【レポート】重要データを保護するためのアーキテクチャとアプローチ AWS-25 #AWSSummit

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

この記事では、2022年5月25日(水)に行われたAWS Summit Online 2022のオンラインセッション AWS-25『重要データを保護するためのアーキテクチャとアプローチ』をレポートします。

みなさん、データは適切に保護出来ていますか？

最近ランサムウェアでシステムが利用出来なくなった企業のニュースをよく耳にする気がします。

本セッションでは、そのような脅威に対するデータ保護アプローチと利用すべきAWSサービスを理解することが出来ます。

セッション概要

企業が扱うデータは日々増えています。データが企業にとって重要な資産となり、重要なデータは厳密に保護・管理しなければなりません。データ保護はオンプレミスでもクラウドでも重要な要素です。このセッションでは AWS が提供するデータ保護に関係するサービスを紹介し、それらのサービスを使った実践的なアーキテクチャについて解説します。

登壇者

アマゾン ウェブ サービス ジャパン合同会社

AWS 技術統括本部 ソリューションアーキテクト

河井 信彦　氏

セッションリンク

下記リンクからセッションの資料とアーカイブ動画をご確認いただくことが出来ます。

なお、セッション情報を参照するためにはAWS Summit Online 2022への無料登録が必要となります。

AWS Summit Online 2022 - 重要データを保護するためのアーキテクチャとアプローチ(AWS-25)

※セッション資料は上記リンク先の「添付ファイル」タブからダウンロードすることが出来ます。

※アーカイブ動画は２０２２年6月30日(木)まで視聴可能です。

レポート

• なぜデータ保護が必要なのか？
  • 企業のデータ量が近年増加している
  • 企業にとってデータは重要な資産
  • しかし、ランサムウェア、標的型攻撃などデータに対する脅威の影響が大きくなっている現実。。。
    • IPAの「情報セキュリティ10大脅威 2022」ではデータに対する脅威が4つもランクイン
  • また、各国で個人情報やプライバシー情報を保護する枠組みや法律が重要視されている
• AWSにおけるデータ保護
  • AWSの取り組み
    • プライバシーの保護
    • データ利用の管理
    • アクセスの管理
    • 暗号化の管理
  • データ保護を行うことでビジネス成果の向上も
    • 顧客からの信頼獲得
    • 自動化による時間の節約とリスク軽減
    • ビジネスの成長に合わせた拡張
    • などなど
• データ分類
  • Amazon Macie
    • S3バケットの中から重要情報(機密データ、個人情報)を検出可能なマネージドサービス
    • 評価、検出の結果をレポートとして出力可能
• アクセス制御
  • AWS Identity and Access Management (IAM)
    • 認証・認可の仕組みを提供するマネージドサービス
    • ポリシーによって権限を制御
      • アイデンティティベースのポリシー
        • 主に何が出来るかを定義
        • 対象
          • IAM ユーザー
          • IAM ロール
      • リソースベースのポリシー
        • 主に誰が利用可能かを定義
        • 対象
          • Amazon S3
          • AWS Lambda
      • VPCエンドポイントポリシー
        • VPCエンドポイントポリシーをアタッチしたVPCエンドポイントを経由することで更に制御可能
• データの暗号化
  • AWS Secrets Manager
  • AWS CloudHSM
  • AWS Key Management Service (AWS KMS)
    • 暗号鍵を効率的に作成、管理、運用するためのマネージドサービス
    • KMSでは鍵が階層化されて保護されている(envelope encryption)
    • 安全性
      • KSMキーはAWS CloudHSM(HSM)内で復号される
      • HSMにはAWSスタッフであってもアクセスすることが出来ない
    • 可用性
      • イレブンナインの耐久性を持ったストレージに暗号化されたKMSキーを格納することで永続化
    • キーポリシー
      • KMSキーへのアクセスを制御するためのポリシー
      • 全てのKMSキーには1つのキーポリシーが必要
• データ保護のアプローチ
  • アプローチ 1: データ分類
    • 重要度と機密性に基づいて組織データをカテゴライズする
    • データのカテゴリごとにS3バケットを分けて保管する
  • アプローチ 2: 保管中のデータの保護
    • 暗号化と適切なアクセスコントロールを行うことで、不正アクセスのリスクを軽減する
      • 公開可能情報
        • リソースベースポリシーでどこからでもアクセス可能とする
        • IAM ポリシーで一般利用ユーザーにGetやListのみを許可
      • 重要情報
        • リソースベースポリシーでVPCエンドポイントを経由した場合にのみアクセス可能とする
        • IAM ポリシーで管理ユーザーにのみアクションを許可
        • VPCエンドポイントにセキュリティグループを設定し、更にアクセスを制御
        • S3バケットを暗号化し、鍵をAWS KMSで管理。更に、キーベースポリシーで利用者を制御する
  • アプローチ 3: 伝送中のデータの保護
    • 今回のセッションでは時間の問題で割愛
    • セッション資料末尾に参考資料あり

最後に

データの分類、アクセス制御、暗号化、どれも大事ですね。

本セッションではデータ保護のアプローチが構成図と共に解説されており、非常に理解しやすかったです。是非セッション資料をご覧ください。

以上、べこみんでした。