AWS re:Invent

クラウドセキュリティの問題は人のミスにある--AWSに聞く対策

國谷武史 (編集部)

2019-12-26 06:00

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 クラウド環境からのデータ漏えいといったセキュリティ問題は、技術的というより不適切な設定や操作ミスなど人に起因するものが多い。日常的な心がけで改善できる余地は大きいが、人の努力だけでは補い切れない部分では技術の活用が重要になる。

 Amazon Web Services(AWS)のCISO(最高情報セキュリティ責任者)室のディレクターを務めるMark Ryland氏は、「クラウドセキュリティにおける最大の課題は、セキュリティの脅威そのものではなく、脅威につながる可能性のある人のミスになる」と話す。

Amazon Web Services CISO(最高情報セキュリティ責任者)オフィス ディレクターのMark Ryland氏
Amazon Web Services CISO(最高情報セキュリティ責任者)オフィス ディレクターのMark Ryland氏

 Ryland氏は、CISO室でセキュリティに関するユーザーとのコミュニケーションや、同社セキュリティチーム、政府機関らとのセキュリティに関するやりとりや啓発などを担っている。システムやネットワーク分野の経験が長く、セキュリティの業務はAWSに入社してからというが、IT環境全般とユーザーの関わりからセキュリティの向上に取り組んでいるという。

 「クラウドコンピューティングそのものは安全になってきたといえる。クラウドのセキュリティは、オンプレミスのセキュリティと似ているようで異なる部分も多いが、ユーザーにその認識がまだ十分に浸透しているとは言い切れない。それ故、ユーザーに対するセキュリティの啓発やより良い方法を提供している」

 クラウド環境では、プロバイダーの提供する各種機能を利用して構築、運用するシステムのセキュリティ対策の責任は、基本的にユーザー側にある。セキュリティ要件に基づいて適切な構成や権限といったものをユーザー自身の手で実装できることが望ましいが、やはり人手に頼るとなれば、抜けや漏れが生じてしまう。

 こうしたことからクラウドプロバイダー側は、ユーザーが講じるセキュリティ対策や運用を支援するサービスや機能の提供に注力する。「ユーザーがミスを犯したり、ミスにつながる可能性が生じたりする部分をなくすことはもちろん、実装された構成や設定に問題がないかチェックするできるようにしている。APIを介してさまざまな機能を組み合わせ、多数のセキュリティエンジニアが手作業で膨大な処理をせずとも、セキュリティ運用を自動化していくアプローチがとれる点もクラウドのメリットになる」

 一例では、AWSは2018年に開催した「re:Invent」で「AWS Control Tower」や「AWS Security Hub」を発表した。前者はマルチアカウントのユーザーに対して、ベストプラクティスに基づく権限やルール、ポリシーなどの設定の自動化、可視化を行う。後者はAWSのセキュリティパートナーとAPI連携して、ユーザー環境のセキュリティ状況の評価、可視化、修復といった一連のプロセスをサポートする。

 2019年のre:Inventでは、これらに加えてセキュリティインシデントの調査や対応を支援する「Amazon Detective」もリリース(ベータ版)した。Security HubやCloudTrail、GuardDutyなどのセキュリティ機能からAPIを介して情報を取得し、サイバー攻撃活動などが疑われる不審な挙動を追跡調査とレポート作成ができる。

 「例えば、アラートを検知した時点からさかのぼって10分前に不審なサーバーのシャットダウンが行われ、その20分前にネットワークのサブネットアドレスであるアカウントの不審な動きがあったといったことが判明する。調査結果をもとに、どのようにインシデントが起きたのか、それを実行したのは誰かといった探索を行っていく」

 Ryland氏によれば、Control Towerはセキュリティリスクの顕在化を未然に抑止する手段であり、Amazon Detectiveはセキュリティリスクが顕在化した後の対応のための手段に当たる。Amazon Detectiveに関しては、当初はAWS環境のみに対応するが、将来的にはオンプレミスを含むさまざまIT環境の調査にも対応できるようにしていく計画だという。

 また、近年は専門家によってシステムに対する本格的なサイバー攻撃を擬似的に実施して脆弱性の洗い出しや対策を講じる「レッドチーム」が実施されている。Ryland氏によると、AWSでもユーザーの責任者が生じる領域において侵入テストやセキュリティおよびコンプライスなどの監査を可能にしている。

 多くの企業は、オンプレミスとクラウドのハイブリッドモデルを構築しつつあるが、さらに複数のクラウドを使い分ける「マルチクラウド」モデルを採用するケースも出てきている。セキュリティの観点ではより複雑性が増すことが課題になるだろう。

 Ryland氏は、「マルチクラウドに対してはセキュリティパートナーの優れたエコシステムを利用することになる。例えば、Splunkを利用してユーザーがAWSやAzureなどのデータを一元化できる。われわれは、そうしたマルチクラウドへの対応手段を妨げるのではなく、ユーザーが活用できることを重視している。その分、われわれとしてはAWSネイティブな環境のセキュリティを堅牢にして顧客をいかに守るかが最重要事項になる」と話す。

(取材協力:アマゾン ウェブ サービス ジャパン)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

投票する

カテゴリランキング

  1. OpenAI、改良版「GPT-4 Turbo」を有料版「ChatGPT」で提供--回答の質が向上

  2. NTTデータとテラスカイが資本業務提携、セールスフォースビジネスで500億円規模に

  3. 売り上げ1兆円を目指す富士ソフト、カギは新規事業と生産性向上に

  4. キンドリルジャパン新社長が語った「キンドリルの魅力」とは

  5. なぜ、独立系のテラスカイがNTTデータグループ入りするのか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]