Amazon Web Services(AWS)は、11月下旬に米国ラスベガスで開催した年次イベント「re:Invet」でセキュリティ関連の新機能「AWS Control Tower」や「AWS Security Hub」などを発表した。これらを提供する狙いを、セキュリティエンジニアリング バイスプレジデント兼最高情報セキュリティ責任者のStephen Schmidt氏に聞いた。
Amazon Web Services セキュリティエンジニアリング バイスプレジデント兼最高情報セキュリティ責任者のStephen Schmidt氏
AWS Control Towerは、マルチアカウントを保有するユーザーに対して、AWSのベストプラクティスに基づいたアカウントの権限やルール、ポリシーなどの設定の自動化や可視化を図る機能を提供する。AWS Security Hubでは、セキュリティベンダーを中心とする26のパートナーのサービスとAPIで連携し、ユーザーが使用するインスタンスなどのセキュリティ状況の評価、可視化、修復といった一連のプロセスを支援するとしている。
Schmidt氏は、AWS Control Towerについて「マルチアカウントのユーザーがAWSのサービスを適切に利用していくための“ガードレール”の役割を果たす」と説明する。特に、何万ものアカウントを使用するユーザーでは、時にアカウントの不適切な共有や使用によって重要なデータが意図せずに公開されてしまうといったインシデントに直面している。8月には、ホスティングサービスを手がけるGoDaddyの内部情報が流出した可能性があるとの報道が出た。Amazon Simple Storage Service(S3)での不適切なバケット設定が原因との指摘もなされた。
大規模なマルチアカウント環境を統制を確保するために提供される「AWS Control Tower」
「S3バケットのデータを一般公開の状態にしてしまうリスクがあり、特に大規模ユーザーがアカウントの設定や管理をマニュアルで実施するのは難しい。このため、多数のアカウントに対し、均一のポリシーやルールを適用する仕組みの必要性が高まっている」(Schmidt氏)
一方、AWS Security HubはAWS環境におけるセキュリティ対策のオーケストレーションのような役割を担うという。脅威検出の「GuardDuty」などAWS自体が提供しているセキュリティ機能と、サードパーティーが提供するファイアウォールや不正侵入検知/防御システム(IDS/IPS)、セキュリティ情報・イベント管理(SIEM)といった機能が連携し、AWS Security Hubを通じて脆弱なシステムの把握やアラートの管理、脅威対応までの一連のプロセスを効率化する。
当初の管理・監視対象はAWS環境になるが、「将来的にPCI DSS(ペイメントカードのセキュリティ標準)やHIPAA(米国の医療情報セキュリティなどに関する法令)といった規制でのベストプラクティスに基づくセキュリティ評価などもできるようにしたい。ユーザー要望が高まれば、オンプレミス環境を含む一元的なビュー、あるいは同業他社とのセキュリティ状態の比較といったことも検討していきたい」とSchmidt氏は話す。
26ベンダーのセキュリティ機能をオーケストレーションする「AWS Security Hub」
AWSは「責任共有モデル」を導入しており、セキュリティなどに関してホスト領域をAWSが、ホストより上のレイヤではユーザーが責任を負う。このモデルに従えば、例えば、AWS Control Towerがカバーするアカウント管理はユーザーの責任領域になるが、「新機能によって責任共有モデルが変更されるわけではない」(Schmidt氏)といい、AWS Control Towerがユーザーに代わってセキュリティの責務を負うわけではなく、あくまでユーザーの運用を支援する機能という位置付けだ。
セキュリティベンダーのMcAfeeが発表したレポートによれば、IaaSやPaaSにおける設定ミス関連のインシデントは一度の運用で平均14件発生し、月平均では2200件を超える状況という。企業のクラウドシフトが進むつれ、特にアカウントの拡大における不備が大きなリスクになる。
「re:Invet」でツイートされたキーワードでは「セキュリティ」が2番目に多かった
(取材協力:アマゾン ウェブ サービス ジャパン)