AWSのセキュリティ、ユーザー企業はどう考えている?事前検討と運用のポイント

セキュリティはポジティブな話題とはいえないが、クラウドサービスを使おうとすると、何らかの形で考慮せざるを得ない。では、クラウドサービスを実際に使っているユーザー組織は、セキュリティについてどう考え、どう対処しているのか。Amazon Web Services(AWS)のセキュリティに関して、2014年7月に開催された「AWS Summit Tokyo 2014」に登場したユーザー組織の講演や発言から、読み取れるポイントを報告する。

» 2014年09月04日 10時20分 公開
[三木 泉,@IT]

 セキュリティは、胸が躍るような話題ではない。一般企業でクラウドサービス(IaaS)を利用、あるいは利用を検討するところにとってはなおさらだ。

 一般企業には、クラウドサービスを使うことによって、自社のIT運用のあり方、さらには情報システム担当部署の役割を積極的に変えていきたいと考えるところがある。そうしたときに、セキュリティの問題に、あまりに神経質になっていては、せっかくのポジティブな取り組みの足をひっぱることになると考える人がいる。「セキュリティへの懸念をことさらに持ち出すのは、頭の硬い旧来の考え方で、クラウドのような新しい考え方を受け入れたくない人たちの言い訳だ」といった言い方がされることもある。

 そうはいっても、どんなクラウドサービスを使おうとする場合でもセキュリティを何らかの形で考慮せざるを得ない。では、セキュリティについて、クラウドサービスを実際に使っているユーザー組織はどう考え、どう対処しているのか。Amazon Web Services(AWS)のセキュリティに関して、2014年7月に開催された「AWS Summit Tokyo 2014」に登場したユーザー組織の講演や発言から読み取れるのは、次のような点だ。

どんな「証拠」で納得するかは組織によって異なる

 当然ながら、AWSのセキュリティに関する利用前の考慮および運用の仕方は、組織によって異なる。

 第1の理由は、クラウドサービスを利用する前のセキュリティに関する考慮には、自社にとって事業者のセキュリティが十分であることを、関係者が納得するという行為だという点にある。どういう「証拠」があればだれが納得するのかは、組織によって異なる。

 第2の理由は、組織にとってのセキュリティとは、IaaS自体のセキュリティとイコールではないことにある。

 インフラだけでなく、ミドルウェア、アプリケーションのすべてにわたりセキュリティを確保することが、組織にとっての目的となる。インターネットに公開するアプリケーションの場合は、特にこれが当てはまる。

 上記を含め、IaaSをインターネット向けのアプリケーションで使うのか、単一の社内向けアプリケーションで使うのか、社内向けの統合インフラとして使うのかによって、求められるセキュリティは異なる。

 これらを含め、情報セキュリティにかかわる運用体制が確立している組織では、自社の基準、ポリシー、プロセスに合った形でAWSを使えるか、そうでない場合は自社のやり方を一部変更できるか、変更しても問題ないかを検討することになる。

 AWS Summit Tokyo 2014で発言したユーザー組織の多くは、AWSがさまざまなセキュリティ認証を取得していることや、AWSとNDA(非開示契約)を結べば、第三者機関の定期的なセキュリティ監査リポートを入手できることを、納得した理由として挙げている。経営陣に理解してもらう観点からは、「AWSをCIA(米中央情報局)や金融機関も採用している」「自社よりも、セキュリティ専門家をたくさん抱えているAWSのほうが安心」といった声が聞かれた。

IT INSIDER No.33では、AWSのセキュリティに関するユーザー企業の生の声を収録しました

 大規模ユーザーの一部は、AWSの利用を決める前に、社内の情報セキュリティ担当部署や、第三者によるセキュリティ評価を行ったと話している。NTTドコモでは、社内のセキュリティ担当部署に、既存のチェックリストと照らし合わせて確認してもらい、自社の運用ポリシーに合わないため、AWSに個別対応してもらった部分があるとしている。

 運用では、AWSでデフォルトとなっているAmazon VPCを使うのが基本。きめ細かなセキュリティ制御のために、用途別にVPCを細かく分けているケースがある。また、AWSのサービス操作権限を制御するIAM(Identity and Access Management)を活用することの重要性が指摘されている。セキュリティを重視する企業は、AWSの提供するセキュリティ関連のツールや機能を積極的に活用している。一方で、VPCとインターネットの接続に関しては、慎重な意見も聞かれた。

 「IT INSIDER No.33 AWSのセキュリティをユーザー企業はどう考え、対策しているか」では、AWSのセキュリティ評価、およびAWS利用におけるセキュリティ運用について、AWS Summit Tokyo 2014における一般企業ユーザーの説明やコメントを集めました。お読みいただければ幸いです。

Copyright © ITmedia, Inc. All Rights Reserved.

@IT

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。