みなさん、こんにちは。昨日に続き、AWSのセキュリティサービスを使用する上での考慮点について、お伝えします。

AWSのサービスで実現できないセキュリティ対策

ここで、視点を変えて最も基本的な事項に関して、確認しておきましょう。つまり、セキュリティ対策とは本来何をすべきなのかということです。

ISMS(情報セキュリティマネジメントシステム)によれば、情報セキュリティは「機密性」、「完全性」、「可用性」の3つの要素を確保することであると定義されています。

  • 機密性:権限を持っている人のみが権限を持っている情報にアクセスできるということが実現されていること、つまりアクセス制御が行われていること。
  • 完全性:権限を持っている人が規定された手続きに則ってのみ情報の追加、変更、削除が行われることによって情報の正確性が保たれていること、つまりデータの改竄が行われないこと。
  • 可用性:権限を持っている人が必要な時に必要な情報にアクセスできること、つまりデータを提供する仕組みが常に動作していること。

また、別の見方としてセキュリティ上のリスクである「脅威」に対する対策として考慮する必要があります。報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2021」の中から上位に位置しているもの、そして対策としては以下のようなものがあります。

  • ランサムウェアによる被害:データを不正に暗号化して復旧のための身代金を取るマルウェアの一つであるランサムウェアによる被害です。対策としては不正な侵入を防ぐためのウィルス対策ソフトや脆弱性対応、また侵入を検知するための仕組みも必要です。
  • 標的型攻撃による機密情報の窃取:メールに組み込まれた、あるいは有名なWebサイトに仕込まれた不正サイトへのリンクや不正ソフトウェアの配布による被害です。基本的な対策は怪しいリンクをクリックしないという意識の改革などです。
  • 内部不正による情報漏洩:企業内部の人による機密情報の漏洩です。対策としてはより厳密なアクセス制御、不正行為の検知の仕組みの導入、人の意識改革などです。
  • テレワーク等のニューノーマルな働き方を狙った攻撃:テレワークのために使用する自宅のWi-Fi機器や公衆無線LAN等を利用した攻撃などです。対策としてはこれらの機器等に企業内と同様なセキュリティ設定や仕組みを導入する、またより厳密な使用規則を設けるなどです。

今まで述べてきたような3つの要素の実現や脅威への対策の一部はAWSのサービスで実施可能ですが、ほとんどのものはそれ以外の対策を取らなければならないものです。

これを図で表すと以下のようになります。

このように、AWSのセキュリティサービスはそれぞれ有用ですが、それらはセキュリティ対策のほんの一部でしかないことを認識し、カバーできていない部分、特に可用性に関する部分、及び人的教育等にも適切な対策を実施することが重要になります。

セキュリティ対策とDevOps

DevOpsという言葉を聞いたことがあるでしょうか?DevはDevelopmentすなわちアプリケーションの開発、OpsはOperationすなわちインフラの運用です。今までは完全に独立して行われていたこの2つのアクティビティを1つに繋げて開発は運用を、運用は開発を見据えてお互いにそれを前提とし機能するのがDevOpsです。それによって、開発サイクルは早くなり、より安全に素早く要件を満たしたアプリケーションと強固な実行環境を提供することができるようになります。

DevOpsはアーキテクチャであると同時に、実質的にはDevOpsを実現するためのツールの集まりが有機的に連携して動いている世界です。それは自動化ツール、コード開発のツール、コンテナ管理ツール、コンテナの構築・運用ツールなどです。さらにこのようなツールはDevOpsの目標である即時性を重要視するためにセキュリティ的な脆弱性が現れやすくなっています。このような状況の中では、セキュリティは1つの大きな課題となっています。

一つの解決方法はインフラのコード化と同様な方法でセキュリティのコード化を行うことです。これによって開発段階からすでにセキュリティ対策が考慮されたアプリケーションを作成することができます。

そして、セキュリティプロセスの自動化です。これはサーバーの構築や設定を自動化の内容にセキュリティ的な対策を仕込んで実施するという方法や、それらの自動化と同じ方法で、セキュリティ対策の運用時の実際の活動を自動化することができます。今回ご紹介したGuardDuty、Inspector, WAF, Control Towerはこのような自動化の一部を実現しています。

また、もう一つ重要なのはやはり権限の分離(SOD: Segregation of Duties)です。人であれ、プログラムであれ、それぞれが扱える範囲を限定することによってお互いのセキュリティ的なリスクが大きな範囲に及ばないようにすることができます。

終わりに

この記事の中では、AWSの提供するセキュリティ関連のサービスの解説をしながら、それらではカバーできないエリアを含む、根本的なセキュリティ対策として何が必要なのか、また、アプリケーション開発やインフラ運用の統合概念としてのDevOpsのご紹介もしてきました。このように、これからのIT業界は個別のプログラムやサービス等を利用するという従来のやり方ではなく、全ての機能と連携するためのベース部分を組み込んだパーツの組み合わせとしてコストと効果を考慮しながらパーツを選択して稼働するという形になるのではないかと思われます。そのような環境で必要なのは個別の機能の優劣ではなく、どう他の機能と連携するかというベース部分のアーキテクチャになるはずです。そういうアーキテクチャが得意なのはやはりAWSであり、Googleであるはずです。今後もAWSのサービスの進化から目を離せないことは確かでしょう。

▼「無料相談」受付中です。AWSに関することは、どんなことでもお気軽にご相談ください。
https://www.sunnycloud.jp/contact-us/