「セキュリティはAWSの最優先事項」――Amazon Web Services(AWS)がセキュリティ対策をさらに強化している。2024年に実施する特権管理での多要素認証の義務化や、ゼロトラスト型サービスの展開など最近の取り組みをグローバルサービス セキュリティ担当バイスプレジデントのHart Rossman氏に聞いた。
ゼロトラスト型のセキュリティを推進
まずRossman氏は、「AWSにとってセキュリティは(クラウドサービスを提供する)オペレーションと同じく最優先事項であり、このことはAdam(AWS 最高経営責任者のAdam Selipsky氏)もAndy(Amazon 最高経営責任者のAndy Jassy氏)も明言している。世界最高水準のセキュリティ標準を順守し、認定を得ており、世界中の厳しい顧客の要件に応えている」と同社の方針を強調した。
AWS グローバルサービス セキュリティ担当バイスプレジデントのHart Rossman氏
Rossman氏は、AWSを含め20年以上にわたってITインフラのアーキテクチャー設計やインフラ構築、最適化、DevOps、セキュリティに携わり、顧客やパートナーとのセキュリティ分野における関係構築や協業、変革の支援などに携わっているという。
同氏によれば、AWSの最近のセキュリティ対策で推進しているのが、ゼロトラストセキュリティモデルに基づく認可・認証になる。「最近のモダンなビジネスは、アイデンティティーの認可、認証から始まる。AWSは何年も前からゼロトラストセキュリティアーキテクチャーに取り組み、これまでアイデンティティー・アクセス管理(IAM)を皮切りに、『Amazon Cognito』(AWS上のアプリケーションの認証・認可機能)などのさまざまなサービスを提供している」
ゼロトラストに基づく新しいセキュリティサービスが6月に一般提供を開始した「Amazon Verified Permissions」になるという。これは、AWSがオープンソースとして公開したアクセス制御のためポリシー言語「Cedar」を用いて、ユーザーがアプリケーションのセキュリティポリシーを柔軟に記述でき、AWSを含むさまざまな環境のアプリケーションにゼロトラストに基づく認可・認証、アクセス制御の機能を実装できるようにする。
ゼロトラストセキュリティの環境では、システムやアプリケーションを利用するユーザーをさまざま要素に基づいて常時確認することで安全を担保する。ユーザーアクセスの認可・認証には、さまざまなポリシーを用いることになる。Rossman氏は、Cedarでは数理的手法を用いて認可・認証のためのアルゴリズムを保証しているといい、Cedarに用意されたポリシーのモデルなどを活用して、自組織に適したアクセスポリシーを整備していけると説明する。
Amazon Verified Permissionsでの評価エンジンもオープンソースとして公開している。Rossman氏は、「Cedarや評価エンジンを共通言語とモデルとして活用することにより、ソフトウェア開発ベンダー(ISV)などがゼロトラストに基づく認可・認証の仕組みを実装してあらゆる領域で実効性を伴った安全と利便性を担保できる」とする。ユーザーがアプリケーション単位でのきめ細かいアクセス制御を講じたり、あるいはクラウドアクセスセキュリティブローカー(CASB)と連携した広範なアクセス制御・管理を実施したりできるとしている。
また、「責任共有モデル」をさらに強化する新たな取り組みとして、2024年半ばから「AWS Organizations」のユーザーを対象に、特権アカウントを利用する際の多要素認証を義務化する(関連リンク)。Rossman氏は、「この取り組みより、ユーザーアカウントにおける非常に強力なコントロールが可能になる。ユーザーが自身の特権アカウントを保護する重要性についてより理解を深めていただきたいと考えており、将来的にこの対象を広げていくことも検討している」と話す。
さらに、2022年の年次カンファレンス「re:Invent」で発表したセキュリティのデータレイク「Amazon Security Lake」の一般提供も2023年5月に開始した。現時点でサードパーティーを含む80種類以上のデータソースからセキュリティ関連ログなどのデータを「Amazon S3」「AWS Lake Formation」で構築したデータレイク環境に蓄積する。オープンソースの「Open Cybersecurity Schema Framework(OCSF)」を用いてSecurity Lake上のデータを正規化し、ユーザーはこれらデータの分析から得られる洞察や知見を脅威対応やセキュリティ運用の改善、意思決定の迅速化などに生かすことができるという。
Rossman氏は、「多くのパートナーとOCSFを通じて協力、連携しており、脅威の検知と対応にSecurity Lakeを活用したり、パートナーの顧客に提案したりしている。また、クラウドセキュリティポスチャー管理(CSPM)でもSecurity Lakeや『AWS Security Hub』が利用されており、『GuardDuty』(機械学習を用いた脅威検知)を組み合わせた高レベルのセキュリティ運用を実践して、強固な防衛を講じている顧客も多くいる」と述べる。
