アマゾン ウェブ サービス ジャパン(AWS ジャパン)は2月28日、クラウドセキュリティに関する報道説明会を開催した。最新のセキュリティ動向や新たな法規制の概要など、クラウドをめぐるセキュリティ事情について概観し、同社の方針を明確に示した。
パブリックセクター技術統括本部 統括本部長/プリンシパルソリューションアーキテクトの瀧澤与一氏はまず、Amazonのミッションが「地球上で最もお客さまを大切にする企業、そして地球上で最高の雇用主となり、地球上で最も安全な職場を提供すること」であると紹介し、クラウドセキュリティを考えていく上でも「お客さまを起点に考えていくことがすごく大事なこと」だと語った。
国内での事業実績としては、東京と大阪の大きく2つのリージョンに計7つのアベイラビリティーゾーン(AZ)を展開し、「分散したデータセンター群によってミッションクリティカルなニーズにも対応する強固なセキュリティを確保している」といい、さらに国内に多額の投資をしていることが同社の日本に対する長期にわたるコミットメントを示すものだとした。
AWSの日本への投資
続いて、セキュリティアシュアランス本部 本部長の松本照吾氏がクラウド時代のセキュリティについて説明した。同氏はまず、従来のオンプレミス型のIT環境に対してセキュリティを維持するのが難しくなっていると指摘。IT環境が複雑化するにつれて可視性が低くなり、ユーザー企業が自分たちでセキュリティを維持していくのが難しくなっているとした。
こうした状況に対して、ITインフラのクラウド化を進めることで「組織のリソースの安全性を高め、サイバーチームの管理を簡素化、自動化できる」とした。ただ同時に、現状のクラウドの活用方法では「そのメリットを十分に享受できておらず、従来のオンプレミスと同じ発想での利用がまだまだ多い」と指摘した。
松本氏は推奨するクラウドの利用方法として「マネージドサービスの活用」を挙げ、「信頼性の高いクラウドサービスプロバイダーと上手く協業していく」ことを提案する。基本となるのは「責任共有モデル」を前提とした役割分担で、「合理的な責任分界の下、コンピューターの基本部分(サーバーやOS)のセキュリティ対策を信頼性の高いCSP(クラウドサービスプロバイダー)に委ねることで、ユーザーはサービスの利用に集中でき、高水準のセキュリティ対策を低コストで実現可能」(同氏)になるという。
責任共有モデルでは、「クラウドのセキュリティ」をクラウド事業者(AWSなど)が、「クラウド内のセキュリティ」をユーザーがそれぞれ責任を負う。AWSは「自社のクラウド上で提供される全てのサービスを稼働させるインフラを保護する責任」を負う。一方、ユーザーのデータに関しては「データの統制は、基本的にユーザーのみが可能」となるため、例えばユーザーが知らないところでクラウド事業者がユーザーのデータを勝手に持ち出すとか当局に提出するといったことは原理的に起こらないということになる。
AWSの責任共有モデル
AWSの責任共有モデル
松本氏はさらに、世界中にさまざまなリージョンが存在する同社のインフラを貫く原則を「統制の同質性」という言葉で説明した。これは「グローバルで共通の基準でインフラを構築し、その上でさらに国や地域ごとに異なる対応が求められている場合には、それを共通の構成の上に加えていく」という考え方だ。具体例として、日本の建築基準法が求める耐震性能を実現しなくてはいけない、などだ。セキュリティに関しては、域外への個人情報の持ち出しを制限する⼀般データ保護規則(GDPR)への対応なども同じような考え方で対応されることになるだろう。