編集部からのお知らせ
オススメ記事選集PDF:「ジョブ型」へのシフト
「ニューノーマル」に関する新着記事一覧
海外コメンタリー

AWSのCISOが考える、セキュリティチームが重視するべき10項目

Asha Barbaschow (ZDNet.com) 翻訳校正: 石橋啓一郎

2019-12-17 06:30

 Amazon Web Services(AWS)の最高情報セキュリティ責任者(CISO)であり、セキュリティエンジニアリング担当プレジデントであるStephen Schmidt氏に、同氏の考えるセキュリティ部門が重視すべき10のポイントを聞いた。

1.正確なアカウント情報

 Schmidt氏によれば、AWSは、例えば顧客のアカウントが外部から攻撃を受けている、設定ミスが見つかったなどのセキュリティ上の問題について、常に顧客に通知しているという。

 そのためには、顧客と連絡を取れる状態が整っている必要があると同氏は言う。

 「AWSと法人契約を結んでいる顧客の中には、サポートから連絡できる窓口が非常に整っており、しっかりした担当者や、オペレーションセンター、電話番号、電子メールアドレスなどが用意されているところもあるが、あまり電子メールを見ていなかったり、アカウントをセットアップするのに使用した電子メールアドレスが監視されていなかったりする顧客も多い」と同氏は話す。

 「ささいなことのようだが、これは実際、AWSから顧客に『何かが起こっているから、注意すべきだ』と伝えるためには非常に重要なことだ」

2.多要素認証を使用する

 Schmidt氏は、多要素認証(MFA)を使うことは、アカウントの健全性を維持する上で極めて重要だと話す。

 「ソーシャルメディアのアカウントであれ、AWSのアカウントであれ、今では多要素認証を使わないことに対する言い訳は存在しない。使うのも簡単で、面倒もなく、多くの場合デバイスのショートメッセージがあれば利用できる」と同氏は言う。

 「もちろん、多要素認証のショートメッセージの種類によって、セキュリティの程度には違いがあり、必ずしも最高の強度になるとは限らないが、その気になれば高度な多要素認証を使うこともできる。それには、私が今ノートPCで使っているFIDOキーのような、物理トークンも含まれる」

 同氏は、多要素認証を使えば、さまざまな種類の敵対的な攻撃を防止できると強調した。

3.秘密の情報をハードコーディングしない

 「ユーザー名やパスワード、キーなどをソフトウェアの中に直接コーディングすべきではない」とSchmidt氏は言う。

 「アクセスキーがGitHubに投稿され、攻撃者に見つかり、投稿者のリソースを使用してビットコインをマイニングされたり(これは大きな問題だ)、キーをGitHubなどに置いていたためにデータを盗まれたりした話は無数にある」

 Schmidt氏は、キーをコードに直接埋め込まなくても、ソフトウェアを安全に構築できるようにするツールは無数にあると述べた。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]