【セキュリティ】 クラウドポータル開発者インタビュー vol.7
「AWS Trusted AdvisorやIAMユーザの管理、多要素認証まで、幅広くセキュリティ機能をそろえています」

— セキュリティ、と言っても、やるべきことは多岐に渡りますよね。クラウドポータルのセキュリティ関連機能では、どういったものがあるのでしょうか？
峯　すごく基本的なところでは、セキュリティグループの設定をまとめて確認する機能があります。EC2インスタンスの一覧から、セキュリティグループごとにフィルタをかけることもできるので、どのセキュリティグループにどのEC2インスタンスが含まれているのかを簡単にチェックできて、「非公開のサーバが、きちんとプライベートのセキュリティグループに入っているか」といったことをすぐに確認できます。
AWS環境全体の話としては、「AWS Trusted Advisor」に対応しています。これは5つのカテゴリについてベストプラクティスに則った環境になっているかどうかをチェックするAWSのサービスで、セキュリティのチェックも可能です。これを使うと、セキュリティグループの指定や、IAMユーザの利用状況などのセキュリティ設定に問題ないかを簡単にチェックできるのですが、クラウドポータルでは、自社環境の対応状況を一覧表示し、推奨されるアクションなどもチェックできるようになっています。さらに、いくつかの項目については、最適な設定をその場でできるようにサポートする機能も提供しています。

AWS Trusted Advisorでセキュリティ設定をチェック。最適化サポート機能も提供

— なるほど、セキュリティ設定を簡単に確認できて、設定ミスなどがないようにするための機能もそろっている、ということですね。ほかにセキュリティの運用面で便利な機能もあるのでしょうか？
峯　セキュリティ運用といっても幅が広いですが、たとえば、以前のインタビューでも取り上げたOSアップデートを自動化する機能もセキュリティ運用サポートのひとつと言えます。AWSでは、OSより上のセキュリティ対策はユーザの責任となるため、OSアップデートは対応が必要ですが、台数が増えると負担も大きくなります。この作業を自動化することで、効率的に確実な対策を実現できます。

— OS以上はユーザの責任、という話が出ましたが、OSやそのうえで稼働するアプリケーションの対策としてほかにもなにかあるのでしょうか？
峯　アプリケーションのセキュリティ対策として脆弱性診断をサポートする機能があります。アプリケーションの脆弱性対策はもちろんユーザの責任になりますが、きちんと実施するとなると、かなりの手間がかかります。しかも脆弱性はどんどん新しいものが見つかるので、1度やればOKではなくて、定期的にチェックし続けなければなりません。
この点も、AWSが「Amazon Inspector」という脆弱性診断を実施できるサービスを提供しています。Amazon Inspectorではあらかじめ用意されている4つの「ルールパッケージ」に沿った脆弱性診断ができるのですが、クラウドポータルでは対象のインスタンスと実施したいルールパッケージを選ぶだけで簡単に実行できます。さらに、スケジュール設定も日にちや時間を指定するだけなので、定期実行の設定も簡単です。
もちろんこれもAWSのマネジメントコンソールから実施してもよいのですが、自社のAWS環境のセキュリティについて、クラウドポータルでまとめて管理できることはメリットになるのではと思います。

— セキュリティと切っても切れないのが認証やユーザ管理になると思うのですが、ユーザ管理の機能はどういったものがあるのでしょうか？
峯　ユーザ管理というと、AWSでは基本的に、AWS Identity and Access Management（IAM）で払い出したユーザを利用して、さまざまな操作をおこないます。そのため、外部の開発会社などに作業を依頼する際にも、必要なIAMユーザを作成して提供することになりますが、作業が終わったあとに、このIAMユーザを削除し忘れてしまうと、それがセキュリティリスクになってしまいます。そこで、クラウドポータルに、期限付きIAMユーザの申請・承認・払い出しまでをおこなうワークフローのような機能を開発しました。必要な権限と期間を指定してIAMユーザを申請して、承認されたら、自動でIAMユーザを発行し、期限を過ぎたあとのIAMユーザ削除までおこないます。もちろん申請を拒否することもできますし、期間や権限を変更して承認する、といったことも可能です。

— このあたりの管理は大切なものの、面倒で忘れやすいところですよね。自動化できるのは助かりそうです。
峯　さらに2021年3月には、払い出したIAMユーザの操作ログを取得して、確認できる機能をリリースしました。実は、期限付きIAMユーザでは、かなり強い権限を持つユーザも作ることができるんです。それは、Amazon EC2やAmazon RDSなどの環境を作るために必要な権限であり、それこそ外部の開発会社が環境構築する場合などに必要になるのですが、やはり強い権限はリスクも大きくなります。
そこで、操作の履歴（ログ）を追跡して、IAMリソースやユーザ、グループへの操作といったリスクの高い操作を実施したときにはアラート通知する仕組みになっています。必要な権限を渡しながらも、なにかあったらすぐに対処できるようにすることで、セキュリティ対策をサポートします。

— あとは認証系でしょうか？
峯　そうですね。こちらも2021年3月にリリースしたのですが、Amazon WorkSpacesとAWS Client VPNの多要素認証に対応しました。 何度もお話しているとおり、これらはテレワークで便利なサービスです。簡単に使えることがメリットになる一方で、どこからでも使えるとなると、セキュリティリスクは増えます。どちらもクライアント証明書によるデバイス認証に対応していますが、それに加えて「多要素認証もしたい」というニーズが強いんです。

— 多要素認証というと、スマートフォンなどでワンタイムパスワードを発行して認証する方法は最近よく見かけますよね。
峯　まさにそれです。これもAWS上に自分で実装すれば実現できるんですが、それを構築して管理してとなると手間がかかります。別途シングルサインオンのソリューションなどと連携して、そちらの多要素認証機能を利用する方法もありますが、それなりの費用がかかります。
そこで、クラウドポータルで簡単に多要素認証の環境を作成して、利用できる機能をリリースしました。free RADIUSというオープンソースの認証サーバを利用するため、構築したEC2インスタンスの費用程度で利用でき、コストをかなり抑えられます。

— このfree RADIUSサーバをクラウドポータルから簡単に構築できる、ということでしょうか？
峯　はい。オンプレミスか、EC2インスタンス上にActive Directoryがあることが条件になりますが、free RADIUSの構築、AD Connectorを使った連携、認証に使うユーザごとのQRコード発行までクラウドポータル上で完結できます。あとは、実際にAmazon WorkSpacesなどを利用するユーザが、それぞれのスマートフォンにワンタイムパスワードを発行するアプリを入れて、QRコードを読み込めば、ログイン時に多要素認証できるようになります。ユーザにQRコードを配布するための機能もあるので、すぐに利用を開始できます。

クラウドポータル上で、多要素認証に必要な環境を構築

今回のインタビューを通して、改めて思ったのは、「セキュリティは、やることが多すぎる！」です。厳密にはインフラセキュリティだったり、認証だったりするわけですが、それぞれをきちんと設定し、運用していかなければリスクが大きくなる、というのは、なんというかこう……結構おそろしいものですよね。

特に、OSアップデートや多要素認証などは、日ごろの運用管理こそが重要になるもの。小規模な環境ならばなんとか対応できても、規模が大きくなるにつれ、手作業でひとつずつ対応というのは無理があるように思います。となると、極力効率化して手をかけずにやる、できるものは自動化して漏れがないようにする、といったあたりが重要になるはず。そのあたり、クラウドポータルがお役に立てるのではないでしょうか。もっと詳しい活用法が知りたい、こういうケースのセキュリティはどうすればよいのか？など、疑問・質問などありましたら、無料相談会も開催しております。ぜひお問い合わせください。

• ※本記事で紹介した機能は、事前の設定が必要な場合や、利用に制限・条件などがある場合がございます。詳細はお問い合わせください。