.jpg)
アマゾン ウェブ サービス ジャパン セキュリティ・アシュアランス本部 本部長 日本・アジア太平洋地域担当 梅谷晃宏氏
現在AWSは、ITインフラ(インフラストラクチャー)全体をソフトウェア的に記述し、各種運用手順の自動化と効率化する「Infrastructure As a Code」と、セキュリティチェックと規制順守要件をテンプレートとして実装して、IT環境全体をソフトウェアの側面からリスク軽減する「Compliance As a Code」という2つのアプローチを用意している。
Infrastructure As a CodeはAPIで実行内容を自動化し、構成情報を持つ設定ファイルの記述や、実行結果となるログを用いてクラウド上では目に映りにくい部分の可視化を実現。「エンジニア以外にも法令順守担当者など誰でも状況を把握できる」(梅谷氏)。Compliance As a Codeは、テンプレートを用意することで見落としなどのヒューマンエラーを減らし、セキュリティ実装の可視化を実現する仕組みだ。
話をまとめると、AWS FinTechリファレンス・ガイド日本版は検討事項と対応内容をマッピングし、AWS FinTechリファレンス・テンプレート日本版では構成図とAWS CloudFormationテンプレートが連携する。同社は「セキュリティリスクをゼロに近づけるための基本的な実装を行ったテンプレートを用意しているので、よりリスクが軽減する」(梅谷氏)と述べていた。
.jpg)
「AWS FinTechリファレンス・ガイド日本版」と「AWS FinTechリファレンス・テンプレート日本版」で構成された「AWS Fintechリファレンス・アーキテクチャー日本版」
この他にはAWSが供えるセキュリティサービスを2つ紹介した。「Amazon Macie」はAWS S3に保存した機密データを自動的に検出し、分類や保護を行うサービスである。「例えば社外秘という情報があるのにアクセス権がパブリックな状態、またはまもなく退職する社員が人事データに頻繁にアクセスするなど、危険な状況に対して警告を発するモニタリングサービス」(梅谷氏)だ。
「Amazon GuardDuty」は機械学習を用いて脅威検出や異常検知を行うマネージドサービスである。Amazon EC2(Elastic Compute Cloud)に対して悪意のあるスキャンが実行された場合や、IAM(AWS Identity and Access Management)利用時にアカウントへの異常アクセスなど通常とは異なる活動パターンを検出すると、重要度に応じた3段階のアラートを通知。本サービスでも"As a Code"の概念を取り込み、検出後のアクションはCloudwatch Logsと連携してイベント駆動型のアクションをサポートする。
.jpg)
「Amazon GuardDuty」の概要
