【レポート】重要データを保護するためのアーキテクチャとアプローチ AWS-25 #AWSSummit

AWS Summit Online 2022のセッション『重要データを保護するためのアーキテクチャとアプローチ』の模様をご紹介します。アーカイブ動画は6/30まで!
2022.05.25

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

この記事では、2022年5月25日(水)に行われたAWS Summit Online 2022のオンラインセッション AWS-25『重要データを保護するためのアーキテクチャとアプローチ』をレポートします。

みなさん、データは適切に保護出来ていますか?

最近ランサムウェアでシステムが利用出来なくなった企業のニュースをよく耳にする気がします。

本セッションでは、そのような脅威に対するデータ保護アプローチと利用すべきAWSサービスを理解することが出来ます。

セッション概要

企業が扱うデータは日々増えています。データが企業にとって重要な資産となり、重要なデータは厳密に保護・管理しなければなりません。データ保護はオンプレミスでもクラウドでも重要な要素です。このセッションでは AWS が提供するデータ保護に関係するサービスを紹介し、それらのサービスを使った実践的なアーキテクチャについて解説します。

登壇者

アマゾン ウェブ サービス ジャパン合同会社

AWS 技術統括本部 ソリューションアーキテクト

河井 信彦 氏

セッションリンク

下記リンクからセッションの資料とアーカイブ動画をご確認いただくことが出来ます。

なお、セッション情報を参照するためにはAWS Summit Online 2022への無料登録が必要となります。

AWS Summit Online 2022 - 重要データを保護するためのアーキテクチャとアプローチ(AWS-25)

※セッション資料は上記リンク先の「添付ファイル」タブからダウンロードすることが出来ます。

※アーカイブ動画は2022年6月30日(木)まで視聴可能です。

レポート

  • なぜデータ保護が必要なのか?
    • 企業のデータ量が近年増加している
    • 企業にとってデータは重要な資産
    • しかし、ランサムウェア、標的型攻撃などデータに対する脅威の影響が大きくなっている現実。。。
    • また、各国で個人情報やプライバシー情報を保護する枠組みや法律が重要視されている
  • AWSにおけるデータ保護
    • AWSの取り組み
      • プライバシーの保護
      • データ利用の管理
      • アクセスの管理
      • 暗号化の管理
    • データ保護を行うことでビジネス成果の向上も
      • 顧客からの信頼獲得
      • 自動化による時間の節約とリスク軽減
      • ビジネスの成長に合わせた拡張
      • などなど
  • データ分類
    • Amazon Macie
      • S3バケットの中から重要情報(機密データ、個人情報)を検出可能なマネージドサービス
      • 評価、検出の結果をレポートとして出力可能
  • アクセス制御
    • AWS Identity and Access Management (IAM)
      • 認証・認可の仕組みを提供するマネージドサービス
      • ポリシーによって権限を制御
        • アイデンティティベースのポリシー
          • 主に何が出来るかを定義
          • 対象
            • IAM ユーザー
            • IAM ロール
        • リソースベースのポリシー
          • 主に誰が利用可能かを定義
          • 対象
            • Amazon S3
            • AWS Lambda
        • VPCエンドポイントポリシー
          • VPCエンドポイントポリシーをアタッチしたVPCエンドポイントを経由することで更に制御可能
  • データの暗号化
    • AWS Secrets Manager
    • AWS CloudHSM
    • AWS Key Management Service (AWS KMS)
      • 暗号鍵を効率的に作成、管理、運用するためのマネージドサービス
      • KMSでは鍵が階層化されて保護されている(envelope encryption)
      • 安全性
        • KSMキーはAWS CloudHSM(HSM)内で復号される
        • HSMにはAWSスタッフであってもアクセスすることが出来ない
      • 可用性
        • イレブンナインの耐久性を持ったストレージに暗号化されたKMSキーを格納することで永続化
      • キーポリシー
        • KMSキーへのアクセスを制御するためのポリシー
        • 全てのKMSキーには1つのキーポリシーが必要
  • データ保護のアプローチ
    • アプローチ 1: データ分類
      • 重要度機密性に基づいて組織データをカテゴライズする
      • データのカテゴリごとにS3バケットを分けて保管する
    • アプローチ 2: 保管中のデータの保護
      • 暗号化と適切なアクセスコントロールを行うことで、不正アクセスのリスクを軽減する
        • 公開可能情報
          • リソースベースポリシーでどこからでもアクセス可能とする
          • IAM ポリシーで一般利用ユーザーにGetListのみを許可
        • 重要情報
          • リソースベースポリシーでVPCエンドポイントを経由した場合にのみアクセス可能とする
          • IAM ポリシーで管理ユーザーにのみアクションを許可
          • VPCエンドポイントにセキュリティグループを設定し、更にアクセスを制御
          • S3バケットを暗号化し、鍵をAWS KMSで管理。更に、キーベースポリシーで利用者を制御する
    • アプローチ 3: 伝送中のデータの保護
      • 今回のセッションでは時間の問題で割愛
      • セッション資料末尾に参考資料あり

最後に

データの分類、アクセス制御、暗号化、どれも大事ですね。

本セッションではデータ保護のアプローチが構成図と共に解説されており、非常に理解しやすかったです。是非セッション資料をご覧ください。

以上、べこみんでした。