編集部からのお知らせ
Pick up! ローコード開発の行方
「これからの企業IT」の記事はこちら
AWS re:Invent

クラウドセキュリティの問題は人のミスにある--AWSに聞く対策

國谷武史 (編集部)

2019-12-26 06:00

 クラウド環境からのデータ漏えいといったセキュリティ問題は、技術的というより不適切な設定や操作ミスなど人に起因するものが多い。日常的な心がけで改善できる余地は大きいが、人の努力だけでは補い切れない部分では技術の活用が重要になる。

 Amazon Web Services(AWS)のCISO(最高情報セキュリティ責任者)室のディレクターを務めるMark Ryland氏は、「クラウドセキュリティにおける最大の課題は、セキュリティの脅威そのものではなく、脅威につながる可能性のある人のミスになる」と話す。

Amazon Web Services CISO(最高情報セキュリティ責任者)オフィス ディレクターのMark Ryland氏
Amazon Web Services CISO(最高情報セキュリティ責任者)オフィス ディレクターのMark Ryland氏

 Ryland氏は、CISO室でセキュリティに関するユーザーとのコミュニケーションや、同社セキュリティチーム、政府機関らとのセキュリティに関するやりとりや啓発などを担っている。システムやネットワーク分野の経験が長く、セキュリティの業務はAWSに入社してからというが、IT環境全般とユーザーの関わりからセキュリティの向上に取り組んでいるという。

 「クラウドコンピューティングそのものは安全になってきたといえる。クラウドのセキュリティは、オンプレミスのセキュリティと似ているようで異なる部分も多いが、ユーザーにその認識がまだ十分に浸透しているとは言い切れない。それ故、ユーザーに対するセキュリティの啓発やより良い方法を提供している」

 クラウド環境では、プロバイダーの提供する各種機能を利用して構築、運用するシステムのセキュリティ対策の責任は、基本的にユーザー側にある。セキュリティ要件に基づいて適切な構成や権限といったものをユーザー自身の手で実装できることが望ましいが、やはり人手に頼るとなれば、抜けや漏れが生じてしまう。

 こうしたことからクラウドプロバイダー側は、ユーザーが講じるセキュリティ対策や運用を支援するサービスや機能の提供に注力する。「ユーザーがミスを犯したり、ミスにつながる可能性が生じたりする部分をなくすことはもちろん、実装された構成や設定に問題がないかチェックするできるようにしている。APIを介してさまざまな機能を組み合わせ、多数のセキュリティエンジニアが手作業で膨大な処理をせずとも、セキュリティ運用を自動化していくアプローチがとれる点もクラウドのメリットになる」

 一例では、AWSは2018年に開催した「re:Invent」で「AWS Control Tower」や「AWS Security Hub」を発表した。前者はマルチアカウントのユーザーに対して、ベストプラクティスに基づく権限やルール、ポリシーなどの設定の自動化、可視化を行う。後者はAWSのセキュリティパートナーとAPI連携して、ユーザー環境のセキュリティ状況の評価、可視化、修復といった一連のプロセスをサポートする。

 2019年のre:Inventでは、これらに加えてセキュリティインシデントの調査や対応を支援する「Amazon Detective」もリリース(ベータ版)した。Security HubやCloudTrail、GuardDutyなどのセキュリティ機能からAPIを介して情報を取得し、サイバー攻撃活動などが疑われる不審な挙動を追跡調査とレポート作成ができる。

 「例えば、アラートを検知した時点からさかのぼって10分前に不審なサーバーのシャットダウンが行われ、その20分前にネットワークのサブネットアドレスであるアカウントの不審な動きがあったといったことが判明する。調査結果をもとに、どのようにインシデントが起きたのか、それを実行したのは誰かといった探索を行っていく」

 Ryland氏によれば、Control Towerはセキュリティリスクの顕在化を未然に抑止する手段であり、Amazon Detectiveはセキュリティリスクが顕在化した後の対応のための手段に当たる。Amazon Detectiveに関しては、当初はAWS環境のみに対応するが、将来的にはオンプレミスを含むさまざまIT環境の調査にも対応できるようにしていく計画だという。

 また、近年は専門家によってシステムに対する本格的なサイバー攻撃を擬似的に実施して脆弱性の洗い出しや対策を講じる「レッドチーム」が実施されている。Ryland氏によると、AWSでもユーザーの責任者が生じる領域において侵入テストやセキュリティおよびコンプライスなどの監査を可能にしている。

 多くの企業は、オンプレミスとクラウドのハイブリッドモデルを構築しつつあるが、さらに複数のクラウドを使い分ける「マルチクラウド」モデルを採用するケースも出てきている。セキュリティの観点ではより複雑性が増すことが課題になるだろう。

 Ryland氏は、「マルチクラウドに対してはセキュリティパートナーの優れたエコシステムを利用することになる。例えば、Splunkを利用してユーザーがAWSやAzureなどのデータを一元化できる。われわれは、そうしたマルチクラウドへの対応手段を妨げるのではなく、ユーザーが活用できることを重視している。その分、われわれとしてはAWSネイティブな環境のセキュリティを堅牢にして顧客をいかに守るかが最重要事項になる」と話す。

(取材協力:アマゾン ウェブ サービス ジャパン)

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    ファイルサーバ管理のコツはここにあり!「無法状態」から脱出するプロセスを徹底解説

  2. クラウドコンピューティング

    社員の生産性を約2倍まで向上、注目の企業事例から学ぶDX成功のポイント

  3. コミュニケーション

    真の顧客理解でCX向上を実現、いまさら聞けない「データドリブンマーケティング」入門

  4. ビジネスアプリケーション

    デメリットも把握しなければテレワークは失敗に?─LIXIL等に学ぶ導入ステップや運用のコツ

  5. 運用管理

    ニューノーマルな働き方を支えるセキュリティ-曖昧になる境界に変わらなくてはならないデータセンター運用

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]