この記事でわかること
- 以下のAWSマネージドサービスのNTP同期先について知れる
- AWS Managed Microsoft AD
- FSx for Windows File Server
- RDS for SQL Server
- AWSのコンプライアンス関連の情報を知りたい時の問い合わせ窓口について知れる
はじめに
皆さんはAWSマネージドサービスにおけるNTPの同期先について知りたくなる時がありますか?
場面としてはそれほど多くないかと思いますが、タイトルのとおり、PCI DSS要件に関わるシステム構築の機会などであれば、確認する場面があるのではないでしょうか。
まさに自分も、PCI DSS要件に関わるシステム構築案件に携わっていた際に、NTPの同期先について確認する機会がありましたので、本エントリーでまとめます。
PCI DSSにおける時刻同期の要件について
PCI DSS要件としては、以下のように記載されており、その一部を抜粋します。
https://listings.pcisecuritystandards.org/documents/PCI-DSS-v4_0-JA.pdf
10.6 時刻同期メカニズムが、すべてのシステムで一貫した時刻設定をサポートすること
AWSにおける時刻同期について
AWSから、PCI DSSのコンプライアンスガイドが提供されています。
2024/03時点での最新版である以下資料にて、NTP(Amazon Time Sync Service)の記載もあります。
◾️AWS における PCI DSS (Payment Card Industry Data Security Standard) 3.2.1 コンプライアンスガイド
https://d1.awsstatic.com/whitepapers/ja_JP/compliance/pci-dss-compliance-on-aws.pdf
Amazon では、Amazon Time Sync Service を提供します。このサービスはすべての EC2 インスタンスからアクセスでき、その他の AWS のサービスにも利用されます。
上記の記載から、EC2についてはAmazon Time Sync Serviceを同期先としていることが想定できます。
その他マネージドサービスについてはどうでしょうか?「その他の AWS のサービスにも利用されます。」の一文を好意的に読めば、ほとんどのAWSサービスがAmazon Time Sync Serviceを同期先としていると解釈できそうですが、それでは納得できない、理解を得られない場面もあるでしょう。
この時点ですでにNTP時刻同期先を確認するほどですから、この場面に遭遇している(この記事を読んでいる)ということは、セキュリティ要件が高く、明確な回答がほしい機会の方が多いでしょう。
AWSサポートに問い合わせしました
私自身も同じような境遇だったため、当該案件にて利用していた以下のマネージドサービスのNTP同期先がどこなのか、弊社cloudpackからAWSサポートへ問い合わせを行いました。
- AWS Managed Microsoft AD
- FSx for Windows File Server
- RDS for SQL Server
回答としては、以下でした
- AWS Managed Microsoft AD:Amazon Time Sync Service がNTP時刻同期先
- FSx for Windows File Server:AWS Managed Microsoft AD のドメインコントローラーが NTP 時刻同期先
- RDS for SQL Server:NTPを利用しているものの、NTP の同期先の詳細や Amazon Time Sync Service を使用しているか否か等についての情報を公開していない
上記のような回答をいただくことができました。
RDS for SQL Serverについては、同期先を公開していないとのことです。
(ただし、マネージドサービスとして一般的な用途に対して十分な精度で同期されているものと考えてね!とのことで、安心できますね。)
それでも知りたい時はどうする?
結論から言うと、コンプライアンス窓口を紹介いただける可能性があります。
RDS for SQL Serverの他にも、サービスによってはAWSに問い合わせを行っても情報を公開していないものもあるかと思います。
それでも、NTP同期先についてもっと情報を知りたい場合はどうすればよいでしょうか?
担当しているお客様によっては、情報を知りたい場面があるかと思いますので、その旨をAWSにお伝えすれば、コンプライアンス窓口を紹介いただける可能性がありますので、試していただくのが良いかと思います。
私自身は、弊社cloudpackから問い合わせを行った結果、コンプライアンス窓口の問い合わせフォームをご紹介いただけました。
※個人の一般の問い合わせからご紹介いただけるかは定かではありません。弊社がAWSのパートナー会社であるため、ご紹介いただけた可能性もあります。
まとめ
いかがでしたでしょうか。
PCI DSS案件においては、普段あまり意識しない情報に触れる場面が多くあるかと思います。
NTP同期先もその一つではないでしょうか。
本記事がすこしでもどなたかのお役立ちになりますと嬉しいです。
参考
AWSサービスのPCI DSSについては、以下のサイトでも情報が掲載されています
https://aws.amazon.com/jp/compliance/pci-dss-level-1-faqs/