クラウド利用で最も心配な「セキュリティ」AWS Well-Architectedを更に掘り下げた、オージス総研独自の「さらに使える」フレームワーク活用事例とは?

 アマゾン ウェブ サービス(AWS)では、責任共有モデルを採用しています。これは「セキュリティとコンプライアンスを、クラウドベンダーと利用者の間で共有する」考え方です。

 簡単に説明すると「クラウドのセキュリティ」はクラウドベンダーが、「クラウド内のセキュリティ」はユーザーが担保しなければならないのです。「クラウド内のセキュリティ」を例で挙げると、仮想マシンのOS・ミドルウェア・アプリケーション等の脆弱性対応、ファイアウォール設定、クラウドのユーザー管理、認証情報・鍵管理、データ管理、ログ管理等です。

 総務省「ICTによるイノベーションと新たなエコノミー形成に関する調査研究」(平成30年)によると、クラウドサービス未導入者に対して行ったクラウドサービスの課題に対する認識調査では、「セキュリティへの不安」に対する回答率が全調査対象国で高くなっている事が窺えます。

出典:総務省「ICTによるイノベーションと新たなエコノミー形成に関する調査研究」(平成30年)
出典:総務省「ICTによるイノベーションと新たなエコノミー形成に関する調査研究」(平成30年)

 責任共有モデルでのユーザーが担保しないといけないセキュリティ。クラウド利用への障壁がセキュリティであるとすると、どう対策すれば良いのでしょうか?

 対策の参考となるドキュメントとして、AWS Well-Architected フレームワークがあります。

 このフレームワークは、クラウドシステム設計・運用の”大局的な考え方”とベストプラクティスをAWSが文書化したもので、AWS ソリューションアーキテクトと顧客が長期にわたって蓄積した経験のフィードバックが反映されています。

 AWS Well-Architected フレームワークに沿うことで、基幹システムからクラウドサービスまで最新のクラウドベースシステムに要求される品質に照らして、①システムを評価する一貫したアプローチと、②品質を満たすために必要な改善方法が提供されます。

 AWS Well-Architected フレームワークは、一般的な設計原則と5つの柱(分野)で構成されています。


出典:AWS Well-Architectedフレームワーク ホワイトペーパー
出典:AWS Well-Architectedフレームワーク ホワイトペーパー

 各柱では、質問と回答形式でベストプラクティスが提示されます。

 オージス総研では、このようなAWS Well-Architected フレームワークをより具体的なアーキテクチャ・実装とするため、Center for Internet Security(CIS)が提供するCIS Benchmarksを取り入れています。

 CIS Benchmarksでは具体的なコンプライアンスルール、パラメータ、手順が記載されています。例えば「90日以上使用されていないクレデンシャルが無効化されていること」といったものが挙げられます。

 CIS Benchmarksでは、アイデンティティとアクセス管理(IAM)、ロギング、モニタリング、ネットワーキングの分野で全49項目のコンプライアンスルールが定義されています。

 しかし、このCIS Benchmarksをそのまま適用できるのか、となるとまだ疑問が残ります。CIS Benchmarksのルールでは組織独自のルールに対して考慮不足、または逆に厳格過ぎるといった場合があるためです。

 そこでオージス総研ではAWSが提唱するAWS Well-Architected フレームワークをベースに、弊社がこれまでクラウド構築で得たノウハウや実績、CIS Benchmarksに代表される第三者機関のベストプラクティスに加えて、独自の具体的なToBe・実現方法を盛り込んだ『OGIS Well-Architected』を作成しました。

『OGIS Well-Architected』の特徴

  • AWS Well-Architected フレームワークで提唱するベストプラクティスの背景と具体的なリスク
  • リスクを解消する具体的なToBeイメージと、その実現方法
  • 重要なベストプラクティスではInfrastructure as Code(IaC)でのデザインパターンを作成

 弊社では『OGIS Well-Architected』を用い、以下のようなお悩みや課題にも『OGIS Well-Architected』は効果的です。

  • AWS環境の最適な構成やセキュリティ対策をどのようにデザインするべきかわからない
  • 構築を検討している構成案について、リリース後を想定した運用面のアドバイスがほしい
  • AWS移行後、想定よりもコストが高く、最適なコストに抑える為の環境設計を再検討したい

『OGIS Well-Architected』の事例をご紹介します。

AWS Well-Architected フレームワーク セキュリティ分野の"発見的統制"において、下記のベストプラクティスがあります。

Q. ワークロードのセキュリティイベントをどのように検知し調査していますか?

A. 重要なメトリクスやイベントの監視と通知を行っている

重要なメトリクス・イベントとは具体的に何を指しているか、どのような基準で判定するのか、どのように通知するのか等、具体的な指針がないと設計・実装ができません。

これについて『OGIS Well-Architected』では、下記のように解釈しています。

セキュリティの重要なメトリクスやイベントはAWSリソース、ネットワーク、OS、ミドルウェアなど複数のレイヤが対象であり、レイヤ毎に監視すべき項目は異なっている。

  1. AWSリソースレイヤのリスクは、例えばクレデンシャル漏洩によるAWSアカウントの侵害などであり、意図しないAWSリソースの変動にいち早く気付く監視が必要である。
  2. ネットワーク、OS、ミドルウェアなどのリスクは、該当システムの侵害による情報漏洩など、従来のオンプレミスと同様である。ただし、AWS特有のメトリクス・イベントを監視するアーキテクチャをとる必要がある。

上記1、2の具体的な利用事例を2つご紹介します。

利用事例1
【対応迅速化】脅威の発端となるAWSリソースの不正変更をリアルタイム検知

 意図しないAWSリソース変更を検知するため、「AWSリアルタイム統合監査基盤デザインパターン」をIaCとして作成しました。

 AWS CloudTrailで出力されるログから、CIS Benchmarksで定義されるAWSリソースに関する重要なメトリクス・イベント(コンソールへのログイン、AWS CloudTrail設定変更、Amazon S3バケットポリシー変更、Amazon EC2インスタンスの起動停止、セキュリティグループ変更など)を検知し、メール・Slack等へ通知を行う仕組みになっています。

 そしてエンタープライズのお客様では、複数のAWSアカウントをお持ちの場合が一般的です。AWSアカウント毎にログ監査の仕組みを導入することは構築・運用とも負荷となります。しかし、このIaCでは連携する複数のAWSアカウントを一元的に監査し負荷を軽減する仕組みです。

 このように複数のAWSアカウント毎にAWS Lambdaでのログチェックを行っているエンタープライズシステムを運用されるお客様において、一元的なAWSリソースログ監査として「AWSリアルタイム統合監査基盤デザインパターン」が有用である事をご理解いただき本番環境に採用されました。


利用事例2
【検知率向上】膨大なログをパターン分析し重要なセキュリティ通知を抽出

 AWS特有のメトリクス・イベントを監視するため、AWSマネージドサービスを活用した「AWSセキュリティイベント検知パターン」アーキテクチャを作成しました。

 AWSリソースへのコンプライアンスチェックを行うAWS Config、VPC Flow Logs等から脅威検知を行うAmazon GuardDuty、EC2インスタンス上のOS・ミドルウェアの脆弱性スキャナであるAmazon Inspector、これらセキュリティサービスを統合化するAWS Security Hubを利用し、システム侵害へのセキュリティイベントを監視し、メール・Slack等へ通知を行う仕組みです。監視すべきイベント・重要(Severity)は、各セキュリティマネージドサービスで定義されており汎用的に利用可能です。

 このアーキテクチャは、1年以上本番運用を行っているお客様システムにおいて、Well-Architectedレビューを実施させて頂いた際にご採用して頂きました。

 採用における最大のポイントは、マネージドサービスで提供されるため運用負荷の軽減が見込めるということでした。

 また、要件定義・設計フェーズだけでなく、継続した運用改善のためには定期的なレビューの実施が効果的であることをご認識頂き、他システムにも同様に展開して頂きました。AWSのセキュリティマネージドサービスは日々進化しています。何をどうのように適用すればよいか迷ってらっしゃるお客様はぜひ弊社にご相談ください。

 ご紹介した事例ではお客様の環境をじっくりとヒアリングした上でリスクを共に把握し、お客様にとってベストな提案・コンサルティングサービスをご提供いたしました。

 また、『OGIS Well-Architected』の考え方をベースにAWS、オンプレミス環境、他クラウド環境などを統合して監視、運用する統合運用ツールを開発しております。

 「セキュリティの柱」であれば、クラウド環境の監査を中心とした監視、自動是正を伴う運用、「コストの柱」であれば、コスト監視に加えてコスト最適化アドバイスなどを実現しています。

 このほかにも様々なソリューションをご提供しております。ご興味がございましたら問い合わせフォームよりご連絡をお願い致します。

提供:株式会社オージス総研
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2020年12月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]