AWSの意外な落とし穴!セキュアなAWS運用はどう実践すべきか

IT・IT製品TOP > Key Conductors > 吉田 浩和(アイレット株式会社) > AWSの意外な落とし穴!セキュアなAWS運用はどう実践すべきか
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

AWSの意外な落とし穴!セキュアなAWS運用はどう実践すべきか

データセンター 2016/02/04

 AWS(Amazon Web Services/アマゾン ウェブ サービス)は、今では企業規模や業種を問わず、誰もが利用するクラウドサービスプラットフォームになりました。グローバルで鍛えられ、実績が豊富、サービスメニューも多様なことから、Webシステムはもちろん、従来ならオンプレミス構築が常識だった基幹系システムにも多用されています。

 しかしながら「IT資産のオフバランス化」や「運用管理の省力化」などにばかり注目してAWSに業務システムを構築・移行していくと、特にセキュリティ面の実装がおろそかになり、気づかずに高リスクなシステムになっていることがあるのです。セキュリティ設定と運用は、オンプレミス構築システムと本質的には変わらず、ちょっとした勘違いや間違った思い込みが、情報漏洩などの思わぬ大事件に発展しないとは言えません。

 そこで今回は、AWSを安全に利用するために、IT部門や業務部門の担当者が知っておくべき「落とし穴」と、そこに陥らないようにするコツを、4回連載で紹介していきたいと思います。

AWSセキュリティの落とし穴とは?

 AWSが企業システムのプラットフォームに広く利用されている理由の1つは、ITリソースの調達に関わる時間が劇的に短縮できることです。オンプレミス構築の場合は少なくとも月単位のスケジュールで調達計画を立てるのが一般的でしょう。それに対してAWSをはじめクラウドサービスによれば、どのようなサーバーでも数分程度で利用が始められます。また必要がなくなれば簡単に削除することも可能です。1つのサーバーを構築できれば、それをコピーする形でいくらでも同じ構成のサーバーが作れるところも大きな違いです。

 この使い勝手の良さが、実は「セキュリティの落とし穴」を作る要因になっています。例えば、必要なリソースが簡単に手に入る手軽さから、セキュリティ実装をあまり考えずに運用を始めてしまうことがあります。また、運用を続けるうちにシステムは膨張していくことが多く、本来は業務の性質に合わせて調整しなければいけない設定が調整されないまま、単純にコピーされたサーバーが、当初の用途とは違う目的に使われてしまうこともよくあります。加えてオンプレミス構築システムと同様のアクセス権限管理がリスクを生むこともままあります。こうした、AWSの運用開始前にはなかなかわからないセキュリティ面でのポイントについて、第2回記事で詳しく解説します。  

AWSは高セキュリティ…その意味を取り違えてはいけない

 AWSを利用するもう1つの理由に「堅牢なセキュリティ」が挙げられることも多くなっています。AWS自身がそう主張するところなのですが、「だからセキュリティには手間をかけなくてよい」ということにはなりません。AWSはユーザーとセキュリティについて責任を分かち合う「共有責任モデル」が前提になっています。 AWS側が自身の責任として担保するのは、データセンターのファシリティに対する物理的なセキュリティ、ファシリティ内のネットワークセキュリティ、ハイパーバイザの管理など、クラウドサービスのインフラに関わる領域に限られます。その領域では、法的規制に対応し、標準・ベストプラクティスなどをグローバルに取り込んでいるAWSは非常に堅牢なセキュリティを実現していると言えます。

 しかし、その安全なインフラの上に載る、ユーザーのシステムやデータ、ユーザーとシステム間のネットワーク、コンテンツ・データについてAWSは基本的にノータッチです。その領域についてのセキュリティは、ユーザー自身が担保しなければなりません。AWSにはセキュリティに関する多くのサービスがありますが、それらは自動的に適用されるものばかりではありません。ユーザーが必要なサービスを選び、時には外部のパートナーのソリューションの力も借りて、システムに適切なセキュリティを組み込んでいくことになります。

 セキュリティに関してAWS側とユーザー側とで責任の範囲が違うことに注意が必要です。インフラ以外の部分ではオンプレミス構築システムと同様に自社でセキュリティ実装を図る必要があり、それに対応できる体制と意識が大切です。これについては、第3回記事で詳しく述べたいと思います。

AWSの共有責任モデル

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

AWSの共有責任モデル
この図は、AWS上でcloudpackが構築に携わった場合の共有責任モデルです。cloudpackが関与しないシステムの場合は、cloudpackの欄に書かれた分野も含めてお客様の責任範囲と理解することができます。

セキュリティのプロは、あなたのシステムのプロではない!?

 そうはいっても、セキュリティに精通する技術者が社内に確保できないという悩みを抱える企業も多いことでしょう。そこで運用管理負荷を軽減する各種のセキュリティツールを利用したり、それで足りない部分は外部業者にアウトソーシングすることになります。現在はAWSに多様なツールが揃っており、セキュリティ診断やコンサルティング、実運用を行う業者も増えています。上手に利用することで、セキュリティを継続的に高度に保つことが可能です。

 しかし、セキュリティ製品を導入して安心してしまったり、セキュリティサービスベンダーにセキュリティ運用を丸投げしてあとは任せっぱなしにしたりするのは禁物です。セキュリティ製品は対策の道具でしかなく、セキュリティベンダーはシステムのオーナーではありません。何が本当にビジネスのリスクにつながるのかは、ツールや外部パートナーには判断できないのです。セキュリティ対策はビジネスを守るためにするのが本筋。これを忘れないように対策していく必要があります。

 第4回記事では、外部業者やセキュリティツール、サービスを利用する場合の注意点について解説していきます。

今後、連載予定の記事テーマ

2回:AWS「セキュリティあるある」……気づかないと危険!3つの落とし穴

3回:AWS利用に必要なセキュリティ体制と意識とは

4回:外部パートナーの力を借りたAWS運用のメリットと注意ポイント

 AWSは上手に使えばコスト削減と生産性アップに直結しますが、万一の重大事故が起きると、その利益は一挙に吹き飛んでしまいかねません。オンプレミスとは少々違ったAWSの仕組みを理解し、リスクを最小にするために、本記事をお役立ていただければ幸いです。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008561


IT・IT製品TOP > Key Conductors > 吉田 浩和(アイレット株式会社) > AWSの意外な落とし穴!セキュアなAWS運用はどう実践すべきか

このページの先頭へ

キーマンズネットとは
AWS認定ソリューションアーキテクト。AWSプレミアコンサルティングパートナーであるcloudpackにjoin後、インフラ構築チームリーダーを経て、2014年4月からcloudpackが提供開始したDeep Security 運用代行サービス「securitypack」の運用責任者を務める。「セキュリティは運用が命」を信条に日夜情報発信する。

ページトップへ