Amazon Web Services(AWS)の最高情報セキュリティ責任者(CISO)であり、セキュリティエンジニアリング担当プレジデントであるStephen Schmidt氏に、同氏の考えるセキュリティ部門が重視すべき10のポイントを聞いた。
1.正確なアカウント情報
Schmidt氏によれば、AWSは、例えば顧客のアカウントが外部から攻撃を受けている、設定ミスが見つかったなどのセキュリティ上の問題について、常に顧客に通知しているという。
そのためには、顧客と連絡を取れる状態が整っている必要があると同氏は言う。
「AWSと法人契約を結んでいる顧客の中には、サポートから連絡できる窓口が非常に整っており、しっかりした担当者や、オペレーションセンター、電話番号、電子メールアドレスなどが用意されているところもあるが、あまり電子メールを見ていなかったり、アカウントをセットアップするのに使用した電子メールアドレスが監視されていなかったりする顧客も多い」と同氏は話す。
「ささいなことのようだが、これは実際、AWSから顧客に『何かが起こっているから、注意すべきだ』と伝えるためには非常に重要なことだ」
2.多要素認証を使用する
Schmidt氏は、多要素認証(MFA)を使うことは、アカウントの健全性を維持する上で極めて重要だと話す。
「ソーシャルメディアのアカウントであれ、AWSのアカウントであれ、今では多要素認証を使わないことに対する言い訳は存在しない。使うのも簡単で、面倒もなく、多くの場合デバイスのショートメッセージがあれば利用できる」と同氏は言う。
「もちろん、多要素認証のショートメッセージの種類によって、セキュリティの程度には違いがあり、必ずしも最高の強度になるとは限らないが、その気になれば高度な多要素認証を使うこともできる。それには、私が今ノートPCで使っているFIDOキーのような、物理トークンも含まれる」
同氏は、多要素認証を使えば、さまざまな種類の敵対的な攻撃を防止できると強調した。
3.秘密の情報をハードコーディングしない
「ユーザー名やパスワード、キーなどをソフトウェアの中に直接コーディングすべきではない」とSchmidt氏は言う。
「アクセスキーがGitHubに投稿され、攻撃者に見つかり、投稿者のリソースを使用してビットコインをマイニングされたり(これは大きな問題だ)、キーをGitHubなどに置いていたためにデータを盗まれたりした話は無数にある」
Schmidt氏は、キーをコードに直接埋め込まなくても、ソフトウェアを安全に構築できるようにするツールは無数にあると述べた。
