情シスにAWSのセキュリティを強化する標準サービスについて聞いてきた〜インサイトウォッチインタビューシリーズ第3弾〜
クラスメソッドはAWSアカウントのセキュリティが無料でチェックできるサービス「インサイトウォッチ」を2018年5月にリリースしました。
AWS上に構築した環境やアプリケーション、データに対するセキュリティ対策は利用者自身が責任を持つ必要がありますが(責任共有モデル – アマゾン ウェブ サービス (AWS))、AWSはそれ支援するためにどういったサービスを提供しているのでしょうか。
またそれらのサービスがあるのに、なぜインサイトウォッチをリリースしたのでしょうか。
そこで今回は、AWSが提供している、アカウントのセキュリティを強化するための標準サービスをテーマにしました。 AWSはセキュリティを高めるために、Trusted Advisorや、AWSアカウントの認証情報レポートなどを提供しています。
弊社情シス担当の植木と、インサイトウォッチ開発担当の田子に、それらのサービス内容や違いを聞いてきました。
Trusted Advisor とは
植木:AWS環境をベストプラクティスにしたがって最適化するために、AWSが用意している標準サービスです。セキュリティチェックができるのはもちろん、パフォーマンスが低すぎたり、コストがかかりすぎていないかを見てくれます。
AWS 環境を最適化することで、コスト削減、パフォーマンスの向上、セキュリティの向上に役立つオンラインリソースです。Trusted Advisor では、AWS ベストプラクティスに従ってリソースをプロビジョニングするのに役立つ、リアルタイムガイダンスを提供しています。
AWS Trusted Advisor
アカウント別でデータをアップロード&レポートをダウンロード
植木:Trusted Advisorを使えば確かにセキュリティを強化できますが、アカウントを複数持っていると、けっこう手間なんですよね。
このサービスはセキュリティ等の結果レポートが「各アカウント単位で」作成されます。
なので、毎回、アカウントごとにレポートを確認しないといけません。
ルーティーンの業務となる定期的なセキュリティチェックには、余計な手間がかからない方が良いですよね。
AWSアカウントの認証情報レポート とは
植木:AWSアカウント内のユーザーの、認証情報に関するステータスがわかるレポートがダウンロードできるIAMの機能です。
外部の監査人にレポートへのアクセス権を付与できるなど、監査対応にも便利な機能があります。
アカウント内のすべてのユーザーと、ユーザーの各種認証情報(パスワード、アクセスキー、MFA デバイスなど)のステータスが示された認証情報レポートを生成し、ダウンロードできます。認証情報レポートは、AWS マネジメントコンソール、AWS SDK、コマンドラインツール、または IAM API から取得できます。
認証情報レポートを使用して、監査やコンプライアンスの作業を支援することができます。このレポートを使用して、パスワードやアクセスキーのローテーションなど、認証情報ライフサイクルの要件の結果を監査できます。外部の監査人にこのレポートを提供することも、監査人が直接このレポートをダウンロードできるようにアクセス権限を付与することもできます。
AWS アカウントの認証情報レポートの取得
自分でレポートを出力する手動のサービス
田子:認証情報レポートは、生成するとcsvファイルで出てきてくれますよね。
植木:はい。まあ、手動でレポートを出力させるのは簡単といえばそうなんですが、AWSのサービスって基本、プル(Pull)型なんですよ。利用者が能動的に見に行かないといけないんです。
でも、本当に欲しいのは、プッシュ(Push)型のサービスじゃないですか?
わざわざ見に行くよりも、勝手にやってくれた方がいい。プッシュ型はインストールだけしておけば、あとは自動でチェックするところまでやってくれる感じです。「設定された時間にチェックしときました。結果はURLをクリックしてもらえれば見られますよ」っていう。その方が効率的だし、長い目で見て続けやすいと思います。
対して、なぜインサイトウォッチを?
田子:インサイトウォッチを利用する利点の1つ目は、複数のAWSアカウントがまとめてチェックされ、レポートまで作られることです。
インタビュー中にもありましたが、AWSのサービスだとアカウントごとになるので、アカウント数が多いとチェックするにもレポートを入手するにも手間がかかります。
インサイトウォッチならボタン一つで複数アカウントのチェックとレポート作成ができます。
2つ目は、きれいなレポートが作成できることです。
とりあえずそのまま上司に提出できる体裁のレポートを手間いらずでダウンロードできます。
チェック結果を独自に集計したり、独自のレポートを作成したい方にとっては余計な機能かもしれませんが、多くの方にとっては省力化のメリットを感じていただけるかと思います。
3つ目は、CISベンチマークという第三者の観点でのチェックができるところです。 AWSのサービスのチェックとは重複する項目もあれば独自の観点での項目もあります。どちらか一方だけでいいというよりは、運用の負荷が大きくならない程度にうまく使い分けていただくのがいいと考えています。
また、インタビューで言及のあったプル型・プッシュ型サービスについて、 現在はインサイトウォッチもプル型のサービスですが、プッシュ型への対応は早めに実現できるように取り組んで行きたいと考えています。
まずは、使ってみてください
インタビューはいかがでしたか?
AWSが提供する標準サービスでもセキュリティチェックはできます。
ただ、インサイトウォッチは複数のアカウント横断、レポート出力、第三者目線でのチェックなど、効率よく定期的にAWSアカウントの安全性を確認できます。AWSのセキュリティを高めたいけど、手間をかけたくないという方はぜひ、インサイトウォッチをまずはご利用ください。
アカウント連携後、10分程度でレポートが出力できます。
インサイトウォッチとは
Developers.IOの運営元であるクラスメソッドが提供しています。弊社はAWSの総合支援を長年行ってきました。
その結果、10,000社を超えるパートナーの中から国内8社しかないAWSプレミアコンサルティングパートナーに4年連続で認定されています。
そんな過去の実績を活かし、AWSアカウントのセキュリティチェックや監査対策のサービスとしてインサイトウォッチを2018年5月から提供しはじめました。
インサイトウォッチのメリット
- 米国のセキュリティ団体であるCISの策定した網羅的なセキュリティチェックが自動でできる
- アカウントを連携するだけでチェックやレポート出力がワンクリックでできるため、上司や第三者機関などに報告・共有しやすい
- チェックした後もアラートメールで、問題発生→検知→対応の流れがスムーズに行える
サンプルレポート配布中
ご紹介したレポートのサンプルや、前回のインタビュー記事、サービス紹介資料をまとめてダウンロードできます。
![[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-64f6cd71568d228b1e7f3831e5287d75/1b5c0e8e5797b4bff5913d5033b03348/aws-cloudtrail)
![[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-19e77b9a51519e08b94d0f688c125729/4f439c75e1ee56c70e315fa46fa45f81/amazon-quicksight)
