読者です 読者をやめる 読者になる 読者になる

「情シスのためのAWSセキュリティ強化の具体策」セミナーレポート (1/2)

AWS

www.atmarkit.co.jp

 

ジャパンネット銀行が明かす「金融機関におけるAWS活用ノウハウ」

「セキュリティや社外にデータを置くことへの不安については、外部委託先管理にクラウド利用に関するチェック項目を追加し、クラウドベンダー側の内部不正対策を確認するといった対策を行いました。可用性については、マルチAZ(Availability Zone)やクラスタソフトなどの活用で、高可用性のあるシステムを構築。トラブル対応の不安については、『オンプレミスでも原因不明になることは多い』と割り切り、パブリッククラウドならではの設計をすることを重視しました」

 

ジャパンネット銀行ではピーク時のCPUリソースが80%程度の、『ちょうどよいEC2』で運用している」

 

AWS移行の効果としては、開発やテストでのスピードアップや運用効率の向上を挙げた。開発工程では、ハードウェア調達にかかる事務・期間がなく、開発が非常に速くなった。また環境を簡易に構築して用が済んだら消したり、サイジングが不要になったりすることを評価した。試験工程では、物理的な作業を伴うインフラ系の試験項目が減った分、身軽になったことを強調した。

 

AWS上での「ログ管理」「セキュリティ管理」「デスクトップ管理」に対応

AWSでは、CloudTrail、AWS Config、CloudWatchのEC2ログやACL、Security Groupなどさまざまなサービスからログ収集が可能だ。ただ、サービス出力形式は多様で、目視で確認しにくいJSON形式が用いられることが多い。また、ログ保管のコストやマネジメントコンソールからの管理がしにくいという課題もある。

 

開発と運用だけでなく「セキュリティ」と「監査」もAPIで統合

 

AWSエンタープライズ利用が拡大するなか、オンプレミスにないクラウドならではの価値を提供するようになったと指摘。2015年には700を超える新機能の発表があったが、興味深いのは、そうした機能拡張のなかで、全体の4分の1近くが、セキュリティ、コンプライアンス、統制、監査に関する機能であることだ。

 

「セキュリティはAWSにおいて最優先されるべき事項だととらえられています。テクノロジー、専門組織、プロセスに継続的に投資しています。特徴的なのは、セキュリティと統制の要求が厳しい企業、組織の要求を個別にではなく、ソフトウェアで対応しサービス化していることです。これにより、同じレベルの機能をスタートアップ企業や個人でもすべてのユーザーが安価に同じコストで利用できるようになります」(渥美氏)

 

システムの適切な設計と運用の下では、すべてのAWSリソースへのアクセスと操作、アプリケーションからのAPI呼び出しはIAMで統一的にアクセス管理され、CloudTrailでログ保管、CloudWatchでリソースとログが監視される。CloudFormationでシステムの配備はコード化され、AWS Config Rulesでポリシーを設定、これに合わない設定や変更は通知か抑止される。さらにInspectorでセキュリティ診断、Trusted Advisorで定期的評価を行う。

 

「これらの仕組みの応用として、PCI DSSなどの要求体系もコードとしてテンプレート化されAWSから提供されています。オンプレミスで全て自前でやるよりも、設計導入から運用と変更、監査まで、より安全に効率化されることがクラウドでは現実解になってきています」(渥美氏)