AWS re:Invent

クラウドセキュリティの問題は人のミスにある--AWSに聞く対策

國谷武史 (編集部)

2019-12-26 06:00

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 クラウド環境からのデータ漏えいといったセキュリティ問題は、技術的というより不適切な設定や操作ミスなど人に起因するものが多い。日常的な心がけで改善できる余地は大きいが、人の努力だけでは補い切れない部分では技術の活用が重要になる。

 Amazon Web Services(AWS)のCISO(最高情報セキュリティ責任者)室のディレクターを務めるMark Ryland氏は、「クラウドセキュリティにおける最大の課題は、セキュリティの脅威そのものではなく、脅威につながる可能性のある人のミスになる」と話す。

Amazon Web Services CISO(最高情報セキュリティ責任者)オフィス ディレクターのMark Ryland氏
Amazon Web Services CISO(最高情報セキュリティ責任者)オフィス ディレクターのMark Ryland氏

 Ryland氏は、CISO室でセキュリティに関するユーザーとのコミュニケーションや、同社セキュリティチーム、政府機関らとのセキュリティに関するやりとりや啓発などを担っている。システムやネットワーク分野の経験が長く、セキュリティの業務はAWSに入社してからというが、IT環境全般とユーザーの関わりからセキュリティの向上に取り組んでいるという。

 「クラウドコンピューティングそのものは安全になってきたといえる。クラウドのセキュリティは、オンプレミスのセキュリティと似ているようで異なる部分も多いが、ユーザーにその認識がまだ十分に浸透しているとは言い切れない。それ故、ユーザーに対するセキュリティの啓発やより良い方法を提供している」

 クラウド環境では、プロバイダーの提供する各種機能を利用して構築、運用するシステムのセキュリティ対策の責任は、基本的にユーザー側にある。セキュリティ要件に基づいて適切な構成や権限といったものをユーザー自身の手で実装できることが望ましいが、やはり人手に頼るとなれば、抜けや漏れが生じてしまう。

 こうしたことからクラウドプロバイダー側は、ユーザーが講じるセキュリティ対策や運用を支援するサービスや機能の提供に注力する。「ユーザーがミスを犯したり、ミスにつながる可能性が生じたりする部分をなくすことはもちろん、実装された構成や設定に問題がないかチェックするできるようにしている。APIを介してさまざまな機能を組み合わせ、多数のセキュリティエンジニアが手作業で膨大な処理をせずとも、セキュリティ運用を自動化していくアプローチがとれる点もクラウドのメリットになる」

 一例では、AWSは2018年に開催した「re:Invent」で「AWS Control Tower」や「AWS Security Hub」を発表した。前者はマルチアカウントのユーザーに対して、ベストプラクティスに基づく権限やルール、ポリシーなどの設定の自動化、可視化を行う。後者はAWSのセキュリティパートナーとAPI連携して、ユーザー環境のセキュリティ状況の評価、可視化、修復といった一連のプロセスをサポートする。

 2019年のre:Inventでは、これらに加えてセキュリティインシデントの調査や対応を支援する「Amazon Detective」もリリース(ベータ版)した。Security HubやCloudTrail、GuardDutyなどのセキュリティ機能からAPIを介して情報を取得し、サイバー攻撃活動などが疑われる不審な挙動を追跡調査とレポート作成ができる。

 「例えば、アラートを検知した時点からさかのぼって10分前に不審なサーバーのシャットダウンが行われ、その20分前にネットワークのサブネットアドレスであるアカウントの不審な動きがあったといったことが判明する。調査結果をもとに、どのようにインシデントが起きたのか、それを実行したのは誰かといった探索を行っていく」

 Ryland氏によれば、Control Towerはセキュリティリスクの顕在化を未然に抑止する手段であり、Amazon Detectiveはセキュリティリスクが顕在化した後の対応のための手段に当たる。Amazon Detectiveに関しては、当初はAWS環境のみに対応するが、将来的にはオンプレミスを含むさまざまIT環境の調査にも対応できるようにしていく計画だという。

 また、近年は専門家によってシステムに対する本格的なサイバー攻撃を擬似的に実施して脆弱性の洗い出しや対策を講じる「レッドチーム」が実施されている。Ryland氏によると、AWSでもユーザーの責任者が生じる領域において侵入テストやセキュリティおよびコンプライスなどの監査を可能にしている。

 多くの企業は、オンプレミスとクラウドのハイブリッドモデルを構築しつつあるが、さらに複数のクラウドを使い分ける「マルチクラウド」モデルを採用するケースも出てきている。セキュリティの観点ではより複雑性が増すことが課題になるだろう。

 Ryland氏は、「マルチクラウドに対してはセキュリティパートナーの優れたエコシステムを利用することになる。例えば、Splunkを利用してユーザーがAWSやAzureなどのデータを一元化できる。われわれは、そうしたマルチクラウドへの対応手段を妨げるのではなく、ユーザーが活用できることを重視している。その分、われわれとしてはAWSネイティブな環境のセキュリティを堅牢にして顧客をいかに守るかが最重要事項になる」と話す。

(取材協力:アマゾン ウェブ サービス ジャパン)

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

関連記事

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと
  2. セキュリティ

    マンガで解説--企業に必要な「WAF」と「FW」の違い
  3. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト
  4. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク
  5. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

カテゴリランキング

  1. AI導入の前にデータの整理が重要な理由--準備不足が招くさまざまな問題

  2. グーグルの新たなAIツール「Learn About」--学習のパートナーになり得るか

  3. 第1回:「責任あるAI」の構築を先導するのに欠かせないグローバルな視点

  4. OpenAIの新たな対抗馬、Mistral AIについて知っておくべきこと

  5. 多様な業務プラットフォームに拡大するBox、AIを活用した多数の新機能を発表

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]