tech(SBT)のみです。

DC内のメンバーに自分達のサーバーを特定付けされてしまうのではないか？

SoftLayerはクラウドであり、ホスティングではありません。サーバーには、サーバー名やお客様を特定付けるような情報は付与されておらず、バーコードのみで管理しています。

USBメモリやCD-ROMドライブを使ったコピーがされてしまうのではないか？

SoftLayerの運用ポリシーとして、左記の機材を使ったメンテナンスを実施していません。

クラッシュカートを使って直接サーバーにアクセスして操作されてしまうのではないか？

SoftLayerの運用ポリシーとして、左記の機材を使った修正や問題解析を実施していません。

スイッチ上の空きポートにケーブルを挿されることで、接続できてしまうことはないのか？

VLANはアカウントごとに割り振られ、サーバーがプロビジョニングされた際に初めて構成されます。逆に言うと、プロビジョニングが実施されるまではスイッチ上のVLANは構成されていませんので、適当な空きポートにケーブルを挿しても接続されません。

HDDを引き抜かれてしまうことはないのか？ HDDを正規のプロセスに従わずに引き抜くようなことがあれば、IPMI監視に引っかかり、即時に通知されます。

キャンセル後のサーバーのHDDを引き抜いてデータがコピーされてしまうのではないか？

サーバーキャンセルが実施されると、ドライブ消去ソフトウェア（Defense (DoD) 5220.22-m standards）によって、自動的にデータは消去されます。削除に失敗したディスクは物理的に破壊されます。

38

テナント分離（サーバー）

物理サーバー

OS

MW

アプリ

物理サーバー

OS

MW

アプリ

独自Hypervisor

OS

MW

アプリ

OS

MW

アプリ

物理サーバー

OS

MW

アプリ

XenServer

OS

MW

アプリ

OS

MW

アプリ

物理サーバー

OS

MW

アプリ

XenServer

OS

MW

アプリ

OS

MW

アプリ

SoftLayerは以下の３タイプのサーバーを提供

物理サーバー• 物理サーバー上に

OSを直接導入しても、自社専有のHypervisorを別途導入しても良い。

仮想専有サーバー• 他社仮想サーバーが同一物理サーバー上で稼動しないことを保障

• HypervisorはSoftLayer管理

仮想共有サーバー• 他社仮想サーバーが同一物理サーバー上で稼動する可能性がある

• HypervisorはSoftLayer管理

自社

自社自社自社自社自社他社他社

※SoftLayerの仮想サーバーのHypervisorはXenServerで稼動しており、Xenの未知の脆弱性対応のために緊急メンテナンスを行うことがある。詳細は以下リンクを参考。SoftLayerのXen脆弱性に伴う再起動：FAQとHint & Tipshttp://qiita.com/testnin2/items/cafed2d98d18102be84a

http://qiita.com/testnin2/items/cafed2d98d18102be84a

39

テナント分離（ストレージ）SoftLayerはデフォルトで以下のストレージを提供。

ユーザーが独自に実装することで、以下のストレージタイプも作成可能

シングルテナント（自社専有）

マルチテナント（他社と共有）

物理サーバーのLocal Disk ✔

仮想サーバーのLocal ✔

仮想サーバーのSAN ✔

仮想サーバーのPortable Storage ✔

Block and File Storage(Endurance Storage/Performance Storage)

✔

Object Storage ✔



VMware Virtual SAN(VMwareソリューション） ✔

QuantaStor/NetApp ONTAP Select(SDSソリューション）

✔

NetApp Private Storage（コロケーション領域にHWストレージを配置＋Direct Link）

✔

40

テナント分離（ネットワーク）



SoftLayer内部の物理ルーター（FCRやBCRなど） ✔

Shared Firewall/Shared Load Balancer ✔

Dedicated Firewall/Dedicated Load Balancer ✔

スイッチ(ラック間の集約用） ✔

ラックおよびスイッチ（トップオブラック） ✔

ラックおよびスイッチ（トップオブラック）※Virtual Data Center（専用ラック）オプション利用時

✔

Vyatta Gateway Server(仮想ルーター・アプライアンス） ✔

NetScaler VPX/MPX（ロードバランサー・アプライアンス） ✔

Public VLAN/Private VLAN ✔

物理NIC （物理サーバー利用時） ✔

物理NIC （仮想専有サーバー利用時） ✔

物理NIC （仮想共有サーバー利用時） ✔（論理NICは専有）

41

SoftLayer外部認証(1)名称説明

SOC1/SOC2/SOC3 - AICPAによって設けられた運用基準（セキュリティ、可用性、処理の一貫性、機密保持、プライバシー）に対する第三者機関による監査。

- 時点評価(Type1)ではなく、期間評価(Type2)での評価。

- SOC1/SOC2結果はCustomer portalからリクエストすることで入手可能

- SOC3:http://static.softlayer.com/sites/default/files/assets/page/softlayer_soc_3_final_report_10_2016.pdf

ISO27001:2013 - 情報資産を様々な脅威から守り、リスクを軽減させるための情報セキュリティマネジメントシステムに必要とされる世界的なセキュリティースタンダード。http://static.softlayer.com/sites/default/files/assets/page/softlayer_iso_27001_041516.pdf

ISO27017:2015 - クラウドサービスプロバイダーおよびクラウド利用者の両方の視点に基づいた、クラウドサービスの実装や情報セキュリティコントロールに関するガイドライン。第三者機関によって監査。http://static.softlayer.com/sites/default/files/assets/page/softlayer_iso27017.pdf

ISO27018:2014 - ISO29100のプライバシー原則に従ったパブリッククラウド環境のためのPII(Personally Identifiable Information)を保護するためのガイドライン。ISO27002を土台にしている。http://static.softlayer.com/sites/default/files/assets/page/softlayer-iso-27018.pdf

Cloud Security Alliance - 非営利法人が提唱しているクラウド利用時のセキュリティーに関するベストプラクティスに対しての応答集

- CSA STARレジストリーからセルフ・アセスメント結果を入手可能https://cloudsecurityalliance.org/star-registrant/softlayer/

http://static.softlayer.com/sites/default/files/assets/page/softlayer_soc_3_final_report_10_2016.pdf

http://static.softlayer.com/sites/default/files/assets/page/softlayer_iso_27001_041516.pdf

http://static.softlayer.com/sites/default/files/assets/page/softlayer_iso27017.pdf

http://static.softlayer.com/sites/default/files/assets/page/softlayer-iso-27018.pdf

https://cloudsecurityalliance.org/star-registrant/softlayer/

42

SoftLayer外部認証(2)名称説明

PCI-DSS - クレジットカード業界のセキュリティ基準。お客様ワークロードについては必要に応じて個別に認証取得が必要であり、SoftLayerはそのための支援が可能。プライベートクラウド（シングルテナントの仮想サーバー）や、物理サーバーがPCIワークロードをホストするのに適している。

HIPPA - 「医療保険の相互運用性と説明責任に関する法律」。お客様ワークロードについては必要に応じて個別に認証取得が必要であり、SoftLayerはそのための支援が可能。プライベートクラウド（シングルテナントの仮想サーバー）や、物理サーバーがPCIワークロードをホストするのに適している。

EU Model Clauses - 欧州経済地域 (EEA) から発信するデータを EEA 以外の国に転送するために、セーフハーバー原則の代わりに欧州委員会と欧州連合 (EU) のデータ保護機関に承認された形式で提供。

（参考リンク）http://www.softlayer.com/compliance

http://www.softlayer.com/government

http://www.softlayer.com/government-security

http://www.softlayer.com/compliance

http://www.softlayer.com/government

http://www.softlayer.com/government-security

43

（参考）CSAセルフアサイメント結果

クラウドに関する調査質問 SoftLayerによる回答

44

FISC安全対策基準への対応お客様がクラウドサービスを活用するに当たり、リスク評価の参考にしていただくために、SoftLayerに関して『金融機関等コンピュータシステムの安全対策基準解説書』(FISC安対基準）をベンチマークし安全評価を実施。

（参考）評価結果は、こちらからダウンロードできます。

http://www.ibm.com/cloud-computing/jp/ja/softlayer_fisc.html

http://www.ibm.com/cloud-computing/jp/ja/softlayer_fisc.html

45



46






人的

組織的

セキュリティ般




技術的

ネットワーセキュリティ





Fake AP



負荷分散

OS Firewall





物理的

環境的





47

SoftLayerのユーザー構造

権限

デバイス

権限

デバイス

割り当て

割り当て

権限

デバイス

権限

デバイス

マスターユーザー

M

子ユーザーA

孫ユーザー

Invoice

事業部A 事業部B

子ユーザーB

孫ユーザー

パスワードリセット・ユーザー毎に、権限とアクセス可能なデバイスを設定可能です。・親ユーザーにない権限、デバイスへのアクセスは、子ユーザーには許可できません

・１つのSoftLayer契約に対してマスタユーザーが1つだけ発行されます。・マスタユーザーを親ユーザーとして、複数階層のサブユーザーの作成が可能です。・課金の請求は、マスタユーザーに対してのみ発生します。・パスワードリセットが出来るのはマスターユーザーのみです。

Portalへのログオンは、二種類のクレデンシャルを組み合わた二要素認証が利用できます。システム管理用のVPN接続は、ポータルと異なるパスワードを設定できます。

48

カスタマーポータルのセキュリティ(1) ログイン時に、password以外の追加の質問(Security Question)を組み合わせ可能

– 例）好きなartistは誰ですか？– パスワードリセットをポータル経由で実施するために必須参考リンク：http://qiita.com/testnin2/items/9e2fd480731071152afb

+

+

ログイン時に二要素認証を組み合わせ可能（Google Authenticator, Symantec Identity

Protection, Phone-based authentication）

49

カスタマーポータルのセキュリティ(2) password

– 短いパスワード長の禁止（8 to 20文字）– 大文字・小文字が両方含まれること– 最低１文字は数字を含むこと– 最低１文字は右記の記号を含むこと _-|@.,?/!~#$%^&*(){}[]=

– Expire期限の設定（30日/45日/60日/90日/120日/無期限）

ユーザーごとの操作権限– 70を越える権限（Support/Devices/Network/Security/Services/Account)

– ベアメタルサーバー、仮想サーバーへのアクセス制御

ポータルへのログイン成功履歴、ログイン不成功履歴などの監査ログの自動取得（APIでも実装可能）

60日以上Customer PortalにもVPNにもアクセスしなかったユーザーは自動的にInactive状態に遷移

IPアドレス制限– 例）特定のIPレンジからでないとカスタマーポータルにアクセスできないように構成可

能。

Private NWからもアクセスが可能。

– https://control.softlayer.com (Public)

– https://control.service.softlayer.com (Private)

https://control.softlayer.com/

http://control.service.softlayer.com/

50

（参考）人的組織的対策について

Computer Security Incident Response

Team（CSIRT）とは

インターネット上で何らかの問題（主にセキュリティー上の問題）が起きていないかどうか監視すると共に、万が一問題が発生した場合にその原因解析や影響範囲の調査を行う組織の総称（起源は米国カーネギーメロン大学内に設置されたCERT/CC）。

個別導入計画の作成

(製品レベ

ルまで落としこんだもの)

１章．セキュリティ技術標準の使い方

- 新規システム構築時

- 既存システム改変時

- ・・・

２章．前提となる考え方

- システムモデル

- 情報資産価値の区分

- ネットワークのゾーニング

- ・・・

３章．セキュリティ機能

- セキュリティ機能マトリックス

- セキュリティ対策マトリックスの見方

- ・・・

４章．実装案

- 識別と認証

- アクセス制御

- 暗号化

- ・・・

目次

「セキュリティー技術標準」策定結果ご報告書

Red Yellow Green Blue

外部ネットワーク内部ネットワーク

Blueゾーンの特定サーバからの

直接アクセスを許可。

GreenゾーンもしくはBlueゾーン

から特定のサーバに対しての直接アクセスを許可。

Yellowゾーンからの直接アクセスのみ許可。 GreenゾーンもしくはBlueゾーンからの直接アクセスは禁止。

内部→外部

Redゾーンからの直接アクセスは禁止。GreenゾーンもしくはYellowゾーンからのアクセスの

み許可。

Redゾーンからの直接アクセスは禁止。Yellowゾーンからのア

クセスのみ許可。

Redゾーンから特定のサーバに対

しての直接アクセスを許可。

外部→内部

Blueゾーンの特定サーバからの

直接アクセスを許可。

GreenゾーンもしくはBlueゾーン

から特定のサーバに対しての直接アクセスを許可。

Yellowゾーンからの直接アクセスのみ許可。 GreenゾーンもしくはBlueゾーンからの直接アクセスは禁止。

内部→外部

Redゾーンからの直接アクセスは禁止。GreenゾーンもしくはYellowゾーンからのアクセスの

み許可。

Redゾーンからの直接アクセスは禁止。Yellowゾーンからのア

クセスのみ許可。

Redゾーンから特定のサーバに対

しての直接アクセスを許可。

外部→内部

外部から直接内部システムを攻撃される危険性があるため、Red

ゾーンからの直接アクセスはYellowゾーンのみ許可する

戻りパケットを悪用して外部から直接内部システムを攻撃される危険性があるため、Yellowゾーン以外からの外部ネットワークへの直接アクセスは禁止する

：ゾーン間の通信の方向：ゾーン間の通信の方向

ネットワークゾーン間のアクセスルール

セキュリティ対策機能名

概要

利用者の識別と認証

情報資産のアクセス主体（人やコンピュータ、プログラム）を適切な識別子（アクセス主体を識別するためのID情報）で識別し、その識別子の利用者の真正性を、認証キー（アクセス主体と認証者のみが共有する情報）をもとに確認する。

システムアクセス制御

システムやネットワークに対する不正なアクセスを防止する為に、システムやネットワーク機器へのアクセスを利用者（アクセス主体）の識別子情報（アクセスID情報）とアクセス権限情報に基づき適切に制御する。

データアクセス制御

データに対する不正なアクセスを防止する為に、データへのアクセスを利用者（アクセス主体）の識別子情報（アクセスID情報）とアクセス権限情報に基づき適切に制御する。

ネットワークアクセス制御

ネットワークやシステムに対する不正なアクセスを防止する為に、ネットワーク及びシステムへのアクセスを利用者（アクセス主体）の識別子情報（アクセスID情報）とアクセス権限情報に基づき適切に制御する。

～～～～

セキュリティ機能名

内容

該当セキュリティ機能の概要

実装箇所

該当セキュリティ機能の実装対象となるシステムコンポーネントの種別情報

実装案

各システムコンポーネントごとの実装案

実装上の考慮点

セキュリティ対策を実装する際に考慮すべき点

運用上の考慮点

セキュリティ対策を運用する際に必要となる運用手順や対応手順、決定すべき体制などを記述

～各セキュリティ機能項目ごとに上記内容を記述～

各セキュリティ機能に関する記述内容の項目

総合評価

Ｇａｐ分析評価結果サマリー　×と△のみ　「対策必須項目」と「必須ではないが原則対策実施項目」のみセレクトOA使用PC

APLサーバ GWサーバ R DP サーバジョブ管理

サーババックアップ

サーバシステム管理

サーバDBサーバクライアントPC

SNA GWサーバ

CTIサーバ Sagentサーババックアップドメインサーバ

DBサーバMatchＭａｉｌ

サーバ音声応答装置

オペレータ端末

全銀送信端末 Webサーバメールサーバ

１メールサーバ2

ファイルサーバ

伝送サーバコンソールテープバック

アップDBサーバ外部公開バックボーン

重要ネットワーク

URLフィルタリング機器

GWウィルス対策機器

OA使用PC

＃２＃２＃２＃２＃２－Ａ＃２＃２－Ａ＃３－Ａ＃２＃２＃２＃２＃２－Ｂ＃２－Ｂ＃２－Ｂ＃３＃３－Ａ＃４＃４＃４＃２－Ｂ＃６－Ｂ＃６＃２－Ａ＃２－Ａ＃００＃０＃０００＃４＃４＃３

1 「利用者の識別と認証」 △ △ △ △ △ △ △ △ △ △ × × × × △ △ △

2 「システムアクセス制御」 △ △ △ △ △ × △ △ △ × × × × × × ×

3 「データアクセス制御」 × × × × × ×

4 「ネットワークアクセス制御」 × × × × × △ △ △

5 「不正入出力データ排除」 △

6 「送受信制限」

7 「クライアントデータ不正持ち出し制限」 △ × ×

8 「否認防止」

9 「ウィルス対策製品の導入と設定」 × × × × × × × × × × × × × × × × △

10 「ＧＷ型ウィルス対策製品の導入と設定」

11 「ハードニング」 △ × × × × × × × × × × ×

12 「セキュリティパッチの適用」 △ △ △ △ △ △ △ △ × × × × × × × × × △ △

13 「セキュリティルール違反クライアント接続排除」

14 「持ち込みクライアント接続排除」

15 「保管データ保護」 × × × × × × × △ × ×

16 「転送データ保護」 × × × × × × × △ △ × × × × ×

17 「データ冗長化」

18 「システム冗長化」 × △ △ × △ △ △ △ △

19 「ネットワーク冗長化」

20 「利用者認証ログ取得」 × × × × × × × × × × × × × × × × × △ △ △ △ △ △

21 「システム認可ログ」 △ △ △ △ △ △ × × × × × × × × × × × × × × × × × × × △ △ △ △ △ △

22 「データ認可ログ」 × × × × × × × × × × ×

23 「ネットワーク通信ログ取得」 △ × △ △ △ × × × × × × × × × × × × × × × × × △ △ △ △ △

24 「保管データ改竄検知」 △ × ×

25 「転送データ改竄検知」 × × × × × △ × × × × ×

26 「システム侵入検知」

27 「ネットワーク侵入検知」

28 「システム異常検知」 × × × × × × × △ △

29 「ネットワーク異常検知」

30 「システムバックアップ」 △ △ △ △ △ △ △ × × × × × × × × × △ △

31 「データバックアップ」 × △ △ △ × × × ×

32 「転送データ再送」

コンポーネント名

モデル名

DACS コールセンターシステム社外向け Web ネットワーク機器システム名称

実

既存システムのGap

分析

セキュリティー整備計画(案)の作成

実装レベルのセキュリティー技術標準策定

実装

セキュリティー

予算パフォーマンス

キャパシティーe.t.c

ポリシー Gap分析初期整備計画導入計画実装

IBM セキュリティー技術標準策定支援サービス

IBM CSIRT研修

51

（続き）

■ 幅広くワンストップで対応：プラットフォームや製品ベンダーによらず幅広くご支援。■ お客様環境を踏まえたご支援：事前連携強化による的確・迅速な有事対応支援。■ 電話での一次サポート：現地駆け付けだけでなく電話でのご支援も提供。

IBM エマージェンシー・レスポンス支援サービス (ERS)

高度な専門スキルが必要なセキュリティ・インシデント対応に、プロフェッショナルを派遣してご支援

フォレンジック調査支援

52



53






人的

組織的





技術的






Fake AP



負荷分散

OS Firewall





物理的

環境的





54

Cloud型リバースプロキシを使ってSoftLayerに入ってくる前に防御

ImpervaIncapsula , CDNetworks, Akamaiなど

Web アプリケーションファイアウ

ォール

DDoS

Protection

コンテンツデリバリ

ネットワーク（CDN)

ロードバランサー&

GSBL

正規ユーザー

• Webサイトへのトラフィックを、SoftLayerにアクセスする前にクラウド型リーバスプロキシシステムを経由するようにルーティングすることで、不正なアクセスを排除しSoftLayer上のサーバーへの直接攻撃を防ぐことが可能になります。

• 一般的に、送信元IPやCountry情報やHTTPパラメーターを元にしたフィルタリングも可能です。

クラウド型リバースプロキシを通らずにSoftLayerに入ってくる経路は許可しない

SoftLayer上のワークロード

55

SoftLayerが実装しているDDoS防御SoftLayer の DDoS対応

• ある特定のサーバー攻撃を受けることによってSoftLayer上のNW機器のリソースが逼迫し、攻撃を受けていない他のIPアドレスまでも利用できなくなることを防ぐことが目的

• SoftLayerによる共通サービスであるため、利用者ごとのカスタマイズは不可

• Cisco Guard/Arbor Peakflow/ Arbor ATLAS Global Traffic Analyzer/Radwareなどを使って、PoPを通過するトラフィックを監視し、DDoSのパケットを検知した際に対策を実施

• モニタリングは24/365体制にてNOCで集中監視


DDOS対策機器

閾値監視

SoftLayer データセンター


DDOS対策機器

DDoS攻撃の検知がされたら、何が起こるか？

◆第一フェーズ

• 攻撃を検知すると、攻撃対象へのトラフィックをDDOS対策機器へ転送し、一定期間そのIPアドレスへの経路を完全に無効化（null

route)

• DDoSアタックが終了すると、トラフィックは通常のルートに戻る

◆第二フェーズ

• 攻撃が継続しトラフィックが増大するなどして、更なる保護が必要だとNOCで判断されると、問題が解決されたとみなされるまで、そのIPアドレスへの経路を無効化（null route)

対象IPへの経路を無効化

SoftLayer データセンター

正常時

DDoS検知時

56

SoftLayer PoP

Equinix社データセンター

東京データセンター

SoftLayer PoD

お客様コロケーションエリア

SoftLayer接続パターン

EquinixCloud Exchange

お客様コロケーションエリア

任意のクライアント-サーバー型VPN

SSL VPN, PPTP VPN

拠点間IPSec VPN

任意の拠点間VPN

アカウントごとのNW

Vyattaやユーザー持込のVPN Software

Soft

Layer

ネット

ワー

ク

IBM幕張データセンター

SoftLayer VPNサービス（管理用途）

Direct Link NSP

お客様のコロケーションエリアなので、機器（ホスト、UNIX、セキュリティー機器、HWアプライアンス、ストレージ機器、回線など）の配置が可能！

Internet

専用線

専用線

専用線

専用線

他社クラウドと接続

Direct Link Cloud


CMS SLi

他リージョンのSoftLayer

PoPSoftLayer

Global WAN

他リージョンのSoftLayer

PoD

57

SoftLayer VPNサービス利点

– SoftLayer管理のため、利用者が別途VPNサーバーを構築・運用する必要がない。

– Public NWを使っていないので、Outbound Bandwidthに対しても課金されない。

– Public NWを使わずにアクセスできるので、セキュアな通信が可能。

– SSL VPN/PPTP VPNは、手動で特定のVLAN上のサブネットのみにアクセス許可を与えることが可能。

• つまり、VPN経由でも直接一般サーバーにアクセスすることを防止し、踏み台サーバー経由でアクセスすることを強制する仕組みが可能。

踏み台サーバー

58

(続き）注意点：

– SoftLayer提供のVPNサービスは管理用途（SSH接続やRDP接続）を目的としている。よって、SoftLayerへのファイル転送には向いていない。

SoftLayer管理のNW Zone

アカウント毎に割り当てられたNW Zone

①

②

回避策1:

– 独自に、VyattaなどでVPNを構築する（ただし、Public NW経由になるので、Outbound Bandwidthが発生する。

回避策2:

– Object Storageにインターネット経由でファイルをSFTPやpython-swiftなどでuploadし、Object StorageからはPrivate NW経由でダウンロードする。（サーバー側に割り当てられたPublic NWは使用しない）

参考URL:

http://qiita.com/testnin2/items/

64f934f61bcaf7ac2572

59

SSH/RDPアクセスのためのFirewall構成

Public NWを完全に閉じて、専用線やVPNなどを使ってPrivate NW経由でアクセスする

パスワードは十分に複雑である（Linuxでは秘密鍵暗号化方式が使えるならそちらが望ましい）

Firewallで不要なポートはすべて閉じている

Firewallで接続元IPアドレスを制限している

SSHやRDPにWell-known port番号を使用しない

アクセス履歴を定期的に確認する

方法１ ✔ ✔ ✔

方法２ ✔ ✔ ✔ ✔

方法３ ✔ ✔ ✔ ✔

– SoftLayerのサーバーは、初期注文時にはFirewallが構成されていない。

– Firewallは、開いているポートに対する攻撃を緩和することはできない。

– Firewallは（できればVyatta Gateway ApplianceとOSのように）多重で構成する。

– 最低でも以下のどれかの方式を採用する。これ以上の対策ができることが望ましい。

60

ファイアーウオールの選択基準

特徴OS

ファイアウォール

ハードウェアファイアウォール（共用型）

ハードウェアファイアウォール（専用型）

FortigateSecurity

Appliance

VyattaGatewayAppliance

適用範囲OS（パブリックIP、プライベートIP）

サーバーのPrimary IPアドレス１個（ポータブルIPは不可）

パブリックVLAN x1個

パブリックVLAN x1個

パブリックVLAN x NプライベートVLAN x N

共用／専用専用(OS) 共用(HW機器) 専用(HW機器) 専用(HW機器) 専用（物理サーバ）

HA構成 n/a コールドスタンバイ可能可能可能

保護対象Inbound/Outbound

Inboundのみ InboundのみInbound/Outbound

Inbound/Outbound

性能サーバー能力に依存するが、負荷は微少

10Mbps〜2000Mbps

〜1Gbps 〜1Gbps〜10Gbps(NICリンク速度に依存）

その他の特徴

・OSにバンドルされるFWまたは別途購入

・ログを取得するためには、定期的にCustomer Portalでダウンロードするか、APIを使う必要がある

・ログを取得するためには、定期的にCustomer Portalでダウンロードするか、APIを使う必要がある・高価

・FortiGuard AV, NGFW, Web Filteringのオプションあり・運用が自己責任・Syslog転送やtimezone変更などができない、シグネチャーの更新タイミングが制御できない等の制限あり・高価

・IPSec VPN/GRE/NAT/VLANトランク/ルーティングなど、豊富なルーター機能を利用可能であり、ゾーニングに利用可能・プライベートVLANも保護可能・高価

１つのVLANに対してどれか１つのFWしか適用できない

一般にVyatta Gateway ApplianceとOSファイアウォールを兼用することを推奨

61

（参考）ファイアーウォール構成

Vyatta(Router + Firewall)

Inboundパケットは、Hardware

FirewallやFortigate FirewallがユーザーVLANに入ってくる前で保護

Vyatta Gateway Applianceは対象のVLANを紐付けて、Vyatta

自身がユーザーVLANに入ってくる前で保護

①あるPublic VLANは、Vyatta/Hardware Firewall/Fortigateのどれか１つで保護する。FWを兼用できない。（既に紐付け済みのVLANに対してFWの注文ができない）

Hardware Firewall or

Fortigate Security Appliance


②Vyatta Gateway Appliance自体をHardware FirewallやFortigate で保護することはできない

VyattaのVLANに対してFirewall

機器を注文しようとすると、”The

selected VLAN is a transit

VLAN and therefore ineligible

for a dedicated firewall.”というエラーメッセージがでる。

このサーバーのdefault gatewayはVyatta

このサーバーのdefault gatewayはFirewall機器

62

ロードバランサーの選択基準特徴

Nginxやmod_proxyなどのOSSやソフトウェ

ア持込み

ローカルロードバランサー（共用型）

ローカルロードバランサー（専用型）

CitrixNetScaler VPX/MPX

適用範囲パブリック、プライベートパブリックのみ(1IPのみ）パブリックのみパブリック、プライベート

共用／専用専用(OS) 共用(HW機器) 専用（HW機器） VPX: 専用仮想サーバー

MPX: 専用HWアプライアンス

HA構成可能コールドスタンバイ可能可能

配置場所

ユーザーVLAN Hardware Firewallより更に前段にありNATするため、特定サイトからの接続を防ぐFW構成が不可のため、Webサーバー側での

保護が必要（次ページ参照）。

Hardware Firewallより更に前段にありNATするため、特定サイトからの接続を防ぐFW構成が不可のため、Webサーバー側での保護が必要（次ページ参照）。

ユーザーVLAN

性能情報採用製品・サーバーリソースに依存

最新情報はhttp://www.softlayer.com/tco/pdf/Compare_LoadBalancers_us-en.pdfを参照

SSLオフロード採用製品・サーバーリソースに依存

ありあり v10.5 Build 57.7からTLS1.1. TLS1.2に対応

AutoScale機能との連携

なしありありなし

その他の特徴

・自前でライセンス購入・導入が必要・ただし、ライセンス持込によって、購入元から日本語でのサポートが受けられる

比較的安価・高価・高価

・NetScaler VPXを利用するにしても、代理店経由で

購入したライセンス持込みタイプにした方がベターかも。

http://www.softlayer.com/tco/pdf/Compare_LoadBalancers_us-en.pdf

63

（参考）

送信元IP

送信先IP(Load

BalancerのVIP)

データ

送信先IP(Load

BalancerのIP)

送信先IP(割り振り先IP）

データ

Local Load Balancer Hardware

Firewall

Load Balancer

(OSS, NetScalerなど）Hardware

Firewall

ローカルロードバランサーのケース

OSS/NetScalerなどのケース

SNAT/DNAT

Webサーバー側でHTTPヘッダ(X-FOWARD-FOR)を見てアクセス制御＋ロギングの設定は必須！（参考リンク）：http://qiita.com/testnin2/items/037e1337a1d9b5f13231）

Firewallから見ると、すべてLoad Balancerからパケットが来たように見えてしまうため、接続元IPを使って制限ができない。

Webサーバーから見ると、すべてLoad Balancerからパケットが来たように見えてしまう

http://qiita.com/testnin2/items/037e1337a1d9b5f13231

64

NWゾーニング構成例１

SoftLayer

Backend Service

Endurance

Storage

Performance

Storage

NTP Patch

• Publicからの接続は全く行わないというある意味割り切った方法

• SSL VPN/PPTP VPNを利用。ただし、これらは運用用途を意図した接続であり、ファイル転送などの高速接続には適していないことに注意

• 専用線を使ってもよい

「インターネット隔離」パターン

お客様拠点(LAN）

インター

ネット

Load Balancer

65

NWゾーニング構成例2-1

SoftLayer

Backend Service

Endurance

Storage

Performance

Storage

NTP Patch

インター

ネット Local

Load

Balancer

Hardware

Firewall

• 共用型のLocal Load BalancerやHardware Firewallを利用することで価格を抑える。

• Local Load BalancerでSNAT/DNATが実行されるので、FirewallはLocalLoad Balancerからしか来ない。そのため、「特定のIP rangeからしかWebアクセスできないようにブロックする」といった構成は、HTTPヘッダ（X-Foward-For）を使ってWebサーバ側で制御する必要がある。

• Hardware FirewallはInboundのみ制御可能。Outboundは不可。可用性に制約あり。

「最小構成でお安く」パターン

66

NWゾーニング構成例2-2

SoftLayer

Backend Service

Endurance

Storage

Performance

Storage

NTP Patch

インター

ネット Hardware

Firewall

• 単一ゾーン• 共用型のLocal Load BalancerやHardware Firewallを利用することで

価格を抑える。• Hardware FirewallはInboundのみ制御可能。Outboundは不可。可用

性に制約あり。

「最小構成でお安く」パターン

Load Balancer

67

NWゾーニング構成例3Routing Zone

DMZ Zone

Web/AP Zone

SoftLayer

Backend Service

Endurance

Storage

Performance

Storage

NTP Patch


Load Balancer



VPN GW

IPSec VPN

DB Zone

• Vyattaがボトルネックになりやすいので、10GbpsのNICを採用し、冗長化することを推奨。

• VyattaからDNATでPrivate NW経由でLoad Balancerに転送するのも１つの方法。

• DMZ ZoneとWeb/AP Zoneは同一Zoneとして、両者の間のアクセスはVyattaを経由させないようにするのも１つの方法。

「定番構成」パターン（まずはこれを基本に考える）

68

NWゾーニング構成例4

DMZ Zone

Web/AP Zone

SoftLayer

Backend Service

Endurance

Storage

Performance

Storage

NTP Patch

Load Balancer


DB Zone

「Fortigate/Hardware FW」パターン

Routing Zone


• SoftLayer上でのForigateやHardware Firewallの運用上の制約を理解した上で利用したい場合に使用。

• VyattaはPrivate VLAN間の通信制御やVPN接続のみに利用している。

Fortigate Security

ApplianceやHardware FW


VPN GW

IPSec VPN

69

NWゾーニング構成例5Vyatta Zone

SoftLayer

Backend Service

Endurance

Storage

Performance

Storage

NTP Patch


vSwtich

VLAN=

1101

VLAN=

1103

VLAN=

1102

vCe

nter

VM2

VM3

VM4


SoftLayerのサポートに依頼して、Native VLAN1101に所属する持つNICに対して、 VLAN1102/1103をTrunkしてもらう（NICを増設する訳ではない）。

VLAN1102/1103を購入し、VyattaにVLAN Interfaceを構成する。

VMWare利用時のパターン

vSwtich

VLAN=

1101

VLAN=

1103

VLAN=

1102

VM6

VM7

VM8

70

NWゾーニング構成例6Vyatta Zone



VMWare NSX利用時のパターン

VM

wa

re N

SX

VMWare NSXを利用する利点• VXLANによる仮想ネットワークによって、マルチテナント環境（開発環境、検証環境）を同一物理サーバー上で幾つで

も作成可能。もちろん複数サイトにまたがったL2延伸や物理ネットワークとのVLAN-VXLAN bridgeも可能。• 分散ルーターによって、セグメントをまたぐ通信であっても、毎回上位ルーターを経由するヘアピン通信を防ぐことが可能。• 分散ファイアーウォールによるマイクロセグメンテーション（vNICごとにFWルールを設定できる）が使える。• ロードバランサーやSSL-VPNもVMware NSXのライセンスがあれば利用可能。

SoftLayer

Backend Service

71

（参考）VMware NSXのマイクロセグメンテーション

VMVM VM

VMVM VM


境界型FWで内部拡散を防ぐ事は困難

標的型攻撃など

従来のセキュリティー対策

• ネットワーク・セグメントの境界に設置した境界型ファイアウォールで保護

• 標的型攻撃や内部犯行などで一度内部に侵入された場合、内部拡散を防ぐことが困難

• 各VM単位でファイアウォールを設置することで内部拡散を防止することも可能だが、OS上で稼動するソフトウェア・ファイアウォールは、感染により無力化されてしまう恐れがあり、また、個別に設定・管理を行う必要があるため運用コストの観点から実現が困難

NSX

分散ルーター

分散ファイアウォール

vSphereセグメント A セグメント B

ESXi

セグメント単位ではなくVM単位で通信制御が可能

WebWeb DBDB

NSXによるセキュリティー対策

• VM単位でファイアウォールを設定するマイクロ・セグメンテーションを実現

• IPアドレス単位ではなくvCenterのオブジェクト単位（仮想マシン、クラスター、リソースプール等）で指定することが可能

• 個々のハイパーバイザーで分散処理を行うため、容易にスケールアウトが可能

• ルール設定はNSXから一元管理できるため、運用負荷を低減

• サードパーティー製品（例:トレンドマイクロ社Deep Security）と連携させる事で、マルウェアやウイルスへの感染が検知されたVMを、自動的にネットワークから隔離することも可能

72

Nessus脆弱性スキャン

SoftLayerで無償提供の脆弱性スキャナーを使って、気付かなかったサーバーの弱点を分析し、セキュリティを向上するための糸口を検出します。

•SoftLayerポータル画面から、サーバーを指定して脆弱性スキャンを実行するだけ。•脆弱性レポート結果に、対応策が提示されています。•脆弱性を試験するプログラム（プラグイン）は、SoftLayer側で管理され、最新の状態となっています。

脆弱性

レポート

脆弱性スキャナー

73

スキャン結果例

74

SSL証明書参考:

https://www.geotrust.co.jp/ssl_guideline/compare/ovdv.html

http://serverkurabe.com/ssl-matome/

https://www.symantec.com/ja/jp/page.jsp?id=compare-ssl-

certificates

個人用途

ドメイン認証（DV）

企業認証/法的実在証明（OV）

EV認証/物理的実在証明（EV）

EV認証/物理的実在証明（EV）

企業認証/法的実在証明（OV）

https://www.geotrust.co.jp/ssl_guideline/compare/ovdv.html

http://serverkurabe.com/ssl-matome/

https://www.symantec.com/ja/jp/page.jsp?id=compare-ssl-certificates

75



76






人的

組織的





技術的






Fake AP



負荷分散

OS Firewall





物理的

環境的


セキュア・ゾーニング。セキュア・オフィス・施設・設備・什器（入退出管理、監視カメラ、バイオメトリクス認証/盗難・紛失防止備品）



77

Evaultの暗号化機能

暗号化アルゴリズムの種類• AES 256 bit• DES 56 bit• Blowfish 56 bit• Triple DES 112 bit• Blowfish 128 bit• AES 128 bit

78

Idera/R1Softの暗号化機能

暗号化アルゴリズムの種類• AES 256 bit

79

NetApp様: NetApp AltaVaultクラウド統合ストレージAltaVaultは、物理アプライアンス、仮想アプライアンスに対応しているため、SoftLayerのObject Storageに安全かつシンプルにバックアップが可能です。

効率性：インラインの重複排除と圧縮によって、データボリュームを最大30分の1に削減

オープン：既存のバックアップアーキテクチャやお好みのプライベートクラウドプロバイダと容易に統合

安全性：FIPS 140-2レベル1に準拠する暗号化により、保存中または移動中のデータにもエンドツーエンドの完結したセキュリティを提供

シンプル：わかりやすい管理コンソールを使って、30分未満で、保護環境をゼロから導入可能

http://solutionconnection.netapp.com/npsforsoftlayer

80






人的

組織的





技術的






Fake AP



負荷分散

OS Firewall





物理的

環境的





81

IBM Eメール・セキュリティー管理サービスアンチウィルス機能

• 既知・未知問わずすべてのウィルスを検知し遮断するために、複数の商用スキャナーと特許取得の人工知能Skepticを併用。

• ウィルスのDNAを分析し、シグネチャーだけに依存せずにプロアクティブに保護。• ウィルスが直接添付されておらず、URLのリンク先にウィルスが仕掛けられている場合もプロアクティブに

分析。

アンチスパム機能• 公開ブラックリスト、ホワイトリスト、ブラックリスト、シグネチャリング、すけぷてぃっく技法が利用可能。• 1500以上の独自ルールにより迷惑メールを判定し、隔離。

コンテンツコントロール機能• メールの利用方針に基づく管理（添付ファイル形式、メールサイズ、不適切な用語、送信者・受信者

制限、利用時間制限など）

http://www-935.ibm.com/services/jp/ja/it-services/jp-so-its-email_sec.html

本サービスご利用のお客様でEメールによるウィルス感染はゼロ。（過去7年以上の実積）

82

IBM Managed Security Services for Web Security

クラウド環境もしくはお客様ネットワーク環境

ウェブ・セキュリティー・センター

危険なサイト

ウィルスに感染するサイトウェブへのアクセスは全てウェブ・セキュリ

ティー・センターを経由して検査されます。

リモート・ユーザーも設定によりウェブ・セキュリティー・センターを経由して検査されます。

http://www-935.ibm.com/services/jp/ja/it-services/iss-mss-websecurity-00.html

ウェブ・アンチウィルス/アンチスパイウェア• 危険なサイトへのアクセスによる、スパイウェアやアドウェアのダウンロードをブロック、ウィルスとマルウェアを除去することで、

ユーザー・クライアントへの侵入、感染を防止。

ウェブURLフィルタリング• 高性能なURL分類データベースと、強化されたポリシーエンジン、カスタマイズ可能なブロックメッセージやグループ・ユー

ザー単位のレポーティングを提供。

フル・マネージド・サービス• ウェブ・セキュリティー・センターにて、ユーザーのウェブ・アクセスを監視、セキュリティー対策による導入コストや運用管理

負担を軽減。複数のセキュリティー・センターによる運用で高い可用性を実現。

83






人的

組織的





技術的






Fake AP



負荷分散

OS Firewall





物理的

環境的





84

Intel Trusted Execution Technology(Intel TXT)

参照：http://www.softlayer.com/intel-txt

1. Power ON時にIntel

TXTがBIOS/Firmware

を確認

2. Hypervisorが正しいことを確認

3. OS、アプリを起動

2. Hypervisorが不正であることを検出

3. Hypervisorの起動が中断

Intel TXTはハードウェア支援型のセキュリティ技術であり、Hypervisorの起動前に、BIOS/Firmware/Hypervisorが適合であることを確認できる技術です。

85

Hardware Security Module(HSM)

一般的な鍵管理と欠点• ファイルシステムへ鍵を保管し、OSやミドルウェアやアプリケーションによる制御を実施する。そ

のため、OSやミドルウェアやアプリケーションにセキュリティーホールがあるリスクがある。• 鍵利用時にはメモリ中に展開する。そのため、メモリーダンプを取られることで読み取られる可

能性があり（鍵データは乱数性が高いので簡単に見分けが付く）

Luna SA HSMによる暗号鍵管理の利点• 不正操作から防御するセキュアな鍵管理（メモリダンプやサイドチャネル攻撃から防御）• 高速な暗号演算処理（暗号化、復号化、署名、検証）• 物理的な改竄の痕跡を残さずに鍵を取り出せないように FIPS 140-2 Level 2認定済み

主なユースケース• SSL/TLS: 秘密鍵のセキュアな保管とライフサイクル管理＋SSLアクセラレーション• Oracle DB/SQL ServerのTransparent Data Encryption (TDE)機能におけるマス

ターキー保管。• アプリケーション配布時のコード署名• クラウドアプリケーションの暗号演算処理（例：ブロックチェインにおけるledger

transactionの電子署名や、金融および決済サービスをクラウド上で扱う際の暗号化など）

https://knowledgelayer.softlayer.com/learning/le

arn-more-about-hsm

86

IBM SoftLayer上のセキュリティ対策に最適なTrend Micro Deep SecurityTrend Micro Deep Securityは現在のサーバが抱えているセキュリティ課題を仮想・クラウド・物理環境にまたがって、トータルに解決する統合型サーバセキュリティソリューションです

OS上にインストールするエージェント型と、VMWare上にVirtual Applianceとして導入することでゲストサーバーにエージェント導入を不要とするエージェントレス型が存在します。SoftLayerでは物理サーバーを提供しているため、どちらのタイプも利用できます。

87

標的型攻撃対策：FFR yarai (FFRI, Inc.)

• パターンに依存することなく、標的攻撃型マルウェア、既知マルウェア、未知マルウェアによる脆弱性攻撃やゼロディ脆弱性の防御に対応。

• アンチウイルスソフトと組み合わせることで、アンチウイルスソフトを回避する攻撃に対して多層的に防御可能。

http://jslug.jp/images/CloudSecurity.pdf

88

ベル・データ様:セキュアクラウドサービス Website GUARDIAN

ウェブサイトの改ざんを瞬間検知・瞬間復旧！ファイル・ディレクトリの追加/削除/変更/権限変更に完全対応。

改ざん検知・瞬間復旧「WebARGUS®」(*1)が、ウェブサイトが改ざんされても1秒未満で

元の正常な状態にウェブサイトを自動復旧します。

*1 開発元：デジタル・インフォメーション・テクノロジー株式会社WebARGUS®とは

89

IBM QRadar Security Intelligence Platform

IBM QRadar Security Intelligence (Hybrid Cloud , SoftLayer 用)

• 複数のクラウド・デバイスとの統合– IBM SoftLayer ‒ Qualys– Amazon CloudTrail ‒ CloudPassage– Salesforce.com ‒ IBM Security Trusteer Apex – Zscaler ‒ OpenStack

• 組み込みの暗号化機能と、クラウドとオンプレミスのデータ・センター間の圧縮データ転送機能

• SoftLayer、Amazon Web サービス (AWS) へインストールすることにより、物理、仮想、クラウドの各インフラストラクチャーにわたるイベント・データやフロー・データを可視化

社内システムとクラウド上のセキュリティー状況をリアルタイムに分析

SOCとの連携については、別途ご相談下さい。す！

90

IBM Security Guardium family

IBM InfoSphere Guardium 製品は、データ・センターの情報のセキュリティー、プライバシー、および整合性を確保するのに役立ちます。

クラウド環境における企業データの保護

IBM InfoSphere Guardium Data Activity Monitoring (SoftLayer,AWS 用)

•クラウド環境における機密データのアクセスをモニタリング

•クラウド環境における機密データを自動的に検出、分類、評価

•クラウドの仮想イメージ上に展開されたデータベースに対する一元化された監査機能

（参考）その他のfaimiiy製品IBM Security Guardium Data Encryption: 機密データが盗まれたり、誤用されたり、公開されたりする事態を防止します。IBM Security Guardium Data Redaction:非構造化文書、フォーム、およびグラフィックの機密データを自動的に認識して削除します。IBM Security Guardium Vulnerability Assessment:データベース・インフラストラクチャーをスキャンし、ぜい弱性を検出して、是正措置を提案します。

脆弱性の特定と、機密データを狙った攻撃に対する防御

http://www-03.ibm.com/software/products/ja/ibm-security-guardium-data-encryption

http://www-03.ibm.com/software/products/ja/ibm-security-guardium-data-redaction

http://www-03.ibm.com/software/products/ja/security-guardium-vulnerability-assessment

91

NetApp様: Private Storage for SoftLayer SoftLayerのクラウドサービスを専用のエンタープ

ライズストレージで拡張できます。

どうしてもクラウドに配置したくないデータを、クラウド上のサーバーから利用することが可能。

– http://www.netapp.com/jp/solutions/cloud/private

-storage-cloud/softlayer.aspx

– http://www.netapp.com/jp/system/pdf-

reader.aspx?cc=jp&m=ds-

3619.pdf&pdfUri=tcm:36-127472

92

DB2 Native Encryption

・CREATE DATABASE mydb ENCRYPT;

・どのプラットフォームでも・どのトポロジーでも（DPFやpureScale含む）・クラウドでも、アプライアンスでも

DB2 10.5 FP5～（FP6以降の適用を強く推奨）。AESE, AWSEで追加フィーチャーなしで使用可能。その他のEditionではIBM DB2 Encryption Offeringにより提供

・表スペース・全てのデータタイプ(LOB, XML含む）・トランザクションログ（アクティブ、アーカイブ）・LOAD COPYファイル・ダンプファイル・バックアップ

ポイント1: アプリケーション変更不要: デフォルトはAES256

ポイント2: DB2が動く環境であれば利用可能

ポイント3: データベースの全てのデータが暗号化対象

93



94

まとめ

パートナー様・製品・構築・運用サービス・ソリューション

ユーザー様

責任分解点

協業・フィードバック

95



96

SoftLayerに標準で選択可能なセキュリティサービス:1(全般)

種別名称特徴・仕様

データセンターレベルのセキュリティ

各種コンプライアンスに準拠し認定を取得 SoftLayerのセキュリティ管理は、NIST 800-53 frameworkをベースとしたUS政府標準に従う。

第三者監査機関によって、運用まで含めて監査を受けており、各種認定を取得している。詳細は後述のページを参照。

Customer PortalへのアクセスおよびAPIへのアクセス

SSL TLS1.2に対応。

APIはPublic NWだけでなく、Private NW経由でアクセス可能。

ユーザーごとのリソースへのアクセス制御

SoftLayer Customer Portal ユーザーごとに操作権限を付与・剥奪可能。

接続元IPを制限することが可能。

ログイン履歴情報を閲覧可能。

二要素認証

Google Authenticator

Symantec Identity Protection（有償）

Phone-based authentication（有償）

ポータルログイン時に組み合わせ可能な二要素認証サービス。

SoftLayerが暗黙的に対応

97

SoftLayerに標準で選択可能なセキュリティサービス:2(ネットワークレベル)


DDoS防御

Cisco Guard DDoS protection

Arbor Peakflow traffic analysis

Arbor ATLAS Global Traffic Analyzer

Radware

データセンターレベルの保護に利用。

Threat management system (TMS)

脅威の発生点を特定するための能動的な活動を実施。

ファイアウォール

Standard Hardware Firewall（有償）サーバーのPrimary IPのみを保護する共有型FW

Public VLANのInboundのみ制御

カスタマーポータルからFWルールを制御可能

Dedicated Hardware Firewall（有償） Public VLANレベルの保護が可能な専有FW

Public VLANのInboundのみ制御

カスタマーポータルからFWルールを制御可能

Fortigate アプライアンス（有償） Public VLANレベルの保護が可能な専有FW

Public VLANのInbound/Outboundが制御可能

アプライアンス製品を直接構成

脆弱性診断 Nessus vulnerability Assessment &

Report Public VLANに接続するサーバーに対して脆弱性検査を

実施し、レポートを発行。

VLAN

VLAN（有償）アカウント専有のBroadcastドメインの境界

Public用VLAN, Private用VLANが存在。複数購入可能することで、セグメント化が可能。

ファイアーウォール & ルーター & VPN

Vyatta Gateway Appliance（有償）複数VLAN間のルーティング機能を提供

Public VLAN, Private VLANのInbound/Outbound制御が可能。

IPSec VPN Endpointの提供


98



ロードバランサー & WAF

Shared Local Load Balancer（有償） Public VLANに割り振り可能なロードバランサー（共用型）。SSL-Offload機能あり。

ポータルから割り振りルールを設定可能

Dedicated Local Load Balancer（有償） Public VLANに割り振り可能なロードバランサー（専有型）。SSL-Offload機能あり。

ポータルから割り振りルールを設定可能

NetScaler VPX（有償） Public VLAN/Private VLANに割り振り可能な専有仮想アプライアンス。SSL-Offload機能あり。

Platinum Editionに限っては、WAF機能あり。

NetScaler MPX（有償） Public VLAN/Private VLANに割り振り可能な専有HWアプライアンス。SSL-Offload機能あり。

Platinum Editionに限っては、WAF機能あり。

VPN SSL、PPTP VPN （クライアント用）

IPSec VPN サービス（サイト間。有償）

運用に利用するネットワーク回線セキュリティ機能の提供

専用線 Direct Link（有償） SoftLayerのPOPまで専用線を引き込むことで、オンプレ

ミス-SoftLayer間をセキュアかつ安定した性能で接続可能。

CDN(Content Delivery Network)

EdgeCast CDN（有償）追加Add-Onを購入することで、専用ポータルからSSL, Custom Certificate, CookieやSignatureベースのキャッシュコントロール、CORS(Cross-Origin Resource Sharing)等への対応が可能。


99



SSLサーバー証明書

Rapid SSL（有償）

QuickSSL Premium （有償）

GeoTrust True BusinessID（有償）

Symantec Secure Site（有償）

GeoTrust True BusinessID with EV（有償）

Symantec Secure Site with EV（有償）

各社から提供されているSSL証明書

暗号化と鍵保管

Hardware Security Module(HSM)（有償）暗号化鍵のセキュアな保管。

FIPS 140-2 Level 2準拠。

SSL アクセラレーション、TDE、Codeサイニングなどにも利用可能。


100

SoftLayerに標準で選択可能なセキュリティサービス:5(ストレージレベル)


ドライブワイプ操作Defense (DoD) 5220.22-m standards対応ドライブワイプソフトウェア

DoD（防衛省）によって認可されたドライブワイプソフトウェアによって、デプロビジョニング時にデータが消去される。

バックアップデータ暗号化

eVault（有償）ファイルレベルのバックアップソフトウェア

バックアップ時オプションとして以下の暗号化方式が選択可能。• AES 256 bit• DES 56 bit• Blowfish 56 bit• Triple DES 112 bit• Blowfish 128 bit• AES 128 bit

Idera / R1Soft（有償）ディスクレベルのバックアップソフトウェア（ただし、ディレクトリ・ファイルレベルやパターン指定でバックアップ対象を除外可能）

バックアップ時オプションとして以下の暗号化方式が選択可能。• AES 256 bit

ストレージアクセス方式

Object Storage（有償） SoftLayerが提供するオブジェクトストレージ。実装はOpenStack Swiftを採用。

Public NW経由だけでなく、Private NW経由でアクセス可能（通信料金不要）

Performance Storage/Endurance Storage（有償）

SoftLayerが提供するiSCSIおよびNFSストレージ。 Customer Portalにて、明示的にAuthorized指定したサーバーからのみマウント可能


101

SoftLayerに標準で選択可能なセキュリティサービス:6(サーバーレベル)


サーバー

Public Virtual Serve（パブリック仮想サーバー）（有償）

CiTRIX XenServerで稼動する仮想サーバー

ホストサーバーは複数アカウントで共用

Private Virtual Server（プライベート仮想サーバー）（有償）

CiTRIX XenServerで稼動する仮想サーバー

ホストサーバーを単一アカウントで専有

Bare Metal Server（物理サーバー）（有償）

OSやHypervisorの持ち込みが可能な物理サーバー

ホストサーバーを単一アカウントで専有

ハイパーバイザーのオーバーヘッドを省くことで高速なパフォーマンスを実現可能であり、独自の統制を取りやすい。

パッチサービス

Windows server Security Update Services (WSUS)

Windowsで利用可能

Private NW上に、パターンファイル配布サーバーが設置されているため、インターネットに接続せずにシグネチャーを更新可能。

パッケージ・レポジトリサービス Linuxで利用可能



102

SoftLayerに標準で選択可能なセキュリティサービス:7(サーバーレベル)


ソフトウェア・ファイアウォール

Microsoft Windows Firewall Windowsで利用可能。

サーバー毎のファイアウォール機能を提供し、各サーバーごとの個別の設定が必要

iptables / firewalld

APF Software Firewall for Linux

Linuxで利用可能。

サーバー毎のファイアウォール機能を提供し、各サーバーごとの個別の設定が必要

アンチウィルス・アンチスパイウエア

McAfee Windows VirusScan Anti-Virus Windows（有償）



ホストベースのIDS

McAfee Host Intrusion Protection w/Reporting （有償）


サーバー毎の侵入検知機能を提供


Intel TXT

Intel TXT(Intel Trusted Execution Technology) （有償）

ハードウエア・レベルのセキュリティー機能

仮想マシンが起動される前に、BIOS/Firmware/Hypervisorが信頼できるものであるかを検査することが可能。


103

カスタマーポータルアクセス権限一覧(1)

大分類項目説明

Support View Ticket

Add Ticket

Search Ticket

Edit Ticket

View Tickets by Hardware Access

View Tickets by Virtual Server Access

View All Tickets

Ticketを参照できるTicketを起票できるTicketを検索できる既存のTicketに再質問できるアクセス権のあるベアメタルに関連するもののみ参照できるアクセス権のある仮想マシンに関連するもののみ参照できる本アカウントに関連するすべてのTicketを参照できる

Devices View Hardware Details

Manage Device Monitoring

View Virtual Server Details

Reboot server and view IPMI system information

Hardware Firewall

Manage Firewalls

Upgrade Server

Upgrade Port

Edit Hostname/Domain

Software Firewall Manage

Manage Load Balancers

Issue OS Reloads and Initiate Rescue Kernel

Manage Port Control

Manage Auto Scale Groups

ベアメタルの全情報を参照できるデバイスに対するモニタリングを管理できる仮想マシンの全情報を参照できるサーバーの再起動やKVM接続ができるハードウェアFWのログ確認ができるFWのルールの管理ができるベアメタルのCPUやメモリの変更ができるサーバーの帯域の変更ができるサーバーのhostnameやドメインの編集ができるソフトウェアFWを管理できるロードバランサーの管理ができるOSリロードやレスキューカーネルが利用できるサーバーの帯域の変更と切断・接続の変更ができるオートスケールの管理ができる

カスタマーポータルから設定できるアクセス権の一覧です。詳細な説明は、ポータルに記載されていますので、そちらをご参照ください。

104



Network View Bandwidth Statistics

Manage Network Subnet Routes

Add IP Addresses

Manage Network VLAN Spanning

Manage E-mail Delivery Service

Manage IPSEC Network Tunnels

VPN Administration

Manage Network Gateways

アウトバウンドなどネットワーク帯域を参照できるサブネットを管理できるIPアドレスを追加できるVLANスパンニングを管理できるsendGridを管理できるIPSEC通信を管理できるVPNを管理できるGatewayアプライアンス製品を管理できる

Security Request Compliance Report SOCレポートの参照依頼を出すことができる

Services View CDN Bandwidth Statistics

Manage Message Queue

View Licenses

View QuantaStor

Manage DNS, Reverse DNS and WHOIS

Manage Provisioning Scripts

Antivirus/Spyware

Manage Public Images

SSL VPN Allowed

Host IDS

Manage Security

Vulnerability Scanning

View Certificates (SSL)

Manage Certificates （SSL)

Manage CDN Account

Manage CDN File Transfers

Manage SSH Keys

その他いくつかのオプショナル・サービスの権限

CDNの利用状況を参照できるメッセージキューを管理できる利用しているSoftLayer提供のライセンス一覧を参照できるQuantaStorを参照できるDNS、逆引きDNS、WHOIS情報を管理できるプロビジョニングスクリプトを管理できるアンチウィルスやスパイウェアの設定変更、ログ参照ができるパブリックイメージが作成できるSSL VPN接続ができるIDSログが参照できるセキュリティ関連の管理ができる脆弱性検査が実行できるSSL証明書を参照できるSSL証明書を管理できるCDNが利用できるアカウントを管理できるCDNの設定を管理できるSSH鍵の管理ができるチェックすると参照権限のみ、か管理権限を付与できます

105



Account View Account Summary

Add New User

View Account Summary

Reset Password

Forum Access

Add Storage

Add/Upgrade Cloud Instances

Edit Company Profile

Update Payment Details

Submit One-time Payments

Cancel Server

Add/Upgrade Services

Cancel Services

Add Server

Datacenter Access

Datacenter Room Access

View Event Log

課金サマリー情報を参照できる新規ユーザーを登録、編集、削除できる通知先を変更できるカスタマーポータルへのログイン・パスワードをリセットできるフォーラムにアクセスできる外部ストレージを追加、拡張できる仮想マシンの追加、CPUコアやメモリの変更ができる会社情報を編集できる支払い方法を編集できるオンライン決済を利用できるサーバーを削除できるオプション・サービスを追加、編集できるオプション・サービスをキャンセルできるサーバーを追加できる必要に応じてデータセンターに入館できる必要に応じてマシンルームに入室できる本アカウントに関連するすべてのイベントログを参照できる