編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

AWS利用者が知っておくべきセキュリティ製品 - (page 2)

ZDNet Japan Ad Special

2017-09-11 11:00

[PR]ZDNet JapanおよびTechRepublic Japan主催、AWS Partner Network協賛で、クラウドの中心的存在である「アマゾン ウェブ サービス(AWS)」をテーマにした5週連続セミナーが開催された。

三井物産セキュアディレクション:
クラウドでもセキュリティの危険は存在する


三井物産セキュアディレクション
プロフェッショナルサービス事業部
Alert Logic営業グループ マネージャ
佐藤裕貴氏

 三井物産セキュアディレクション(MBSD)は、2001年に設立されたサイバーセキュリティに特化した企業である。今回、同社のプロフェッショナルサービス事業部のセキュリティエバンジェリストの山谷晶英氏がサーバへのハッキング例を実演で紹介し、同事業部のAlert Logic営業グループ マネージャの佐藤裕貴氏が提供しているサービスを元にセキュリティ運用の有効性をアピールした。

 まず、佐藤氏がセキュリティ運用を紹介。MBSDではアプリケーション側のセキュリティを確保する事前対策として、セキュアコーディング、不定期な脆弱性診断、ネットワーク分離、認証などを提供している。これが既知の脅威対策として機能する。

 未知の脅威に対抗するためには、定期モニタリングを実施してセキュリティ運用を行っていくことが必要になる。Alert Logicを導入して、不正侵入検知、ログ監視、Webアプリケーション保護、24時間/365日のセキュリティ運用体制を実現する。

 最近では情報を抜き取る悪質なツールが、“ダークウェブ”の中で提供されている。こうしたツールを活用することで攻撃が容易に行われてしまう現実がある。

 「ゼロデイ攻撃対策として、セキュリティ運用を行っていくことが不可欠。自社でセキュリティ運用が難しい場合は、外部の事業者の活用もひとつの選択肢。当社ではAlert Logicという製品だけでなく、これを活用したセキュリティ監視サービスも提供している。こうしたサービスの利用で脅威に対抗して欲しい」(佐藤氏)


※クリックすると拡大画像が見られます

※クリックすると拡大画像が見られます

修正ソフトの提供がないWebアプリ


三井物産セキュアディレクション
プロフェッショナルサービス事業部
セキュリティエバンジェリスト
山谷晶英氏

 山谷氏は海外で行われたCTF(ハッキングのコンテスト)にも参加経験のあるセキュリティ技術者だ。「クラウドを利用していても危険があることを理解していない人は多い。まったく対策をとっていないケースもまだたくさんある」と指摘。特にWebアプリケーションについては、「わかりやすい例としてWindowsのようにメーカーが提供するソフトウェアは、脆弱性が発見されればWindowsUpdateを通じてメーカーが修正ソフトを提供してくれる。しかし、ユーザーが開発したWebアプリケーションについては脆弱性が発見されても誰かが修正ソフトを提供してくれるわけではないので自分で修正する必要がある」という。

 さらに開発会社にとって留意しなければならないこともある。開発したECサイトがハッキング攻撃を受け、顧客のクレジットカード情報が流出した際、契約上、セキュリティ要件が含まれていなかったにもかかわらず、開発会社がECサイト運営会社から告訴されて敗訴した例だ。

 「SQLインジェクションの対策が必要だと広く公表されている脆弱性を、開発会社が対策していないことで、開発会社に責任があるとされた。公開されているツールを使えば、高い知識を持っていなくてもハッキングする事が出来る。実際に小学生、中学生がハッキングしたというケースもある。開発に携わる人はこうした事実をきちんと認識しておく必要がある」(山谷氏)

 会場では山谷氏がハッキングを実演し、ID、パスワードを抜き取ることも簡単に行えてしまう実演をした。

オージス総研:
クラウド、Web API活用時代の企業の認証基盤のあり方


オージス総研
サービス事業本部 テミストラクトソリューション部 マネジャー
認証技術グループ 上席アーキテクト
八幡孝氏

 オージス総研は大阪ガスの100%子会社で、システム開発・運用、ソフトウェア開発などを手がけている。今回のセミナーでは、統合認証ソリューション「ThemiStruct(テミストラクト)」を紹介した。

 同社のサービス事業本部 テミストラクトソリューション部 認証技術グループ 上席アーキテクトの八幡孝氏は、「当社が統合認証ソリューションを提供し始めて15年になる。統合認証基盤には“利用者の利便性が向上する”“開発者への依存などセキュリティレベルのばらつきがなくなる”“システム開発がしやすい”“認証方式を多要素認証へ対応できる”“新方式対応など変更がしやすくなる”などのメリットがある。こういった点が理解されて、ユースケースも大きく拡大している」と説明した。

 認証基盤と聞くと利用を制限するものと考える人も多いが八幡氏は、「実はクラウド、デバイス、サービスを利用してもらうために認証基盤が大きな役割を果たす。特に従来のネットワーク型の境界防御が効かない時代にはアイデンティティ(属性情報)を用いた情報へのアクセス管理が重要」とデジタル化が進んだ中では、認証基盤を取り巻く状況が変わり、重要性も増したと強調する。

 クラウド上でアプリケーションを展開していく上で、ユーザー認証とアイデンティティ管理がますます重要となる。「こうした仕組みをアプリケーションごとに作るのは容易ではない。ユーザーが使いなれた認証システムと連携したユーザー認証、アプリケーションが必要とするアイデンティティの一元管理、アプリケーションへ認証結果と属性情報を提供ができる、アイデンティティプラットフォームが必要になってくる」(八幡氏)


※クリックすると拡大画像が見られます

重要性が増しているWeb API

 もう一つ、忘れてはいけないのがWeb APIの利用が広がっている点だ。公開型のWeb APIの数が増加し、調査会社が発表したAPI管理市場の規模も年々拡大している。このWeb APIをどう保護するのかは重要な課題だ。

 Web APIの場合、アクセス元であるクライアントの認証、アクセス権限、情報所有者によるアクセス許可などいくつかの要素を考慮する必要がある。一方、アイデンティティ連携を実現するために製品にもすでに搭載されている標準技術が存在する。そういった標準技術に適合することで、相互接続性を高めていける。標準化や製品への搭載も急速に拡大しており、この傾向はさらに加速していきそうだ。

 オージス総研が開発したThemiStruct(テミストラクト) Identity Platformは、AWSマネージドサービス上で動くアイデンティティ連携基盤。AWSマネージドサービスを利用することで、可用性の高いスケーラブルな認証基盤を短時間で構築することが可能となる。OpenID ConnectプロトコルのOP Basic、OP Implicit、OP Configの3つのプロファイルに適合した、OpenID Certifiedを実装した製品だ。

 八幡氏は、「認証基盤エンジニアは、今後はIdentity Professionalへ変容することが必要になる。当社ではそのためのエンジニア育成をすでにスタートしているが、今後は対応を強化していく」と話している。


※クリックすると拡大画像が見られます

関連情報

株式会社サーバーワークス
560社3,300プロジェクト以上のAWS移行実績!

三井物産セキュアディレクション株式会社
攻撃者視点を考慮した最適なセキュリティ対策・運用サービスを提供

株式会社オージス総研
クラウド、IoT時代の”All in one”認証プラットフォーム

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    AI導入に立ちはだかる「データ」「複雑さ」「コスト」「人材」の壁をどう乗り切ればいいのか?

  2. クラウドコンピューティング

    【IDC調査】2026年には75%のアプリがAIを実装!導入で遅れた企業はどう“逆転”すべきか?

  3. 運用管理

    経産省調査で明らかに:未だにレガシーシステムを抱える企業が8割!オープン化でよくある課題とは?

  4. 運用管理

    AWS東京リージョンの大規模障害に学ぶ、パブリッククラウド上のシステムの迅速な復旧方法

  5. windows-server

    【ユースケース】ソフトウェア開発にDell EMCインフラ+コンテナを使うメリット

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]