AWS TRAINING COURSE
---LESSON 16---

ビジネスの俊敏性とセキュリティを同時に確保
AWSセキュリティ

あらゆるシステムで検討が必要となるセキュリティですが、今回はAWSでセキュリティを検討する上で、押さえておきたいポイントを解説します。AWSセキュリティを正しく理解すれば、ビジネスの俊敏性とセキュリティを同時に確保することが可能となります。

グローバルなセキュリティとコンプライアンス
優れた可視性と統制による安全な拡張

講師:
アマゾン ウェブ サービス ジャパン
パートナーアライアンス統括本部
ストラテジック SI 技術部
シニア パートナー ソリューションアーキテクト
大場 崇令氏

 AWSではお客さまのコンプライアンスに対する労力を支援するため、何千ものグローバルコンプライアンス要件に対する第三者評価を定期的に受けています。金融、小売、ヘルスケア、政府機関などのセキュリティとコンプライアンス基準を満たすことを支援するための継続的な監視をしています。

 PCI-DSS、HIPAA/HITECH、FedRAMP、SEC Rule 17-a-4、EUデータ保護指令、FISMAなど、AWSはセキュリティ基準やコンプライアンス認証をどこよりも多くサポートし、世界中の規制当局に対するコンプライアンス要件を満たす手助けをしています。

 AWSではデータをどこに保存し、誰がアクセスでき、どのリソースをいつ使うかの統制をお客さまがコントロールできます。きめ細かいIDとアクセスの管理や、セキュリティ情報のニアリアルタイムでの継続的監視によって、お客さまの情報がどこにあろうとも正しいリソースにいつでも正しくアクセスすることができます。

 規模を拡張するときも構成変更などの疑わしいセキュリティイベントを検知する監視サービスやセキュリティオートメーションを活用して、リスクを低減することが可能です。既存ワークフローの改善や運用の効率化、コンプライアンス報告を簡素化するために既存ソリューションとAWSサービスを統合することもできます。

最高水準のプライバシーとデータセキュリティ
AWSサービスを活用したセキュリティの自動化

 AWSではワールドクラスのセキュリティ専門家チームを持ち24時間 365 日、お客さまのデータを保護しています。AWSのお客さまは常に暗号化、データの移動、保存、管理などデータに対する所有権を持ちつつ、安全性が非常に高いグローバルインフラストラクチャーを利用できます。

 AWS Key Management Service(KMS)で管理される暗号鍵を使用したり、FIPS 140-2 レベル3準拠のハードウェアセキュリティモジュールを使用したCloudHSMでお客さま自身の暗号鍵を管理したりするなど、転送中データや保存されたデータの暗号化を簡単に実現できるツールを提供し、正規のユーザーにしかアクセスできないようすることも可能です。

 AWSでは複数のサービスを組み合わせることによって、セキュリティプロセスを自動化することも可能です。サービス連携による自動化を検討することで、セキュリティインシデントの影響を封じ込める、または影響の最小化を目指すこともできます。クラウドを活用する上で拡張性、コスト、信頼性の観点からもセキュリティの自動化は不可欠です。

 セキュリティイベントの検知から対応完了までの時間を比較しても、自動化することで対応スピードを早めることができます。AWSではAWS Lambdaなどのサーバーレスなアプリケーション実行環境のサービスがあり、何らかのイベントが発生した際に、自動的に対応を開始できるような仕組みを簡単に作ることができます。これをセキュリティの対応にも役立てようというのが、セキュリティオートメーションの発想です。

AWSのセキュリティは責任共有モデルが原則
ホワイトペーパーや各種監査レポートを提供

 AWSにおけるセキュリティの考え方は、責任共有モデルが原則になります。別掲図(AWSの責任共有モデルにおける責任の範囲)のオレンジ色の部分、データセンターやリージョン、アベイラビリティーゾーン、ハイパーバイザーなどAWSサービスを利用する上で必要な基盤部分についてはクラウドベンダーであるAWSの責任範囲となります。

 そして濃いグレーの部分がお客さまの責任範囲となります。AWSサービスの利用、および利用されているサービス上に保存されたデータやアプリケーションの統制についてはお客さまの責任の範囲となります。

 またクラウド上のシステムやワークロードはお客さまとAWSの共有責任となります。それぞれの責任の範囲を理解し、実施すべきセキュリティ対策を検討していく必要があります。

 AWSが実施しているセキュリティ対策については各種ホワイトペーパーを提供しているほか、NDA(秘密保持契約)の締結を前提としたAWS Artifactと呼ばれるAWSサービスより取得できる各種監査レポートにて参照することができます。

 AWSではさまざまな観点からホワイトペーパーを提供しており、セキュリティについても豊富なホワイトペーパーを提供しています。例えばAWS Well-Architectedフレームワークのセキュリティの柱のホワイトペーパーでは、AWSクラウド内でお客さまのデータと資産を安全に保護できるように実施すべきベストプラクティスについて詳細に説明されています。