[レポート] SEC202 クラウドセキュリティの都市伝説→打破済み #reinvent

このページは re:Invent2018のセッション「SEC202 Top Cloud Security Myths - Dispelled!」についてレポートします。

In this session, we cover the most common cloud security questions that we hear from customers. We provide detailed answers for each question, distilled from our practical experience working with organizations around the world. This session is for everyone who is curious about the cloud, cautious about the cloud, or excited about the cloud.

AWSのセキュリティ担当が顧客からよく聞くクラウドセキュリティの都市伝説をバッサリと切っていくセッションでした。

レポート

伝説01: パブリッククラウドはセキュリティよりも、ウチのオンプレ環境やプライベートクラウドのほうがずっと安全

伝説02: クラウドにデータを置くと所有権が無くなり、国境を越えてデータが流出してしまう

伝説03: 業務的に厳しい規制があるのでクラウドを利用することができない

伝説04: 業務で機微な個人情報を扱っているのでクラウドは利用できない

伝説05: セキュリティテストが必要だがクラウドではできない

伝説06: クラウドではOSのパッチが自動で当たってしまう

伝説07: クラウドでは誰もがデータアクセスできてしまうため、機微なデータは格納できない

伝説08: 秘密の鍵が盗まれてしまった場合、許可したアクセスは最早セキュアじゃなくなる

伝説09: クラウドではデータ消去をコントロールできないし、削除したことを確認することもできない

伝説10: サーバレスは複数の顧客のものが稼働する共用環境で動くためセキュアではない。

伝説11: クラウドに格納されたデータは政府がいつでもアクセスできてしまう

伝説12: 悪意のある内部の人間が管理機能側からデータを盗み見できてしまう

伝説13: AWSの隔離技術をバイパスして他社のデータにアクセスができてしまう

まとめ

AWSは人為的オペレーションを極力減らすのがセキュリティを確保することに繋がると考えているようです。 そのために自動化を推進しており、それには構築や運用作業だけではなくそれらの検証の含まれているとのことです。

最後に

どれも伝説も巷でまことしやかにささやかれているものだと思います。 このページでAWSの導入にあたっての疑念や不安が払拭されることを祈ります。