クラウド 元SEママの情シスなりきりAWS奮闘記

【セキュリティ】 AWSのセキュリティって、どうなってるの?

【セキュリティ】 AWSのセキュリティって、どうなってるの?
2017年9月26日掲載

こんにちは。シイノキです。好きなさけるチーズは「スモーク味」です。夜にこっそりつまんでいたら、翌朝子どもから「さけるチーズが減っている!」と苦情を受けました。また買ってあげるから!
元SE、現在はWebコンテンツ制作会社でライターをしている私が、情シスになりきってAWSについて勉強する過程を連載する本コラム。今回でピックアップするのは「セキュリティ」です。クラウド導入といえば「セキュリティが心配」「セキュリティはどうクリアしたか」と長年セットで語られてきました。既に導入企業が増え、先日はメガバンクの導入まで発表され、セキュリティは大丈夫っぽい、ということは分かったものの、具体的に何がどう大丈夫なのか。「あの銀行も導入してるんだから大丈夫♪」でいいのか悪いのか…。

というわけで、(かなりかなり時間が経ってしまいましたが)5月に開催された「AWS Summit Tokyo 2017」の入門セッションをレポートするシリーズ。「セキュリティ入門」セッションの内容をおさらいしていきます!

クラウドのセキュリティはなにが不安なの?

クラウド、セキュリティ、と言えば不安!と3つ揃ってしまいそうな勢いですが、実際何に不安を感じているのか、セッションではその整理から始まりました。その要素としては大きく、「不透明である」「規格や法令順守が困難である」「セキュリティ管理が複雑になる」の3つ。確かに、自分たちから見えない(コントロールできない)部分があるのは心配になりますし、規格や法令順守のためのカスタマイズが大変そう、管理を今までと変えなきゃいけなくて大変なんじゃないの?…という気持ちは大いに分かります。
しかし一方で、「クラウドを使った方が自分たちで運用するより安全!」という声もあるそう。クラウドを使ってない人と使いこなしている人の間で、その認識には大きなギャップがあるのが現状、という話でした。

そもそもセキュリティってなに?

「セキュリティとは何か?」と突然聞かれても、問いが大きすぎて答えが見当たりませんが、これは既に定義されているらしく

  • アクセスコントロールや暗号化などの「機密性」
  • 電子署名などによる「完全性」
  • バックアップや冗長化設計による「可用性」

の3つを維持すること。これらをバランスよく実現するのが重要なんですね。
詳しくは「セキュリティ CIA」あたりでググってみてください。私もこのコラムを書くにあたってググったばっかりです。

そしてセキュリティを考える際の、もう1つ重要な要素として挙げられていたのが「Work Factor」です。
これは、
「何かをおこなうときの面倒くささ」
と定義されていました。
たとえば、サイバー攻撃するときに攻撃者がセキュリティ対策を突破するのにかかる労力。攻撃するのが面倒であればあるほど、「Work Factorが高い」ことになります。Work Factorが低い(簡単に攻撃できる)システムと、Work Factorが高い(攻撃が面倒な)システムがあったら、簡単な方を攻撃しますよね。だから、セキュリティ対策で攻撃者のWork Factorを高めることが重要なんです。
ここで忘れてはいけないのが、運用者、利用者のWork Factor。どんなに攻撃者のWork Factorが高いセキュリティ対策を実現したとしても、運用が面倒だったり使いづらかったりすると形骸化しがち。運用者や利用者のWork Factorを軽減することもセキュリティにおいて考えるべき、ということでした。

つまり、“良いセキュリティ”とは本質的にセキュアなことに加えて、運用/利用側のWork Factorを減らすことで、本来業務にフォーカスできる“楽”なセキュリティ

…!楽なセキュリティ!魅力的な言葉です(笑)

じゃあAWSを使うと楽になるんだよ、ね?

話の流れ上、そう思わないワケにはいきません。AWSで楽になるんだよね?ね?となったところで、AWSを利用することのメリットです。

まず、AWSが提供するセキュリティ関連のサービスを使えるということ。毎年新たなサービスがリリースされ、「多すぎて分からない」とも言われるAWSのサービスですが、そのうち3割程度がセキュリティ関連だそう。これらの機能はエンタープライズ系の企業も同じものを使っています。つまり、エンタープライズレベルのセキュリティ機能を、誰でも簡単に使えるということ!オンプレミスではそうはいきませんよね。
2つ目は、さまざまなセキュリティガイドラインに準拠しているということ。AWSは各種セキュリティの認証を取得しており、第三者機関による監査レポートも公開しているそうです。AWSの管理画面であるマネジメントコンソールから確認できるので、アカウントを持っている方はチェックしてみるのもいいかもしれません。クラウドのセキュリティに対する不安として、ガイドライン対応が挙がっていましたが、インフラに関しては既にAWS側で対応が終わっているということでは…。つまり楽になるということでは…。
そう、ということで3つ目が、「責任共有モデル」。AWSが提示しているもので、聞いたことがある方もいるでしょうか。要は、インフラ部分はAWSが頑張るから、OSから上はユーザの責任ね、という話です。「え?全部任せてオッケー、というわけではないの?」そう、オッケーではないんです。自分達でやらなきゃいけないことはやらなきゃいけない。でも、講師の方いわく、
求めるセキュリティから、AWSがやるセキュリティを引いた残りが
「やらなきゃいけないこと」

オンプレミスで全部やろうとしたら、求めるセキュリティ全部自社対応です。AWSのサービスを使える分、やらなきゃいけないことはぐっと少なくなる(はず)!
だから、AWSを使うと、“楽なセキュリティ”が実現できる、という、よくできたお話です。

具体的なセキュリティのサービスは?

数あるサービスのうち、基本的なものとしてセッションで取り上げられていたものは、

  • IAM(認証、認可、アクセス管理、ポリシー管理のサービス)
  • KMS(暗号鍵作成、管理、運用のマネジメントサービス)
  • Inspector(EC2の脆弱性診断サービス)
  • ACM(常時SSLを実現するサービス)

の4つでした。どれも運用管理の手間の部分をAWSに任せることで、運用のWork Factorを低くできると言われています。キーワード的にはどれもこれも気になるところですが、本コラムもだいぶ長くなってきましたし、今回はこのあたりで。具体的な使い方はまたいつか、ちゃんと勉強していきたいと思います!

何かと不安の多いセキュリティですが、セキュリティという言葉の守備範囲は広く、正直キリがないよねー、とも思っていました。このセッションはそもそもセキュリティってなんなのさ、というところから見直すいいきっかけに。AWSに移行すれば大丈夫♪というわけでは決してないものの、少なくともインフラのセキュリティはAWSに任せられること、そして使えるサービスが揃ってはいる、という点は魅力、ということではないでしょうか。
4つのサービスを最初からフルに理解して活用するのはやっぱりハードルが高そうですが、このあたりをキーワードに、自分のやりたいことを調べてもいいかもしれませんね。
以上、シイノキでした!

AWSセキュリティ強化支援サービス

AWSのセキュリティが不安な方へ 運用負荷をおさえた効果的な対策強化を支援します

マネージドクラウド with AWS

はじめてのAWSから 一歩進んだ活用までトータルサポート

パンフレットをダウンロード

ホワイトペーパー|AWS セキュリティ対策ガイド

「ホワイトペーパー|AWS セキュリティ対策ガイド」のダウンロードをご希望のお客様は、
以下必要事項をご入力ください。

関連コラム

このコラムに関連する製品

このコラムに関連する
導入事例

このコラムに関連する
セミナー・イベント

【セキュリティ】 AWSのセキュリティって、どうなってるの?

SHARE
シェアシェア ツイートツイート
【セキュリティ】 AWSのセキュリティって、どうなってるの?
SHARE
ツイート シェア