情シスにAWSのセキュリティ監査対応の秘訣を聞いてきた〜インサイトウォッチインタビューシリーズ第2弾〜
いまお使いのAWSアカウントのセキュリティ対策状況を無料でチェックできるサービス「インサイトウォッチ」をご存知ですか?
前回に続いて弊社の情シス担当である植木にインタビューしていきます。AWSのセキュリティには、網羅的なセキュリティチェックの体制を作ることが大事だけれども、なかなか取り入れるのが難しいという話を聞いてきました。
セキュリティ対策しなきゃなと思っても、忙しいし、つい後回しにしてしまうこともあるかもしれません。
今回は、そんなセキュリティ「後悔先に立たず」状態を回避したり、会社の信頼性自体を高めるために取得するSECなど、第三者機関へのセキュリティ監査対応がテーマになります。
監査では、様々な項目をカバーしたチェックの実施に加えて、対応状況やセキュリティ運用体制を正しく伝えることが求められます。アカウント数が一つで、運用者も数人であれば、ある程度手作業でもまかなえるかもしれません。しかし、複数のアカウントを大人数や部を横断したチームなど大規模に運用する場合、手間も増え、ヌケモレが発生する可能性も大きいそうなのです。
では、どう対応していけば良いのでしょうか?
セキュリティ監査対応における3つのポイントとは
植木:監査対応で重要なのは、ずばり、ドキュメント・エビデンス・仕組みです。
まず、第三者にもすぐ分かるドキュメントが大事です。チェックした結果が担当者の脳内だけにしかなくて、他の人に分かるようなドキュメントが存在しないことが結構あるんです。
さらに、そのドキュメントが「ちゃんとセキュリティチェックをしています」という確かな証拠・エビデンスであるように見せるには、信頼できる第三者機関が設定したセキュリティ基準でチェックしていることが大事になります。
例えばインサイトウォッチは、国際セキュリティ団体であるCISが策定した基準を採用しています。このようにセキュリティチェックを自動で効率的に行える仕組みさえあれば、ドキュメントを元にセキュリティを改善することもできます。インサイトウォッチはこの仕組みを簡易化できることもメリットにあたります。
セキュリティ監査時に具体的に何を?
植木:先程の3つのポイントを抑えれば、だいたいの監査は通ります。
監査の時に「どのように、セキュリティチェックをおこなっていますか」と質問されたら、「インサイトウォッチというサービスで定期的にチェックしています」と答えるだけで良くなります。
次に「では、エビデンスになるようなドキュメントを見せてください」と質問されたとしたら、「CISの基準でチェックをしています。そのレポートがこちらです」と言ってインサイトウォッチから出力したpdfのドキュメントを見せれば良いのです。
※レポートの一部が以下になります。(実際は10ページ程度あり、全項目に対する対応状況がアカウント毎に閲覧できます。サンプルレポートをご覧になりたいかたは、こちらからお申し込みください)
ところで「CIS」とは
植木:米国の産学官が連携して、インターネット・セキュリティ標準化に取り組んでいる非営利の団体です。
米国の国家安全保障局、国防情報システム局、米国立標準技術研究所などの米国政府機関と、企業、学術機関などが協力して、インターネット・セキュリティ標準化に取り組む団体です。
「マルチメディア・インターネット事典」より、国際インターネット・セキュリティ組織 CIS(Center for Internet Security)
CISが作ったセキュリティ基準の良さとは
植木:第三者機関が定めるセキュリティ基準は実はたくさんあるのですが、その中でもCISが作るCISベンチマークの良さは網羅性と説得力ですね。
インサイトウォッチが対応している CIS Amazon Web Services Foundations Benchmark v1.1.0 は、IAM・Logging・Monitoring・Networking の4種類・約50項目を設定しています。権威のある団体が決めた基準なので、上司や第三者の説得にも有効だと思います。
無料でセキュリティチェックをしよう
インタビューはいかがでしたか?
今回ご紹介したレポート出力は、AWSアカウントを連携するだけ、数分でご覧いただけます。一般的なセキュリティチェックは、お金がかかったり、初期構築に時間がかかりがちですが、画面上で全て完結しますので、ぜひ一度、お試しください。
インサイトウォッチとは
Developers.IOの運営元であるクラスメソッドが提供しています。弊社は、AWSの総合支援を長年行い、10,000社を超えるパートナーの中から、4年連続で国内8社しかないAWSプレミアコンサルティングパートナーの認定を受けております。
そんな過去の実績を活かし、AWSアカウントのセキュリティチェックや監査対策のサービスとしてインサイトウォッチを2018年5月から提供しはじめました。
インサイトウォッチのメリット
- 米国のセキュリティ団体であるCISの策定した網羅的なセキュリティチェックが自動でできる
- アカウントを連携するだけでチェックやレポート出力がワンクリックでできるため、上司や第三者機関などに報告・共有しやすい
- チェックした後もアラートメールで、問題発生→検知→対応の流れがスムーズに行える
是非一度、お気軽に、お試しください。
サンプルレポート配布中
ご紹介したレポートのサンプルや、このインタビュー記事、サービス紹介資料をまとめてダウンロードできます。是非合わせて御覧ください。