ZDNet JapanおよびTechRepublic Japan主催、AWS Partner Network協賛で、クラウドの中心的存在である「アマゾン ウェブ サービス(AWS)」をテーマにした5週連続セミナーが開催された。第1回は「セキュリティ」をテーマに2017年6月28日に行われ、3社のセキュリティベンダーが登壇したセッションでは、セキュリティレベルを高めるためのポイントや製品などが紹介されたが、ここではその内容をレポートする。
サーバーワークス:
サードパーティ製品導入で複合的なセキュリティ対策を実現
サーバーワークス
代表取締役
大石良氏
サーバーワークスは、2009年からAWS専業に転換し、新規案件はAWSでのみ対応しているクラウドインテグレーターだ。2014年から3年連続でAWSのプレミアムコンサルティングパートナーとなっている。
代表取締役の大石良氏によると「依然としてAWSのセキュリティ面を心配する顧客」がいるそうだ。そういった顧客には「お金を銀行に預けるのは、手元に現金を持つより銀行に置いた方が安全だと考えるから。それはデータも同様で、AWSにデータを置いた方が安全なのでは?」と答えるという。
ただし、物理層はAWS側の責任となるものの、OSやアプリケーション、データというユーザー側の領域はユーザーの責任でセキュリティを担保する必要がある。大石氏は「AWSとサードパーティを含めた複合的な対処をすることでセキュリティレベルを上げ、リスクを軽減する」ことを提案する。
Webアプリケーションに対する高度な攻撃への防御にはWAF(Web Application Firewall)を用いるが、調査会社の調査で唯一「Leaderポジション」という評価を受けた「Imperva製品」の利用を推奨している。AWS上にWAFをMulti-AZ構成で展開。サービスごとにVPCを構成し、WAFでクレンジングされたトラフィックのみをVPC Peeringで転送する。
ID管理はユーザー自身の対応が必要
検知については、「100%守り切ることは困難。むしろ侵入があった際に、どれだけ早く対処できるのかが重要」との観点から、大石氏は「Alert Logic」の導入を推奨している。
通信経路のセキュリティについては、AWSと社内を接続する際にVPNを活用。多拠点のデータを吸い上げてAWS側に送る場合には、SDNを活用することで安全な通信環境を実現できる。大石氏は、その際に「Encloud」利用を勧めている。
さらにAWS内部であっても、ユーザー自身が対応しなければならない部分もある。ID管理はユーザーが行うことが必要で、「OneLogin」でカギを管理することを推奨。ユーザーにカギ情報を渡さず、IAMのクレデンシャルをOneLoginに登録し、ログイン時にはMFAを強制している。
また、自動化できる部分は自動化を積極的に行う。AWSジョブを自動化し、タイマーによるインスタンスのオン/オフやタイプの変更、バックアップも自動化する。Windows Updateや、OpenSSLの更新作業など、一度に複数のサーバに対して行うオペレーションを一括実行する。
大石氏はまとめとして「AWSを利用することでセキュリティレベルは高まる。さらにセキュリティを向上させるために、サードパーティ製品を組み合わせて利用する。それによって、脅威に合理的に対処できる」とアドバイスしている。