【PCI DSS】AWSマネージドサービスのNTP同期先を知りたい

この記事でわかること

以下のAWSマネージドサービスのNTP同期先について知れる
- AWS Managed Microsoft AD
- FSx for Windows File Server
- RDS for SQL Server
AWSのコンプライアンス関連の情報を知りたい時の問い合わせ窓口について知れる

はじめに

皆さんはAWSマネージドサービスにおけるNTPの同期先について知りたくなる時がありますか？

場面としてはそれほど多くないかと思いますが、タイトルのとおり、PCI DSS要件に関わるシステム構築の機会などであれば、確認する場面があるのではないでしょうか。

まさに自分も、PCI DSS要件に関わるシステム構築案件に携わっていた際に、NTPの同期先について確認する機会がありましたので、本エントリーでまとめます。

PCI DSSにおける時刻同期の要件について

PCI DSS要件としては、以下のように記載されており、その一部を抜粋します。

https://listings.pcisecuritystandards.org/documents/PCI-DSS-v4_0-JA.pdf

10.6 時刻同期メカニズムが、すべてのシステムで一貫した時刻設定をサポートすること

AWSにおける時刻同期について

AWSから、PCI DSSのコンプライアンスガイドが提供されています。

2024/03時点での最新版である以下資料にて、NTP(Amazon Time Sync Service)の記載もあります。
◾️AWS における PCI DSS (Payment Card Industry Data Security Standard) 3.2.1 コンプライアンスガイド
https://d1.awsstatic.com/whitepapers/ja_JP/compliance/pci-dss-compliance-on-aws.pdf

Amazon では、Amazon Time Sync Service を提供します。このサービスはすべての EC2 インスタンスからアクセスでき、その他の AWS のサービスにも利用されます。

上記の記載から、EC2についてはAmazon Time Sync Serviceを同期先としていることが想定できます。

その他マネージドサービスについてはどうでしょうか？「その他の AWS のサービスにも利用されます。」の一文を好意的に読めば、ほとんどのAWSサービスがAmazon Time Sync Serviceを同期先としていると解釈できそうですが、それでは納得できない、理解を得られない場面もあるでしょう。

この時点ですでにNTP時刻同期先を確認するほどですから、この場面に遭遇している(この記事を読んでいる)ということは、セキュリティ要件が高く、明確な回答がほしい機会の方が多いでしょう。

AWSサポートに問い合わせしました

私自身も同じような境遇だったため、当該案件にて利用していた以下のマネージドサービスのNTP同期先がどこなのか、弊社cloudpackからAWSサポートへ問い合わせを行いました。

AWS Managed Microsoft AD
FSx for Windows File Server
RDS for SQL Server

回答としては、以下でした

AWS Managed Microsoft AD：Amazon Time Sync Service がNTP時刻同期先
FSx for Windows File Server：AWS Managed Microsoft AD のドメインコントローラーが NTP 時刻同期先
RDS for SQL Server：NTPを利用しているものの、NTP の同期先の詳細や Amazon Time Sync Service を使用しているか否か等についての情報を公開していない

上記のような回答をいただくことができました。

RDS for SQL Serverについては、同期先を公開していないとのことです。
(ただし、マネージドサービスとして一般的な用途に対して十分な精度で同期されているものと考えてね！とのことで、安心できますね。)

それでも知りたい時はどうする？

結論から言うと、コンプライアンス窓口を紹介いただける可能性があります。

RDS for SQL Serverの他にも、サービスによってはAWSに問い合わせを行っても情報を公開していないものもあるかと思います。

それでも、NTP同期先についてもっと情報を知りたい場合はどうすればよいでしょうか？

担当しているお客様によっては、情報を知りたい場面があるかと思いますので、その旨をAWSにお伝えすれば、コンプライアンス窓口を紹介いただける可能性がありますので、試していただくのが良いかと思います。

私自身は、弊社cloudpackから問い合わせを行った結果、コンプライアンス窓口の問い合わせフォームをご紹介いただけました。
※個人の一般の問い合わせからご紹介いただけるかは定かではありません。弊社がAWSのパートナー会社であるため、ご紹介いただけた可能性もあります。

まとめ

いかがでしたでしょうか。

PCI DSS案件においては、普段あまり意識しない情報に触れる場面が多くあるかと思います。

NTP同期先もその一つではないでしょうか。

本記事がすこしでもどなたかのお役立ちになりますと嬉しいです。

参考

AWSサービスのPCI DSSについては、以下のサイトでも情報が掲載されています
https://aws.amazon.com/jp/compliance/pci-dss-level-1-faqs/

【PCI DSS】AWSマネージドサービスのNTP同期先を知りたい

この記事でわかること

はじめに

PCI DSSにおける時刻同期の要件について

AWSにおける時刻同期について

AWSサポートに問い合わせしました

回答としては、以下でした

それでも知りたい時はどうする？

まとめ

参考

X (旧 Twitter) を複数人で安全に運用する方法

アイレット中途採用グループに特化した独自の『リスキリング研修』

Roblox BlenderからのImport

Raycastというランチャーツールが便利すぎる

RHEL9にPHP8.3系をインストールする

【PCI DSS】AWSマネージドサービスのNTP同期先を知りたい

この記事でわかること

はじめに

PCI DSSにおける時刻同期の要件について

AWSにおける時刻同期について

AWSサポートに問い合わせしました

回答としては、以下でした

それでも知りたい時はどうする？

まとめ

参考

関連記事Related Articles

【AWSマネジメントコンソール】アカウントロック・パスワードポリシー・MFA要件の実現#1

【AWS】Managed Microsoft AD/FSx for Windows File Serverのロケール/タイムゾーン設定

AWSマネジメントコンソールログイン時のアカウントロック実現方法#1

【AWS Managed Microsoft AD】ドメイン参加時のデフォルト参加OUの変更について

【AWS】RDS for SQL Serverのロケール/タイムゾーン設定