[レポート]AWSでゼロトラストを実現するためのアプローチ　AWS-39 #AWSSummit

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

2023年4月20日〜21日に開催されているAWS Summit Tokyo 2023、皆さん参加してますか？

本記事はAWS Summit Tokyoで行われたセッション「AWS-39 AWSでゼロトラストを実現するためのアプローチ」のセッションレポートです。

セッション概要

AWSでゼロトラストを実現するためのアプローチ

日々複雑化する企業インフラのセキュリティを支えるために、ネットワークの場所だけに基づいたアクセスコントロールではなく、ユーザーやシステムのアイデンティティに基づく「ゼロトラスト」の重要性が高まっています。ゼロトラスト・アーキテクチャは、ワークロードやデータへのきめ細やかなアクセスコントロールと、シンプルなセキュリティガードレールを実現します。本セッションでは AWS の様々なビルディングブロックを活用し、ビジネス課題解決にフォーカスしたゼロトラスト・アーキテクチャ実現のためのアプローチをご紹介します。

オンデマンド配信

AWS Summit Tokyo 2023のセッションの多くは下記期間でオンデマンド配信されています。

2023年5月22日12:00 〜 2023年6月23日19:00

オンデマンド配信をご視聴するためには下記ページよりご登録していただく必要があります。

登録済みの方は、本セッションのオンデマンド配信を下記URLにてご覧いただけます。

https://jpsummit.awsevents.com/public/session/view/558

登壇者

アマゾン ウェブ サービス ジャパン合同会社
技術統括本部
セキュリティソリューションアーキテクト

勝原 達也 氏

レポート簡単まとめ

• AWSが認識している「ゼロトラスト」とは、データ保護のセキュリティ管理策を提供するためのコンセプトモデルとそれに関連する一連のメカニズム
  • 簡単に言えば多層防御
• 対象のシステムや企業によってアプローチを変える
  • ゼロトラストは決して銀の弾丸ではない
• ゼロトラストに取り組み際の3つの大切な考え方
  • ネットワーク型とアイデンティティ型を組み合わせる
  • ユースケースにフォーカス
  • システムやデータの特性に応じて適用

レポート

アジェンダ

• ゼロトラストが求められている背景
• ゼロトラストアーキテクチャ構築のためのアプローチ〜AWS Zero Trust Guiding Principle〜
• AWSのゼロトラストへの取り組み〜Zero Trust "of" the Cloud〜
• ビルディングブロックで実現するゼロトラストアーキテクチャ〜Zero Trust "in" the Cloud〜

ゼロトラストが求められている背景

ビジネスを行う上で、下記のようなジレンマがある。

• ビジネスとセキュリティをいい感じに両立したい
  • システムやデータに対して適切なセキュリティを確保したい。でもビジネスの邪魔にはなって欲しくない。

また、近年では下記のように企業システムを取り巻く環境変化がある。

• 働き方の多様化とコラボレーション
  • リモートワークによるネットワーク境界が曖昧に
• 高まるデータ保護のニーズとアプローチ変化
  • ネットワーク境界の内側（社内ネットワーク）にも脅威がある前提
• DX（Digital Transformation）
  • 企業ネットワークを超えた新しい価値の創造

そもそもゼロトラストとは？

• セキュリティ統制にはデータやユーザー、ネットワークなどさまざまな観点がある
• 一部だけに注目するのではなく、俯瞰的に捉えることが大事
• 個別の分野だけでゼロトラストは語れない

従来のネットワーク境界防御では上記のような環境変化に対応出来ない。そこで生まれたのがゼロトラストという概念（考え方）。

AWSではゼロトラストを「データ保護のセキュリティ管理策を提供するためのコンセプトモデルとそれに関連する一連のメカニズム」だと認識している。

ゼロトラストアーキテクチャ構築のためのアプローチ〜AWS Zero Trust Guiding Principle〜

AWSはゼロトラストが話題になる以前、あらゆるセキュリティの話の最初から、APIを保護するためにネットワークに依存しないアプローチを先導してきた。
by Stephen Schmidt
Chief Information Security Officer, AWS（now Amazon CSO）

事実、AWSではネットワーク境界型に固執せず、APIアクセスにおけるアイデンティティ中心の認証・認可、アクセス制限が行われている。

AWSのゼロトラストへの取り組み〜Zero Trust "of" the Cloud〜

次の3つの原則で取り組み方を考える

• ネットワークとアイデンティティを組み合わせてセキュリティを高めていく
• ユースケースにフォーカスして考える
• ゼロトラストの考え方を画一的に適用せず、システムやデータの価値に応じて適用する

ビルディングブロックで実現するゼロトラストアーキテクチャ〜Zero Trust "in" the Cloud〜

• ゼロトラストは旅路、長い戦い。
• 課題と進むべき方向を見定めて取り組んでいくことが大事
• 一つのパッケージを無理矢理全ての課題に当てはめるのではなく、部品を組み合わせて顧客に合ったものを効率よく作る
  • Building Block

近年、より簡単でセキュアかつシームレスにリモートアクセスがしたいというニーズがある。

そういうニーズに対応するのが AWS Verified Access

AWS Verified Accessは下記が可能

• あらゆる場所からのシームレスなアクセス
• ユーザーとデバイスに基づくアクセス制御
• セキュリティ運用をシンプルに
• OpenIdPとの連携
• 好きな信頼プロバイダ、SIEM、Transit GatewayやDirect Connectと組み合わせるなど、カスタマイズも可能
  • オンプレにあるアプリへの接続制限も可能

また、ゼロトラストを支えるベーシックなアクセス制御としては以下のようなサービスがある。これらのサービスを組み合わせ

• Security Group
• IAM Role
• VPC Endpoint
  • 一方向の通信制限が可能

他にも下記のようなサービスを利用すると良い

• Amazon GuardDuty
  • 高い可視性と環境や構成に依存しないセキュリティ監視
  • 脅威を振る舞いで検知
• Amazon VPC Lattice
  • アカウント間、VPC間の接続をシンプルに実現
  • 一元化されたアクセスポリシーとIn/Outのトラフィック制御が可能
  • ログやメトリクスを他のAWSサービスと容易に連携可能なため、可視化と高度なトラフィック制御が可能

また、IoTワークロードにもゼロトラストの考え方を取り入れることが可能。

Amazon FreeRTOSを使うことで、従来は計算リソース上限界があったIoTデバイスでのTLS暗号化と相互認証が可能に。

最後に忘れてはいけないこと

お客様の成果が最も重要

それを実現するために、AWSの提供するゼロトラストアーキテクチャを構築するアプローチとビルディングブロック、また課題解決に役立つパートナーソリューション@AWS Marketplaceを使うと良い。

まとめ

下記はAWSでゼロトラストを実現するためのアプローチまとめ

• ゼロトラストに取り組む際の3つの大切な考え方
  • ネットワークとアイデンティティを組み合わせ
  • ユースケースにフォーカス
  • システムやデータの特性に応じて適用
• 実現へ向けて活用できるAWSのビルディングブロック
  • 代表的なユースケース：リモートアクセス、マイクロセグメンテーション、DX
• ビジネス課題解決に役立つ手法を見極めて採用
  • AWSとパートナー、より適切な実現手段を柔軟に組み合わせ

最後に（感想）

ゼロトラスト、よく一人歩きしている言葉の一つですよね。

本セッションではAWSのゼロトラストに対する考え方や実現のためのアプローチ、そしてそれをどうやって顧客の課題解決に使うのか、という部分を聞くことが出来ました。

私は本セッションから多層防御の重要性、また1つのソリューションを全ての課題に当てはめるだけのような一辺倒なやり方ではいけない、という熱いメッセージを受け取ることが多く、セッション中何度も頷いていました。

皆さんも是非、自分の関わっているシステム、これから関わるシステムのセキュリティについて、今一度俯瞰的な視点で考えてみてはいかがでしょうか。

本記事がどなたかのお役に立てれば幸いです。

以上、べこみんでした。