AWS利用者から学ぶセキュリティのベストプラクティス

ZDNet Japan Ad Special 2017年09月06日 13時00分

  • このエントリーをはてなブックマークに追加

[PR]ZDNet JapanおよびTechRepublic Japan主催、AWS Partner Network協賛で、クラウドの中心的存在である「アマゾン ウェブ サービス(AWS)」をテーマにした5週連続セミナーが開催された。

 ZDNet JapanおよびTechRepublic Japan主催、AWS Partner Network協賛で、クラウドの中心的存在である「アマゾン ウェブ サービス(AWS)」をテーマにした5週連続セミナーが開催された。第1回は「セキュリティ」をテーマに2017年6月28日に行われたが、ここでは基調講演とパネルディスカッション形式で行われた特別講演についてレポートする。AWS導入時に留意すべきセキュリティのポイントなどが明らかになった。

基調講演:「ユーザーの責任」を自覚して運用することが重要


ゲヒルン 代表取締役
セキュリティ・キャンプ実施協議会 顧問・企画実行委員
石森大貴氏

 基調講演を行った石森大貴氏はゲヒルンの代表取締役だ。ゲヒルンは、「安全保障=Security」を軸に、情報セキュリティ、防災、インフラストラクチャの3つの事業を提供している。

 黎明期からクラウドを利用している石森氏が、クラウドをまだ本格的に利用していない人を対象に、セキュリティの留意すべきポイントを紹介した。石森氏はクラウドを利用する際に欠かせない点として、「ユーザーの責任」をあげる。

 「AWSは、責任共有モデルを定義し、クラウドのセキュリティに責任を持っている。しかし、クラウドの利用において、ユーザー側が責任を持たなければいけない部分がある」として、クラウドを利用していたユーザーが、ユーザー側の責任で、セキュリティの大きなトラブルに見舞われた事例を紹介した。

 あるユーザーがGitHubに公開したコードの中に自社のアクセスキーが含まれていた。これを発見した攻撃者がこのアクセスキーを使ってAmazon EC2インスタンスを作成し、BitcoinやLitecoinを採掘する演算を実行し、そのユーザーのもとには多額の請求が届くことになったという。

 「アクセスキーの管理はユーザーの責任。アクセスキー、AWS Identity and Access Management(IAM) という概念はオンプレの頃にはなかった概念で、クラウドを利用する際には必須のものとしてきちんと認識する必要がある。万が一、アクセスキーが漏えいし、勝手にデータが削除されてしまったら、データを取り戻すことはできない」(石森氏)

 ゲヒルン自身はこうした事態に陥らないために、次のような事前対策をとっている。

 社内ストレージについては毎日、Amazon S3にバックアップ。利用しているのはAmazon S3の標準低頻度アクセスストレージで、バージョニング機能とMFA Deleteオプションを利用。仮に誤って社内ストレージからファイルを削除しても復旧可能だし、オフィスの火災が発生しても安心。万が一、ランサムウェアに感染しデータが暗号化され、S3に暗号化されたデータが転送された場合にも、過去バージョンから復旧は可能となる。ここで、重要なのはMFA Delete オプションだ。MFA Delete が有効な場合には、アクセスキーだけではファイルを削除できなくなる。こうして誤操作や不正アクセスによってバックアップが意図せず削除されることを防止できるようになっている。


※クリックすると拡大画像が見られます

事前に災害対策を考慮しておくべき

 アクセスキーについて石森氏は、「アカウントを保護する最適の方法はルートアカウントのアクセスキーを持たないこと。IAMユーザーを作成して、必要なアクセス権だけを与える」と思い切った提案をしている。

 IAMユーザーのアクセスキーについては、(1)人間がアクセスする場合には多要素認証を設定する、(2)アクセスキーを直接コードに埋め込まない、(3)異なるアプリケーションには異なるアクセスキーを使用する、(4)使用していないアクセスキーは削除する、というように管理を適切に行うポイントを披露した。


※クリックすると拡大画像が見られます

 災害対策としてクラウドを利用するケースも増えているが、「障害や災害は必ず起こる。ゼロリスクはない」とクラウド、オンプレミスどちらの環境であっても、事前に災害対策を考慮しておくべきとアドバイスする。

 「オンプレミス環境では障害時のためにデータセンターを3つも準備できないが、クラウドでウォームスタンバイなら維持費があまりかからない。自社データセンターとクラウドを併用して、災害や障害対応のためにオンデマンドでリソースを活用することも可能。」(石森氏)

 最後に、「すべては適材適所。うまく使えるところからクラウド活用を始めてみる。アクセス制御のある世界に入ったら、ベストプラクティスに従う」とクラウド初心者を意識したアドバイスを行った。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]