こんにちは!TECH Street編集部です。
「クラウドの伝道師が語るセキュリティ~AWSで実現するセキュリティと導入事例~」イベントレポートをお届けします!
企業はもちろん、政府機関によるクラウド活用も広がっています。世の中的にも、自社システムをオンプレ環境からクラウド上に構築する企業が増えてきましたよね。その一方で、「セキュリティが気になる」という理由から、クラウド活用に消極的な企業もまだまだたくさんあるのも事実。
クラウドを活用している企業は、どのようなセキュリティ対策を打っているのか?そもそも、クラウドのセキュリティってどうなっているのか?知りたいですよね。
今回は、「AWS」を活用したセキュリティについて、“クラウドの伝道師”によるセミナーとユーザーの導入事例から学べるイベントを実施。
最初の登壇者は、“クラウドの伝道師”、AWSの亀田治伸さん!まずはセミナーの様子から紹介していきます。
セミナー(亀田治伸氏/アマゾン ウェブ サービス ジャパン株式会社)
AWSではサーバー、ネットワーク、ストレージ、データベースなどすべて、API経由で操作することができるというのが大きな特徴。
→オンプレミスではあり得なかった【可視性】を提供できるので、セキュリティ観点で選ぶ上で大きなメリットなるとのこと!
AWSのセキュリティに対する基本的な考え方
セキュリティとコンプライアンスはAWSとお客様の間で共有される責任(一般的に言う共有モデル)。
AWSが管理するインフラレイヤー、いわゆるデータセンターの中身で動いている諸々のインフラネットワーク、ハードウェアAWSの機能を提供するソフトウェアなどについては、AWSの責任範囲になるので我々が責任を持って管理します。
一方、お客様は従来どおりOSより上、あるいはOSを使わないAWSのサービスを使うのであれば、そのサービスの設定をどうするかについてはお客様が責任を持ってくださいね、という考え方。
ここからは、セキュリティを担保するAWSの4つのサービスを紹介。
脅威分析⇒Amazon GuardDuty
利用者専用のプライベートネットワークの中身に流れるログであったり、AWSのリソースに対する管理者画面上の操作やAPI経由の操作を機械学習の力を使いながら、「危ないもの」「もしかしたら危ないもの」「安全なもの」により分けるサービス。
脆弱性分析⇒Amazon Inspector
AWS上でOSを起動した際、OSはもちろん、利用者がインストールしているミドルウェアのバージョンを見て、業界標準共通脆弱性のデータベースと照らし合わせながらレポートを出しているサービス。
情報資産分析⇒Amazon Macie
例えば、Amazon S3というオブジェクトストレージにマイナンバーが入ったデータが暗号化されていない状態で保存されている、クレジットカード番号や電話番号が保存されている場合にパターンマッチングで抽出するサービス。
統合管理とリスク分析⇒AWS Security Hub
上記三つのサービスから上がってきたアラートをまとめて統合して管理。さらにAWSの他のサービスと連携させて設定を書き戻すことも可能。
これらのサービスは、クラウド特有のもので、オンプレ環境に比べて、これらの機能を設定が簡単というメリットがあるといいます。また、リスクに対するアプローチそのものが違うとも。
これらのサービスは、いわゆるリスクベースのアプローチ。つまりリスクが発生した後にアラートが上がってくると、当然それだけでは高いセキュリティ環境は作れない。だから、あらかじめ作ってはダメな環境は作らせないようにするというアプローチなんだとか。
AWSの場合、メインの管理者がストレージは必ず暗号化するという設定をしてしまえば、他の管理者は何をどうやっても、暗号化していないストレージを起動することができないような状態を作り出すことができる。
→起動されるIDは、すべてAWSという管理基盤に組み込まれているので、野良IDみたいなものを作り出すことができない。
結果として高いセキュリティを維持することができるというのがクラウドのメリット!
ITマネジメントとITガバナンス
続いて、ITマネジメントとITガバナンスの関係について。
ITガバナンスは、ビジネスニーズによって生まれてくる会社全体のITに対する方向付けを行います。ITマネジメントというのは、ガバナンス側から定義されたポリシーに従って構築するITシステムのセキュリティをどのように計画・構築・実行・モニタリングするかという実際の手法を管理します。
→ITガバナンスとITマネジメントは密接に動いてITのセキュリティを担保していく必要がある!
システムが社内にバラバラに点在すると、ITガバナンス側の人が一元管理はできないが、クラウドを使うとITマネジメント側もITガバナンスも同じインターフェースを使って管理できる。それによって意思決定のスピード感がかわるといいます。ユーザーの要望に応じて、アジャイル開発のようにアプリケーションの書き換えもスピーディに対応可能になるといいます。
また、AWSでは「必要なセキュリティ設計を先に実施するという考え方」を提唱。「Security by Design」という言葉で表現しているといいます。
別の業界的に言うと、ShiftLeftっていう言い方もされたりしますが、左側から設計⇒開発⇒テスト⇒本番環境と時系列でシステムが流れていく中で、同じことをするのであれば左側で対応すればするほど安く済むという話。
あらかじめ起動されているリソースが、多くのAPIと連携することが前提として開発されているので、“これらの機能をあらかじめもう少し欲しい”と開発環境でオンにしておくことはできるはず。必要がなくなれば、後から消したほうが良いというのが、『Security by Design』という考え方なんだとか。
アジリティとガバナンスの両立
続いて、アジリティとガバナンスの両立について、亀田さんはいくつかの観点からお話をいただきました。
ポリシー策定と有効化
オンプレの場合は、①環境のセットアップ→②セキュリティ専門家がコントロールを有効化→③基盤が稼働する流れですが、AWSはそれを逆にしようと考えています。
最初にアカウント全体のマスター設定として、コントロールを有効化。そこで許された範囲だけ環境をセットアップできるようになるので、その管理権限を開発部隊のインフラ部隊に引き渡すだけで良いということが実現できます。
プロビジョニング
コントロールが有効化されたAWSのアカウントの設定は、マスター管理者がまず行います。そうすると現場側は許可された環境だけを起動することができるので、その範囲の中で自由に作業することができるように。
別のツールを開発して、リリースのたびに管理者におうかがいを立てる回数が少なくなると同時に、ビジネス側のユーザーもBIツールなど、必要なデータだけを必要な部門に提供していくということも、同じ基盤の中で実現することができます。
オペレーション
すべてのITのリソースはAPI連携することが前提なので、リソースおよびその上で動くアプリケーションの監視はしやすくなります。ただAWS側でOSを起動した場合、OS起動状態は自動で取れますが、OSの中身についてはお客さんの許可がない限りタッチしないという大原則があるので、デフォルト状態ではOSの中身、つまりアプリケーションの中身は取れません。
その代わりAWSには、お客さんのアプリケーションの中身やOSの中身をチェックするエージェントをいくつか提供。そのエージェントがインストールされたOSしか起動できないというコントロールをあらかじめ有効化しておくことができます。これはオンプレではできないことです。
他にも、障害対応が自動化できたり、リソース効率も一元管理で可能です。こういう機能は、オンプレミスでは全社共通IT管理基盤みたいなものを作らなくては見れませんが、AWSでは容易にそれらを実現してくれるサービスが用意されているといいます。
おまけの話
最後に亀田さんが取り上げたのは、本題とは少し離れたリモートアクセスクラウドの話。
リモートアクセスは、データセンターに行って、コンソールで作業することができないので、踏み台どうする?ということを考える必要があります。当然、従来のSSHの踏み台サーバーというのは、鍵情報をクライアント側と共有するので、クライアント側で鍵情報を漏洩すると結構な大惨事が起きてしまいます。あるいは、SSHプロトコルを使う場合、クライアント側から踏台側に対してファイアウォールは立てないといけないですよね。
そこでクライアント側から踏み台にSSH通信に飛ばさないといけないので、受け側はいいとして出る側もファイアウォールを空けておかないといけないのですが、それが結構大変な作業になります。なぜならAWSの場合踏み台側のIPアドレスが可変になるので固定できないですよね。結構幅広にIPを空けておかないといけないという問題もあります。
それを解決してくれるのがSession Manager。これを活用するとインバウンドポートを開いたり、踏み台ホストを維持したり、SSHキーを管理したりすることなく、監査可能なインスタンスを安全に管理できるとのこと。
まとめ
「クラウドの伝道師が語るセキュリティ~AWSで実現するセキュリティと導入事例~」イベントはいかがでしたか?
クラウドの“伝道師”によるわかりやすいセミナーと、リアルな事例発表という組み合わせで、すっかりクラウドセキュリティの基本が理解できたような気がしました。
参加者コメント
この他にもこんなコメントを頂きました♪
・他社さんの現場レベルのお話が聞けて良かったです
・生々しさ!すばらしい!
・学生にでも理解できるように砕いていただいた内容でわかりやすかった。
・結構細かい部分の紹介や、おすすめの基本セキュリティサービスも知ることができた
つづいては当日のQ&Aを紹介いたします。
Q&A
亀田さんへのご質問
(Q1)OSの前にクラウド側でOSインストールへの監視判断もできるという事で、ある意味オンプレよりもクラウドの方がセキュリティが優れているという考え方もできるという事なのですか?(すみません、私初心者です)
→クラウドのほうがセキュリティというより監視性が優れていますね。
(Q2)AWSのセキュリティを学びたいのですが、オススメの教材等ありますか?
→AWSのセキュリティーであればいろんなホワイトペーパありますけど、AWS認定セキュリティーという資格試験があってそこから必要なホワイトペーパがダウンロードできます。
(Q3)nspectorはOSにより対応範囲が違うようです(Inspectorのユーザーガイドによると)。CVE以外にLinux系ではセキュリティベストプラクティスも対応していますが、Windows Severではセキュリティベストプラクティスは非対応です。古い2008でも対応していないので、Windows系は今後も対応しないと考えて良いでしょうか。そもそもセキュリティベストプラクティスは重要ではないのでしょうか?
→Windows系に関しては、新しいものであればある程度対応しているという認識でいたのですが、もし明確にこれが対応していないというのがあれば教えてもらえれば調べさせていただきます。
ただセキュリティベストプラクティス、特に各ベンダーが出しているものは順守したりしているので重要でないと思っていないとは思わないと思います。
今回のご質問は以上となります!
また、次回はテレワーク応援イベント第3弾ということで【Slack活用】について学びます。
日頃からSlackを活用しているITエンジニアやIT推進担当の方など、ぜひご参加ください^^
▼イベント詳細・申し込みはこちら
Slack社の担当に聞く、Slack最大活用〈テレワーク応援第3弾〉
