海外コメンタリー

AWSのCISOが考える、セキュリティチームが重視するべき10項目

Asha Barbaschow (ZDNET.com) 翻訳校正: 石橋啓一郎

2019-12-17 06:30

 Amazon Web Services(AWS)の最高情報セキュリティ責任者(CISO)であり、セキュリティエンジニアリング担当プレジデントであるStephen Schmidt氏に、同氏の考えるセキュリティ部門が重視すべき10のポイントを聞いた。

1.正確なアカウント情報

 Schmidt氏によれば、AWSは、例えば顧客のアカウントが外部から攻撃を受けている、設定ミスが見つかったなどのセキュリティ上の問題について、常に顧客に通知しているという。

 そのためには、顧客と連絡を取れる状態が整っている必要があると同氏は言う。

 「AWSと法人契約を結んでいる顧客の中には、サポートから連絡できる窓口が非常に整っており、しっかりした担当者や、オペレーションセンター、電話番号、電子メールアドレスなどが用意されているところもあるが、あまり電子メールを見ていなかったり、アカウントをセットアップするのに使用した電子メールアドレスが監視されていなかったりする顧客も多い」と同氏は話す。

 「ささいなことのようだが、これは実際、AWSから顧客に『何かが起こっているから、注意すべきだ』と伝えるためには非常に重要なことだ」

2.多要素認証を使用する

 Schmidt氏は、多要素認証(MFA)を使うことは、アカウントの健全性を維持する上で極めて重要だと話す。

 「ソーシャルメディアのアカウントであれ、AWSのアカウントであれ、今では多要素認証を使わないことに対する言い訳は存在しない。使うのも簡単で、面倒もなく、多くの場合デバイスのショートメッセージがあれば利用できる」と同氏は言う。

 「もちろん、多要素認証のショートメッセージの種類によって、セキュリティの程度には違いがあり、必ずしも最高の強度になるとは限らないが、その気になれば高度な多要素認証を使うこともできる。それには、私が今ノートPCで使っているFIDOキーのような、物理トークンも含まれる」

 同氏は、多要素認証を使えば、さまざまな種類の敵対的な攻撃を防止できると強調した。

3.秘密の情報をハードコーディングしない

 「ユーザー名やパスワード、キーなどをソフトウェアの中に直接コーディングすべきではない」とSchmidt氏は言う。

 「アクセスキーがGitHubに投稿され、攻撃者に見つかり、投稿者のリソースを使用してビットコインをマイニングされたり(これは大きな問題だ)、キーをGitHubなどに置いていたためにデータを盗まれたりした話は無数にある」

 Schmidt氏は、キーをコードに直接埋め込まなくても、ソフトウェアを安全に構築できるようにするツールは無数にあると述べた。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  2. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  3. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]