ガバナンス強化に不可欠な「クラウドのセキュリティ対策」、そのノウハウとは

ZDNET Japan Ad Special

2019-02-27 16:00

[PR]セミナー講演より。AWSの活用をテーマに、企業がクラウド環境でガバナンスをどう効かせていけばいいのか、複数のソリューションベンダーの専門家らがアドバイスした。

ZDNet JapanおよびAWS Partner Networkの主催で、クラウドの中心的存在である「アマゾン ウェブ サービス(AWS)」をテーマにした全6回のオフラインセミナーが開催された。2018年12月6日に実施の第6回のテーマは「ガバナンス」。企業の情報活用でいまやクラウドは不可欠な存在だが、クラウドならではの安全性の確保と企業内のガバナンスを考える必要がある。ガバナンスを強化するために、どのようにクラウドのセキュリティとガバナンスを強化していけばよいのか、関連ソリューションを提供する企業が登壇したセッションでは、そのノウハウが紹介された。ここではその内容をレポートする。

パロアルトネットワークス:クラウド特有の脅威への対応は不可欠

パロアルトネットワークス
クラウドセキュリティスペシャリスト
泉 篤彦氏
パロアルトネットワークス
クラウドセキュリティスペシャリスト
泉 篤彦氏

 パロアルトネットワークスのセッションでは、クラウドセキュリティスペシャリストの泉篤彦氏が登壇。「コンプライアンス統合と監視を実現する! AWS環境におけるセキュリティ運用の勘どころ」と題して、AWS環境上のセキュリティ状況をAPI経由で監査して評価レポートを自動作成し、全社的なコンプライアンスを確保する方法を紹介した。

 ファイアウォールなどのネットワークセキュリティやエンドポイントセキュリティで知られるパロアルトネットワークスだが、近年存在感を高めているのはクラウド分野だ。クラウド環境で動作する次世代ファイアウォール「VM-Series」や拠点/モバイル対応サービス「GlobalProtect Cloud Service」を提供し、クラウドにおける脅威から企業を保護している。

 泉氏はクラウド特有の脅威について「クラウドへのアクセス方法は複数あり、そのすべてで正しい管理をしなければなりません。Webログイン、CLI、APIそれぞれに対して個別のセキュリティ管理を行う必要があります。例えば、ID+パスワードには多要素認証が設定できますが、認証キーによるCLIやAPIアクセスでは設定できません。便利なクラウドでもユーザー側での管理が疎かになると、認証キー情報をハードコードし、GitHubで公開して乗っ取られるという事故などにつながります」と説明した。

AWSのネイティブサービスと連携し、セキュリティを強化

 こうした脅威に対抗するために同社が提供しているのが、APIベースのセキュリティ、コンプライアンス対応製品「RedLock」だ。RedLockはクラウド環境のセキュリティ状況を可視化し、コンプライアンス遵守を徹底させるためのソリューションだが、継続的かつリアルタイムな監視が可能で、エージェントは必要ないのが特徴だ。

 「RedLockを利用すると、クラウドからのアクセスキーの流出やいつもと違う場所からのアクセスキーの利用などを検出したり、不適切な公開設定や悪意のあるIPからのデータベースアクセスを検知したりできます。AWSネイティブセキュリティサービスと連携し、AWSクラウドのセキュリティを高めます。また、人的スキル依存から脱却し、機械化による24時間365日の監視体制を構築することが可能です」(泉氏)

 泉氏は、同社のクラウドサービス向けのセキュリティ対策として、マシンラーニングを利用した防御の自動化や、他社と連携しながら脅威インテリジェンスをプラットフォームとして提供する取り組みも紹介。パロアルトネットワークスのクラウドへの注力ぶりを印象づけた。

パロアルトネットワークスはクラウドセキュリティに注力 パロアルトネットワークスはクラウドセキュリティに注力
※クリックすると拡大画像が見られます

クラスメソッド:AWSを安全に利用するための3つのアクション

クラスメソッド
AWS事業本部プロダクトグループ
マネージャー
田子 昌行氏
クラスメソッド
AWS事業本部プロダクトグループ
マネージャー
田子 昌行氏

 クラスメソッドのセッションでは、AWS事業本部プロダクトグループ マネージャーの田子昌行氏が登壇。「事件防止の鉄則は、AWSのセキュリティ設定とアカウント管理の可視化から」と題して、AWS上で適切なセキュリティ設定とアカウント管理を行うツールを紹介した。

 クラスメソッドは、クラウド、モバイル、ビッグデータに特化したコンサルティングとシステム設計・開発サービスを提供する企業だ。AWSに強みを持ち、「AWSパブリックセクターパートナープログラム」や多くの「AWSサービスデリバリープログラム」の認定を取得している。

 田子氏はまず「AWSは利用用途に応じたサービスが数多く用意されており、さらにサービスアップデートによる機能拡張も次々と行われ、ますます便利になっています。しかし、Amazon S3に格納された情報が 意図せず公開されていたことによる情報流出事故なども発生しています」と指摘。そのなかで、AWSを安全に利用するためには利用者が、「責任範囲を理解する」「現状を把握する」「対策をする」という3つのアクションが欠かせないとした。

小さな発見と対策が事故の発生を防ぎ大きな安心に

 「責任範囲を理解する」は、AWSの「責任共有モデル」とAWSが提供するセキュリティ機能を正しく理解することが必須となる。具体的には、IAMやセキュリティグループ、KMS、各種ログシステムなどだ。

 また、「現状を把握する」では、AWSが提供するホワイトペーパー「AWSセキュリティのベストプラクティス」「AWSセキュリティチェックリスト」「CISベンチマーク」などを紹介。具体的にどのようにAWSのセキュリティ機能を活用してセキュリティ対策を行えばよいかをガイドした。

 とはいえ、AWSセキュリティではチェック項目も多く、AWSアカウントを複数運用している場合は調査をより簡単にやる必要がでてくる。そこで同社が提供しているのが「insightwatch」というサービスだ。insightwatchを利用すると、利用者のAWS環境において適切なセキュリティ対策が設定されているかを簡単にチェックし、ユーザーの負担をさらに軽減することができる。

 「CISベンチマーク、AWSセキュリティチェックリスト、IAMベストラクティスに基づくセキュリティチェックが可能です。チェック結果のレポートと設定ガイドの提供、複数AWSアカウントの統合管理もできます」(田子氏)

 また、「対策をする」では、CISベンチマークはあくまで基準とし、「闇雲に対応するのではなく、評価項目の意図を理解し、必要に応じて適切な対策をすることが重要。小さな発見と対策が事故の発生を防止して大きな安心につながります。専門家の助けを借りることも大切です」と説明した。

適切なセキュリティ対策かどうかを簡単にチェック 適切なセキュリティ対策かどうかを簡単にチェック
※クリックすると拡大画像が見られます

アクアシステムズ:「アクセスできる人」がデータベース管理で最も危険

アクアシステムズ
Sales Division
マネージャー
安澤 弘子氏
アクアシステムズ
Sales Division
マネージャー
安澤 弘子氏

 アクアシステムズのセッションではSales Divisionマネージャーの安澤弘子氏が登壇。「ビッグデータ時代に考える『データベース』視点のデータ保護と企業ガバナンス」と題して、データベース視点のデータ保護と企業ガバナンスについて事例を交えて紹介した。

 アクアシステムズは1998年から20年間、エンタープライズにフォーカスし、データベースの診断・チューニング・監査・運用管理・コンサルテーションなど、データベースに特化したビジネスを展開する企業だ。2012年9月からはAPN テクノロジーパートナーとしてAWSに対応したデータベースソリューションを提供。データベースのクラウド移行、マイグレーション、最適化といった、クラウドとデータベースを組み合わせた領域で多くの経験、実績を持つ。

 安澤氏はまず、データベース管理で最も危険で対策が必要なのは「アクセスできる人」だとし、データへのアクセス権を持つ内部のDB管理者(DBA)、運用担当者、システム開発者、あるいはのっとり、なりすましなどによってアクセスが可能になった外部ユーザーに対するモニタリングの重要性を訴えた。

 「ファイアウォールやIDS/IPS、WAFなどでは、データベースのアクセス権限を持つ正規ユーザーの動きを監視し不正操作をとらえることができません。「アクセスできる人」の操作をモニタリングし、どう不正を検知するかが重要です」(安澤氏)

定評あるデータベース監査ツールでセキュリティ対策

 そこで必要となるのがAmazon RDSなどのデータベース層でのセキュリティ対策である。しかしながら、実際に対策を行っている企業はそれほど多いとはいえない。DB管理者(DBA)や内部担当者の“良心”に依存している状況なのだ。

 データベース層でのセキュリティ対策、監査対応を実現するために、Amazon RDSなどのデータベースでの操作をモニタリングする製品としてアクアシステムズが提供しているのが「AUDIT MASTER」だ。Oracle Database、SQL Server、MySQLなどを監視するツールとして定評があったが、2012年11月にAmazon RDSにも対応し、現在はAmazon Auroraも含めすべてのAmazon RDSデータベースに対応している。

 「特徴は、エージェントが不要ですぐに操作ログのモニタリングが開始できること、クラウドを含めどんな場所、構成でも対応できること、クラウド・オンプレミスなど複数の環境のデータベースも一元的に統合管理できることです」(安澤氏)

 安澤氏はソニー銀行などの導入事例をベースに、データベース層でのセキュリティ対策として、AWSセキュリティ設定や、SQLインジェクション対策、サーバ乗っ取り対策、内部不正対策のポイントを解説。今後、AI/機械学習を活用した検知を提供することも紹介した。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]