「責任共有モデル」から考える、AWSセキュリティのポイントとは金融機関のベストプラクティスから学ぶ

「クラウドは社内に比べて危険なのか、安全なのか」というのは設問が間違っている。国内金融機関におけるAWS採用が広がってきた今、金融機関が押さえておくべきAWSセキュリティのポイントをチェックしたい。

» 2017年07月03日 10時00分 公開
[PR/@IT]
PR

 「金融機関でアマゾン ウェブ サービス(以下、AWS)の利用を検討されているお客さまで、クラウドに対する漠然としたセキュリティ上の不安を抱いていらっしゃる方々は最近減少してきたように思いますが、『セキュリティはクラウド側が責任を持って対応してくれるんだよね』とおっしゃる方々はまだ多数見られます」と、アマゾンウェブ サービス ジャパン株式会社 事業開発部マネージャー(金融サービス)の飯田哲夫氏は話す。

 海外はもとより、国内でも大手金融機関がAWSに既存システムを移行する事例が増えてきた。さらにFinTech絡みで、WebサービスやAPIをAWS経由で提供する取り組みについて聞くことが増えてきた。このように金融機関におけるAWSの利用が「当たり前」になりつつある中で、先進ユーザーがセキュリティについてどのような対策をとってきたかが、後続ユーザーには意識されにくい現状がある。

 一方、金融機関がクラウドを採用する際にセキュリティ上の指針として用いる金融情報システムセンター(FISC)の「金融機関等コンピュータシステムの安全対策基準・解説書(以下、FISC安対基準)」では、クラウドへの対応が進んできている。

 これを単純に、金融機関がクラウドを利用する際のハードルが下がったと解釈すべきではない。「企業として、経営陣が関与した上で、リスク管理策がとられているかが問われるようになっています。チェックリストレベルでOKというより、どのように対策できているかが重要です」と、パロアルトネットワークス株式会社 技術本部SE マネージャー、中村弘毅氏は言う。

「責任共有モデル」とは、具体的に何を意味するのか

 以前、「オンプレミス(社内データセンター)とクラウド(AWS)は、どちらがセキュリティが高いのか」という議論があった。しかし、重要なのはどちらがではなく、両者のセキュリティに対する考え方がどう違うかを認識することだ。いずれの場合もユーザーが適切な対策を講じなければ、十分なセキュリティが担保できない。

 「AWSでは、当初よりセキュリティに関して『責任共有モデル』を説明してきました。その意味をご理解いただくことが何よりも重要です」と、アマゾン ウェブ サービス ジャパン株式会社 エコシステムソリューション部パートナーソリューションアーキテクトの市崎洋平氏は指摘する。

 責任共有モデルとは、AWSとユーザーが、責任を分担することを意味する。AWSはデータセンター施設、およびその上で提供しているサービスに関するセキュリティに責任を持つ。

 具体的には、AWSの場合、データセンターにおけるコロケーションとは異なり、複数のユーザー組織が物理的なサーバやネットワークを共有する(サーバについては通常の共有型利用以外にも、単一ユーザー組織のみでサーバを専有する選択肢もある)。そこでAWSは、データセンター施設に関するセキュリティを確保した上で、論理的なユーザー組織間の分離が確実に行われることを担保している。

 ここでは、特にネットワークのセキュリティを例にとって責任共有モデルについて理解を深めてみたい。AWSでは、「Amazon Virtual Private Cloud(Amazon VPC)」という仮想ネットワークセグメント機能を利用することで、ユーザー組織、ネットワーク的に完全に隔離された環境を構築することが可能である。各ユーザー組織のAmazon VPCには、他のユーザー組織やインターネット経由のいかなるユーザーもアクセスできない。

 その上でユーザー組織が自社のAmazon VPCとインターネットを接続する際に、「責任共有」が発生する。AWSでは「Internet Gateway(IGW)」というAmazon VPCの機能を“設定”することによって初めて、Amazon VPCとインターネットを接続できる。またAmazon VPCの他に「Security Group(SG)」という機能により、AWSはパケットフィルタリング機能を提供する。すなわち、IPアドレスとポート番号に基づき、仮想サーバ(Amazon EC2)に出入りするパケットをフィルターする機能について、AWSが責任を持つ(このほか「Network Access Control List(NACL)」という、より詳細なフィルタリング機能もあり併用が可能である)。

 だが、AWSの責任範囲はここまでだ。当然ながら、インターネットへの疎通を目的としてIGWを設定することや、SGやNACLをどう設定するかはユーザー組織に任されている。自らが行った設定について責任を持つのはユーザー組織の側だ。さらに、SGやNACLはあくまでも静的なプロトコル単位でのフィルターやIPパケットフィルターであり、アプリケーションレベルのセキュリティには関与しない。これも責任共有モデルの枠組みによるものである。常識化している事実として、セキュリティ攻撃を含め、アプリケーションの大部分がHTTP(あるいはHTTPS)というプロトコルを使うようになっており、一方で主要なアプリケーションが動的にポート番号を変えて通信するようになっている。このようにサイバー攻撃がますます高度化・多様化しているなか、高いセキュリティレベルを保つためには、静的なフィルターだけでは十分ではないケースも多い。この部分をカバーするのは、ユーザー組織の責任だ。

 これを出発点として、ユーザー組織はAmazon VPC内のセキュリティに関し、包括的な責任を持つことになる。

責任共有モデルにおける、AWSとユーザーの役割分担

どのような対策を講じるべきか

 ではどのような対策を講じればいいのだろうか。最近では、標的型攻撃、ランサムウェアなど、次々に新たな攻撃が生まれ、手法は高度化している。基本的な認識としては、まずオンプレミスであっても、クラウドであっても、場所の選定によって100%のセキュリティを確保することはできない。また、それにいくら資金や労力をつぎ込んでも同じである。

 セキュリティは、いくら資金や労力をつぎ込んでも、「100%確保」ができない。このため、セキュリティ対策への資源配分は、経営資源全体を視野に入れ、企業価値の最大化を目指して決定すべきであろう。また、FISC安対基準では、リスクベースのアプローチを重視している。すなわち、セキュリティ対策は、個々の情報システムのリスク特性に応じて必要十分な内容で決定されるべきとされている。

 以上のような考え方を踏まえつつ、自社のセキュリティ対策が十分なのかを常時確認し、説明責任を果たし続けることが望まれる。具体的には、何らかの問題が発生した場合には即座に、そして可能な限り自動的に、通信の遮断などの対応ができるようにしておくことなども例として挙げられる。

 必要なのはまず、Amazon VPCからIGW経由でインターネットと接続する場合、この部分にアプリケーションを認識できるファイアウォールを導入することだ。また、入口、出口対策として、IPS/IDS、ウイルス/マルウェア対策、標的型攻撃への対応を実施する必要がある。

 「Amazon VPCから直接インターネットに接続しない場合は、Amazon VPC内のセキュリティ対策は要らないのではないか」という疑問を持つ読者もいるだろう。Amazon VPCをインターネットにつなげていなくとも、企業の拠点とAmazon VPCをVPN接続していれば、企業の拠点におけるインターネット接続からの攻撃をAmazon VPCが受ける可能性が出てくる。このため、やはり包括的なセキュリティを、Amazon VPCに適用する必要がある。

 関連して、欧米の金融機関の間では、「ゼロトラスト」という考え方が広がりつつある。これは、パブリックネットワークとプライベートネットワークを、境界セキュリティ製品で分離するだけでは十分でないという考え方が基になっている。プライベートネットワーク内からのセキュリティ攻撃が発生することを想定し、プライベートネットワークをアプリケーション単位など、複数のセグメント(AWSでいえば複数のAmazonVPC)に分割し、それぞれを境界セキュリティ製品で守るというものだ。これは、多層防御にも通じる。

 いずれにしてもポイントは、アプリケーションレベルの可視化、包括的なセキュリティ対策、セキュリティ上の脅威の検知から遮断までのプロセスの自動化だ。

WildFireは、未知のマルウェア等にリアルタイムで対応、防御できる

複雑なことをシンプルに実現したいなら、どうするか

 以上の対策は、語るのは簡単だが、実現しようとすると複雑で、困難であるように感じられる。

 「パロアルトネットワークスの製品を使えば、シンプルに、従来のオンプレミスでの考え方を変えずに仮想環境においても全く同じ対策ができます」と前出の中村氏は話す。

 パロアルトネットワークスは、次世代ファイアウォールの先駆者として知られるが、その製品は総合的な脅威防御製品に進化している。

 アプリケーション/ユーザー識別に基づくファイアウォール機能に加え、ウイルス/スパイウエア対策、IPSによる脆弱性防御、URLフィルタリング、DoS対策、サイト間VPN、リモートアクセスVPN機能が備わっている。「WildFire」というクラウド脅威分析サービスを組み合わせることで、未知のマルウェアにも対応できる。そして既知・未知のマルウェアが発見されると、該当する通信を即座に遮断できる。

 ちなみに、WildFireは、「サンドボックス」と呼ばれる技術でファイルを隔離環境に呼び出して分析し、未知のマルウェアを発見するもの。5分間隔で即座に脅威を遮断するシグネチャを配信できる。1日当たり10万件以上の未知のマルウェアを発見しているという。これだけ豊富な機能を単一製品で備えている例は、他にない。また、Amazon VPCを対象とすることのできるクラウド脅威分析サービスは、WildFire以外にない。

 パロアルトネットワークスの製品は、ハードウェアアプライアンスとして企業で広く利用されているが、AWSに対応した「VM-Series on Amazon Web Services」という製品がある。仮想アプライアンスとして簡単に導入でき、オンプレミス用の製品と統合的に運用管理できる。オンプレミスとの統合的なポリシー適用、監視、記録により、セキュリティ対策をさらに効果的なものとすることができる。

 この製品では、AWSとの連携も特徴的だ。

 その1つに、Amazon CloudWatchとの連携がある。Amazon CloudWatchは、ユーザー組織の利用するAWSリソースの状況を可視化するダッシュボード。パロアルトネットワークス製品では、Amazon CloudWatchにログを渡すことができ、これによってアクティブセッション数など、Amazon CloudWatchでは収集されないような数値も見ることができるようになる。

 もう1つの例は、AWSのElastic Load Balancer(ELB)という負荷分散機能との連携だ。Amazon VPCからインターネットに対し、高トラフィックのサービスを提供していると、ファイアウォールがボトルネックになってしまうことがある。VM-Seriesでは、ELBを活用して自動的に新たな仮想インスタンスを立ち上げ、対応能力を拡張することで、高トラフィックにも対応できるようになっている。

 前出の、アマゾンウェブサービスジャパンの市崎洋平氏は、「AWSもセキュリティについてはさまざまなツールを提供していますが、パロアルトネットワークスのような企業の製品と組み合わせることにより、2社で全体をカバーできることになり、お客さまはセキュリティ確保のための体制を、迅速に整えることができます」と述べている。ただし、セキュリティにゴールはない。継続的にPDCAを回していくことが最終的には重要だという。

Amazonギフト券があたる!アンケート実施中

本記事でご紹介した「クラウドセキュリティ」に関するアンケートを実施中です。ご回答いただいた方から3名様に、Amazonギフト券5,000円分をプレゼントします。ぜひご回答ください。回答は<こちらから>



Copyright © ITmedia, Inc. All Rights Reserved.


提供:パロアルトネットワークス株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年8月2日

アンケート

本記事でご紹介した「クラウドセキュリティ」に関するアンケートを実施中です。ご回答いただいた方から3名様に、Amazonギフト券5,000円分をプレゼントします。ぜひご回答ください。

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。