「【ビジネス編】AWS活用を考えているなら”必ず!”知っておくべきセキュリティの話」を開催しました!
はじめに
こんにちは、中山です。
8月25日(木)14:00からアマゾンウェブサービスジャパンさま大阪オフィスにて「【ビジネス編】AWS活用を考えているなら”必ず!”知っておくべきセキュリティの話」を開催しました。同日、時間をおいて「エンジニア篇」も実施しましたが、本エントリは「ビジネス編」のレポートです。
「【ビジネス編】AWS活用を考えているなら”必ず!”知っておくべきセキュリティの話」とは
セミナーの内容について紹介ブログより引用します。
本セミナーは「ビジネス編」ということで、AWSのセキュリティの基本的な考え方や、クラウドを使ってビジネスを伸ばすためのポイント、セキュリティレベルを上げるための脆弱性診断など、AWSをビジネスで活用する上で必要なセキュリティ対策や考え方についてご説明します。
以下に、それぞれの発表内容をお伝えします。
「AWSのセキュリティの基本的な考え方について」
最初のセッションでは、アマゾンウェブサービスジャパン株式会社の中橋さまより、AWSにおけるセキュリティの基本的な考え方について発表していただきました。
有名の言葉なので多くの方はご存知だと思いますが、AWSには共有責任モデルという概念があります。AWSとそれを利用するユーザ間でお互いの責任分界点を定めだモデルです。物理層をAWSが、その上で動くOSより上のレイヤをユーザが管理するという内容になっています。
AWSはさまざまな第三者認証を取得し、かつ各国のガイドラインに沿った形でデータセンターを運用しています。また、セキュリティはAWS内で最も高いプライオリティとして位置づけられ、毎年その分野に対して多大な投資、専門家の確保を実施しています。つまり、AWSを利用することでこれらのセキュリティを担保することができるということです。
ただし、第三者認証などはあくまで物理層に対して適用されているものであって、その上で動くOSには適用されません。専門的な知識を持ったエンジニアであればセキュアな設計ができますが、AWSユーザがみなそういった知識を持っている訳ではありません。
そこでAWS クイックスタートリファレンスデプロイというものがあります。これはセキュリティのベストプラクティスを遵守したシステムをCloudFormationを利用して瞬時に立ち上げられるというサービスです。Microsoft製品などエンタープライズ界隈で利用されることの多いサービスを取り揃えているので、まずはこういったサービスを利用してみると良いのではという内容でお話をしていただきました。
「クラウドの利便性を最大限活かすセキュリティとは?」
発表者はトレンドマイクロ株式会社 丸山さまです。まずクラウドにおけるセキュリティを考慮する上で、以下の3点を重要なポイントとして上げられていました。
- 柔軟なリソースの変化にどう対応するか
- ゲートウェイ型か/ホスト型か
- 巧妙化する攻撃にどう対応するのか
1点目の「柔軟なリソースの変化にどう対応するか」はオートスケーリンググループ(以下ASG)を主に想定されています。ASGはオンプレにはない(実装が難しい)クラウド特有の機能として一般的に利用されています。ASG構成の場合インスタンスはスケーリングポリシーに応じて増減します。セキュリティ製品がこの動作に対応していないとスケールアウト時に製品をインストールすることができません。そのため、無防備な状態でサービスインしてしまうという問題があります。
2点目の「ゲートウェイ型か/ホスト型か」は、セキュリティ製品をどこで動作させるかという点です。ゲートウェイ型の場合、例えばELBの前段においてサーバに流れてくるトラフィックをそこで全部受けるという構成になります。この場合ゲートウェイ機器がSPOFとなりますし、パフォーマンスがその製品に依存してしまうという問題があります。それに対して「ホスト型」はインスタンスの中にインストールする形態です。SPOFは回避できます。もちろんシステム毎になにを優先するのか異なるので一概にホスト型が優れているかとは言えませんが、導入のしやすさではゲートウェイ型よりも優れているので多くのシステムに導入しやすいのではないでしょうか。
3点目の「巧妙化する攻撃にどう対応するのか」は近年高度化しているセキュリティ攻撃に対応するためには、単一の機能だけではなく複数の機能を利用しなければいけないという点です。
で、これらを踏まえてTrend Micro Deep Securityはこれら全ての要件を満たしていると発表されていました。ASGに対応しているので、スケールアウト時にもエージェントがインストールされますし、ホスト型なのでSPOFは作りません。また、IDS/IPSなど複合的な機能を持っているのでその点も安心感があります。
最後にパッチ適用の話をされていました。インスタンスはサービスイン後セキュリティパッチを当て続ける必要があります。その作業は継続し続ける必要があるので、運用に負担を与える作業です。Deep Securityには仮想パッチという機能があります。これは、Deep Securityが自動で擬似的にパッチを適用することで、本物のパッチが適用されているかのように振る舞える機能です。この機能を利用することでもしパッチ適用が漏れていたとしても水際でセキュリティインシデントを防ぐことが可能です。
こういったクラウドに適したDeep Securityを是非お使いください、という内容でした。
「Deep Security監視・分析サービス「HOOT Security」のご紹介」
続いて弊社森永からの発表です。HOOT SecurityというDeep Securityを活用したセキュリティ運用サービスをご紹介しました。Deep Securityを使えば、AWSで安全にシステムを構築できるらしいことは分かった、しかし使い方がよく分からないし、運用もお任せしたい。そういったご要望にお答えするのがHOOT Securityになります。
Deep Securiyの構築から、24/365のセキュリティチェックまで至れり尽くせりなので、ご興味ありましたらぜひご連絡ください!
「知っておいて欲しい脆弱性診断の必要性と種類」
株式会社ターン・アンド・フロンティア 大久保さまの発表です。クラウドに関わらずシステムを構築する上で知っておくべきセキュリティについてお話していただきました。
発表の冒頭、興味深い判例をご紹介されていました。とあるインテリア会社のECサイトが不正アクセスを受け顧客情報が漏洩、開発元と訴訟に至ったというものです。この判決は開発ベンダに損害賠償が課されたのですが、その賠償額が契約書に書かれていた損害賠償額よりも大きく請求されました。何故か。情報漏えいの原因となったのはSQLインジェクションだったのですが、その対策を怠った点が重過失と判断されたためです。つまり、容易に回避可能だったにも関わらず、著しく注意を欠いて本来行うべき作業を怠ったと判断されました。この判例が物語っているように、セキュリティを考慮してシステムを設計するのは必須のタスクになっています。
情報漏えいの主な原因はソフトウェアの脆弱性を利用された事例が多いそうです。不適切なセッション時間、OSコマンド実行などなどさまざまな事例をご紹介してどういった点を考慮すべきがご紹介いただきました。
まとめ
自分自身疎いセキュリティについてさまざまなお話をお聞き出来ました。聴講されたみなさま、参加していただきありがとうございました。