ZDNet JapanおよびTechRepublic Japan主催、AWS Partner Network協賛で、クラウドの中心的存在である「アマゾン ウェブ サービス(AWS)」をテーマにした5週連続セミナーが開催された。第1回は「セキュリティ」をテーマに2017年6月28日に行われたが、ここでは基調講演とパネルディスカッション形式で行われた特別講演についてレポートする。AWS導入時に留意すべきセキュリティのポイントなどが明らかになった。
基調講演:「ユーザーの責任」を自覚して運用することが重要
ゲヒルン 代表取締役
セキュリティ・キャンプ実施協議会 顧問・企画実行委員
石森大貴氏
基調講演を行った石森大貴氏はゲヒルンの代表取締役だ。ゲヒルンは、「安全保障=Security」を軸に、情報セキュリティ、防災、インフラストラクチャの3つの事業を提供している。
黎明期からクラウドを利用している石森氏が、クラウドをまだ本格的に利用していない人を対象に、セキュリティの留意すべきポイントを紹介した。石森氏はクラウドを利用する際に欠かせない点として、「ユーザーの責任」をあげる。
「AWSは、責任共有モデルを定義し、クラウドのセキュリティに責任を持っている。しかし、クラウドの利用において、ユーザー側が責任を持たなければいけない部分がある」として、クラウドを利用していたユーザーが、ユーザー側の責任で、セキュリティの大きなトラブルに見舞われた事例を紹介した。
あるユーザーがGitHubに公開したコードの中に自社のアクセスキーが含まれていた。これを発見した攻撃者がこのアクセスキーを使ってAmazon EC2インスタンスを作成し、BitcoinやLitecoinを採掘する演算を実行し、そのユーザーのもとには多額の請求が届くことになったという。
「アクセスキーの管理はユーザーの責任。アクセスキー、AWS Identity and Access Management(IAM) という概念はオンプレの頃にはなかった概念で、クラウドを利用する際には必須のものとしてきちんと認識する必要がある。万が一、アクセスキーが漏えいし、勝手にデータが削除されてしまったら、データを取り戻すことはできない」(石森氏)
ゲヒルン自身はこうした事態に陥らないために、次のような事前対策をとっている。
社内ストレージについては毎日、Amazon S3にバックアップ。利用しているのはAmazon S3の標準低頻度アクセスストレージで、バージョニング機能とMFA Deleteオプションを利用。仮に誤って社内ストレージからファイルを削除しても復旧可能だし、オフィスの火災が発生しても安心。万が一、ランサムウェアに感染しデータが暗号化され、S3に暗号化されたデータが転送された場合にも、過去バージョンから復旧は可能となる。ここで、重要なのはMFA Delete オプションだ。MFA Delete が有効な場合には、アクセスキーだけではファイルを削除できなくなる。こうして誤操作や不正アクセスによってバックアップが意図せず削除されることを防止できるようになっている。
事前に災害対策を考慮しておくべき
アクセスキーについて石森氏は、「アカウントを保護する最適の方法はルートアカウントのアクセスキーを持たないこと。IAMユーザーを作成して、必要なアクセス権だけを与える」と思い切った提案をしている。
IAMユーザーのアクセスキーについては、(1)人間がアクセスする場合には多要素認証を設定する、(2)アクセスキーを直接コードに埋め込まない、(3)異なるアプリケーションには異なるアクセスキーを使用する、(4)使用していないアクセスキーは削除する、というように管理を適切に行うポイントを披露した。
災害対策としてクラウドを利用するケースも増えているが、「障害や災害は必ず起こる。ゼロリスクはない」とクラウド、オンプレミスどちらの環境であっても、事前に災害対策を考慮しておくべきとアドバイスする。
「オンプレミス環境では障害時のためにデータセンターを3つも準備できないが、クラウドでウォームスタンバイなら維持費があまりかからない。自社データセンターとクラウドを併用して、災害や障害対応のためにオンデマンドでリソースを活用することも可能。」(石森氏)
最後に、「すべては適材適所。うまく使えるところからクラウド活用を始めてみる。アクセス制御のある世界に入ったら、ベストプラクティスに従う」とクラウド初心者を意識したアドバイスを行った。