【レポート】[初級]セキュリティで加速するクラウドジャーニー～セキュリティ上の論点と打ち手、進め方～#AWSSummit

こんにちは。AWS事業本部のShirotaです。

6/12から3日間開催されますAWS Summit Tokyo2019に来ております。
Day1のセッション、「[初級]セキュリティで加速するクラウドジャーニー～セキュリティ上の論点と打ち手、進め方～」に参加致しましたのでこちらについてレポートをお送りしたいと思います。

本セッションについて　　

公式のセッション詳細から引用させて頂きます。

登壇者

アマゾン ウェブ サービス ジャパン株式会社 プロフェッショナルサービス本部 コンサルタント

畠中 亮(敬称略)

セッション概要

セキュリティへの不安が企業におけるクラウドの積極的な導入を未だに阻む一方で、クラウド導入によるセキュリティ向上を実現する企業も存在します。AWSではクラウドの特性を活かした効率的なセキュリティ対策を実現するための各種AWSサービスを登場させてきました。本セッションでは、クラウド導入におけるセキュリティ上の論点と導入を加速するための打ち手、進め方をご紹介します。

セッションの内容

箇条書きで、セッションの内容を纏めさせて頂きます。

セッションの対象者・目的

• 対象者： AWSのクラウド利用を 推進or相談されている 責任者・担当者
• 目的：AWSのクラウドを導入する際に必ず発生するセキュリティ上の論点及び導入の加速となる打ち手を理解する事

企業によるクラウドの利用率

• 2017年には一部もしくは全体で利用している人が53.9パーセント
• クラウドを効率的・効果的に利用できるようになってきている

クラウドとセキュリティ

• クラウド未利用企業の懸念事項トップは「セキュリティへの不安」で約1/4の企業が懸念している
• 逆に、クラウド導入企業が上げるクラウド導入の効果では「セキュリティが高い」と約1/4に企業が評価している
• クラウドのセキュリティは、このように相反する評価を持つ
  • どのような考え方と方法で対策するのかが重要
    • セキュリティへの不安
    • クラウドのセキュリティ面における導入効果
    • セキュリティ対応の進め方

セキュリティへの不安に対する対策

• クラウド利用に対する相談で、実際に不安視されていた事例
  • クラウド事業者は信頼できるのか？
  • 人間の設定ミスにより簡単にデータ漏洩するのでは？
  • オンプレミス同様のインターネットから分離した環境は構成できるのか？
• それぞれの事例への対策
  • クラウド事業者への信頼構築
    • 第三者機関による監査レポートを確認(信頼性が高く、利用者の対応負荷も低い)
      • 業界や各国のセキュリティ標準に対する認証を取得
    • AWS Artifact：AWSの統制に対する第三者機関の監査レポートの入手ポータル
    • ホワイトペーパーへの記載
  • 人為的な設定ミスへの対応
    • ミス発生は100パーセントは防げないものとして対策する
    • リソースに対する設定検知と修正
      • バケットの設定をpublicにしてしまった！→ AWS Config で設定変更を検知
      • CloudWatch Events へ連携してこのイベントが起きたらプログラムが起動するようにする
      • ここでは AWS Lambdaを組み合わせ、自動的にpublicを修正するようにしている
    • AWSサービスを利用したデータの暗号化
  • インターネットの分離
    • DX(Direct Connect)の利用
    • IGW無効化
    • VPCエンドポイント：インターネットを経由せず、各サービスのAPIエンドポイントにアクセスする為のサービス

セキュリティ対策の進め方

• 基本的にオンプレと進め方は変わらない
  • Identify(対象の識別)
  • Protect(対策の実装)
  • Detect(検知・確認)
  • Respond(対応)
  • Recover(回復)
• オンプレミスにおける各方針の実装時の課題
  • Identify
    • 資産情報の陳腐化(Excelとかで管理していると起こりやすい)
  • AWSなら……
    • そもそも物理リソースはAWSの管理下
    • サービスをうまく使って情報を取得できるよ！
    • AWSアカウントを見れば基本確認が楽チン
  • Protect
    • 実装までにかかるコストが高く、時間も費やす
    • 新たにリソースを用意する必要も
  • AWSなら……
    • 時間も短く高セキュリティで
      • AWSの提供するマネージドサービスの利用
        • 責任共有モデルで対策の一部をAWSに委任
      • AWSの提供するセキュリティサービスの利用
      • AWS Marketplace の利用
        • 品質が事前に確認された製品を利用できる
  • Detect,Respond,Recover
    • 個々の課題の対策状況の確認・徹底が困難
      • AWS Config：現状の対応状況を可視化
      • AWS Organizations：複数のAWS環境へ、アクセス制御ポリシーを強制適用

クラウドジャーニーにおける施策

• 様々なお客様の不安と向き合うと、ある一定の傾向が見えてくる
  • その段階を踏まえた一連の流れを旅に例えて クラウドジャーニー と呼ぶ
    • Project：限られた人が経験を積む
    • Foundation：基礎を固めながら小さな成功体験を生み出していく
    • Migration：全体に移行し、ビジネス効果を享受
    • Reinvention：クラウドを最大活用し、ビジネス効果を最大化
  • AWSは、それぞれの施策の段階に応じて支援するプロフェッショナルサービスを用意している
    • Foundation〜から必要となってくる事
      • 標準化・ガイドラインの整備
        • 各種企業のクラウド利用方針+ AWS利用時のガイドライン
      • IT環境・共通基盤の整備
        • 基本的に要求されるもの
          • Lock：AWSアカウントの認証情報(Root Acount)の管理
          • Enable：AWS CloudTrail,AWS Config,Amazon GuardDuty
          • Define：ロールとポリシーのマッピング
          • Fedelate：ID管理の統合
          • Establish：セキュアな複数AWSアカウントへのアクセス
          • Identify：ガバナンスを強化する為の操作と条件
    • セキュリティを考慮した環境の立ち上げには準備が結構大事！
      • セキュリティがAWS利用でやりたかったこと(自動化やスケーラブルや)を妨害してしまうと本末転倒！
    • re:Inventで発表された Control Tower (まだ非公開プレビュー)
      • アカウントを払い出す前から環境をきちんと設定する
      • セキュリティ基盤を事前からしっかり！

まとめ

• 3つの不安点を解決して行く
• そしてクラウドジャーニーをセキュリティで加速させて行く！

関連セッションの紹介

レポートが上がるものは後ほどこちらにリンクを貼ります。

• 金融クラウドセキュリティパネル - JCB、みずほ、損害保険ジャパン日本興亜におけるセキュリティ課題整理と取組事例を紹介(Day1)

• AWSコンサル事例でわかる パーソルが実現した、ガバナンスとスピードを兼ね備えた次世代型AWS共通基盤とは (Day2)

• AWSにおけるクラウドコンプライアンスの実践 ―セキュリティ担当者が理解すべき説明責任のポイント― (Day2、こちら 15時からDでのストリーミング視聴が可能です！ )

セキュリティを導入する上で出会う障害への対処法が分かりやすかった！

実際にあったお客様の声を元に、どのようなスタンスでクラウドを進めていくかという事やクラウドの高セキュリティな面をとても分かりやすく説明して貰えたセッションでした。
各種サービスがどのように関わってくるのかも、改めて理解することが出来たと思います。

今回のAWS Summitでは、このようなセッションも多いので是非参加してみて下さい。
また、Developers.IOでも随時レポートブログの更新が行われているので一緒に読んでみて下さい。