AWS クラウドにおけるセキュリティ計画の 5 つのゴールデンルール

By Rackspace JP – 2021年5月1日

クラウド上に何かを配置するとき、それはセキュアである必要がありますー必ず最初からです。Amazon Web Services (AWS) を選ぶと、AWS がハードウェア、ソフトウェア、ネットワーク、設備をセキュアにしているという安心感があります。しかし、クラウド上に配置、設定するすべてのものをセキュアにする責任はAWS利用者側にあります。例えば、次のようなものがあります。

  • 顧客データ
  • プラットフォーム、アプリケーション、アイデンティティ、およびアクセスの管理
  • オペレーティングシステム(OS)、ネットワーク、およびファイアウォールの設定
  • クライアント側のデータ暗号化とデータ整合性認証
  • サーバ側のファイルシステムやデータの暗号化
  • ネットワークトラフィックの保護 (暗号化やアイデンティティの整合性認証を含む)

セキュリティは、皆さんと AWS との間で共有される責任です。したがって、それぞれの役割を果たす必要があります。機密データが漏洩したり、不正アクセスの危険に晒されるリスクを冒すわけにはいきません。そのため、AWSクラウド環境の保護と監視は不可欠です。

この記事では、クラウド環境を計画および構築する際に従うべき 5 つのゴールデンルールに沿い、セキュリティエンジニアリングの重要性について説明します。

1. セキュリティエンジニアリングは最初のステップで

始めるのは常にセキュリティからです。AWS のクラウド環境で何を行うかの検討がついたら、データやアプリを追加する前に、適切なセキュリティ管理を確立しましょう。さらに、それを義務付けるするプロセスも確立すべきです。

セキュアにするのは後からで良い、という考えや圧力がある場合もあるでしょう。多くの場合、企業は他のビジネス目標を優先しがちだからです。しかし、セキュリティを事前に準備しておかないと、適切なセキュリティコントロールを導入する前に、不正アクセス、データ損失、悪意のある者による攻撃などのリスクを負う可能性があります。

2. 万能な唯一の施策などない

セキュリティを取り巻く環境は複雑です。さまざまなツールや手段がありますが、何か一つのセキュリティソリューションまたは製品が、すべての環境で最適とは限りません。それぞれに異なる特性があるためです。

最も適切なセキュリティツールと製品を選択し、クラウド環境の使用方法、クラウド上に保存するデータ、およびコンプライアンス要件に適合させる必要があります。

そのため、セキュリティとお客様のクラウド環境を十分に理解しているチーム (またはパートナー) がいることが重要です。これらのスキルを組み合わせることで、適切なセキュリティ管理を確立することができるでしょう。

3. セキュリティエンジニアリングの中心は人である

セキュアな AWS クラウド環境を正しくセットアップするには、適切なチームが必要です。しかし、すぐに人を排除するという考えは間違いです。問題に対応できるチームやプロセスがなければ、クラウドに組み込まれたツールやモニタリングには価値がないからです。

ツールを使用すると、クラウド環境で発生している状況は把握できますが、24時間365日体制で監視(https://www.rackspace.com/solutions/protect-my-data)しているスタッフがいなければ、データが漏洩したり消失したりするリスクがあります。そのため、お客様のクラウド環境をより完全に保護するための、SOC に相当する組織が備わっていることをチェックしましょう。

4. セキュリティは、導入したら終わり、ではない

セキュアな AWS 環境をセットアップしたとしても、まだまだ始まったばかりだと考えて下さい。セキュリティエンジニアリングは、新しいアカウントを作成したときに発生する1度きりの仕事ではありません。自身のクラウドの利用状況に基づき、常に進化する必要があります。

AWS クラウド環境を定期的にレビューするプロセスを作成しましょう。その際には、クラウド上で何をしているのか、利用状況がどのように変化したのか、使い始めた新しいサービスのことを理解している人たちと協力しましょう。セキュリティ管理とプロセスは、これらに応じて選択しなければなりません。

5. クラウドは以前のものとは根本的に異なる

専用の物理環境からクラウド環境に移行する際、苦労される企業をよく見てきました。そのような企業の多くは、境界型セキュリティデバイスにより、社内のリソースを外部から分離することで、セキュアな環境を構成することに慣れていました。これは、特定のシナリオでは十分なレベルの保護を提供しますが、クラウドでは十分ではありません。

クラウドにあるすべてのものがサーバー上で動作するわけではありません。1つのファイアウォールですべてを保護することはできません。したがって、セキュリティへのアプローチ方法も変える必要があります。脅威の検出については、企業ネットワークの枠を超えて考える必要があります。 例えば、企業のファイアウォールを通過する必要のない、クラウド環境へのAPIコールの考慮も必要になります。使い慣れたツールや製品だけでなく、適切なツールや製品を使用し、脅威、リスク、セキュリティソリューション、ツールを理解している人と協力することが重要です。

パートナーシップにおけるセキュリティ

AWS クラウドのセキュリティを効果的に構築するためには、セキュリティ、クラウドそのもの、クラウド固有のセキュリティ製品に関する専門知識が必要です。そのため多くの場合、その分野の専門家とパートナーシップを結びます。

Rackspace Technology は、AWS Security Hub の最初のコンサルティングマネージドセキュリティサービスプロバイダ (MSSP) パートナーであり、グローバルな Security Operations Center (SOC) の認定セキュリティエキスパートによる24時間サポートを含む、AWSクラウドネイティブセキュリティ製品のコンサルティングサービスを提供しています。

Rackspace Technology は、この記事で紹介した次のような考えを持っています。セキュリティから始めること。万能な唯一の施策はないこと。セキュリティエンジニアリングのニーズは時間とともに変化すること。これが、我々がAWS のクラウドネイティブセキュリティソリューションなど、Cloud Native Security 製品を使用したマネージドセキュリティサービスを提供する理由です。

当社の目的は、お客様がセキュリティに関する目標の達成ができるよう、クラウド環境の保護に役立つスキルと専門知識を組み合わせることです。弊社とのパートナーシップを結んでいただくかどうかに関わらず、手遅れになる前に、クラウド環境の安全性を確認することを優先していただきたいと思っています。

本記事の翻訳編集は、アイレット株式会社Rackspace 事業部ソリューションアーキテクトの猪狩章が担当いたしました。