「情シスのためのAWSセキュリティ強化の具体策」セミナーレポート:ジャパンネット銀行や渥美氏が語る(1/2 ページ)
Amazon Web Servicesを利用する企業は急速に増えている。だが、パブリッククラウドの本格的な利用を初めて検討するところも多く、特にセキュリティ面では戸惑いが見られるのも事実だ。そこで、@IT主催セミナー「情シスのためのAWSセキュリティ強化の具体策」セミナーのレポートをお届けする。
Amazon Web Services(AWS)を活用したい企業にとって、セキュリティは大きなテーマだ。@ITが行った調査でも、AWS利用における課題として、52%が「セキュリティへの不安」を挙げている。では、具体的に何に気を付け、どのように設計すればよいのか。2016年9月28日に開催された@IT主催セミナー「情シスのためのAWSセキュリティ強化の具体策」では、ジャパンネット銀行の宮本昌明氏や、AWSセキュリティに詳しい渥美俊英氏が熱く語った。これらの講演からヒントを探る。
ジャパンネット銀行が明かす「金融機関におけるAWS活用ノウハウ」
基調講演にはジャパンネット銀行 IT本部 開発二部 部長 宮本昌明氏が登壇。「ジャパンネット銀行が語る慎重な金融機関がAWSを徹底活用するためにしていること」と題して、金融機関におけるクラウド活用の勘所とセキュリティについて紹介した。
ジャパンネット銀行はネット専業銀行のパイオニアとして2000年10月に開業。インターネットサービスの普及とともに事業を拡大し、現在、約330万口座、預金残高約6000億円(市場性商品除く)という日本を代表するネット銀行となった。
IT本部は、勘定系アプリケーションを担当する開発一部、システム基盤全般を担当する開発二部、スマホアプリ・Webアプリを担当する開発三部からなる組織だ。宮本氏は、開発二部を統括する立場から、基盤の開発・運用と、営業部門と連携し、FinTechに代表される最新技術を活用した新サービスの検討・企画を担当。これまで同社は、キャッシュカードと同じ薄さのカード型トークンの導入やスマホアプリの提供を行ってきた。
本格的なAWS採用は2016年4月から。OAシステムが更改期限を迎えるのを機に、オンプレミスで稼働していたActive Directory(AD)サーバ、Exchangeサーバ、ウイルス対策ソフト管理、システム監視、操作ログ取得、バックアップ、ファイルサーバなどをAWSに移行させた。提携先や利用中サービスの基盤がAWSになってきたことや、2014年にFISC有識者検討会が行われたことなども移行の背景にあったという。現在では、財務会計や市場リスク管理、アクセス分析など、IaaSからSaaSまでOAシステム以外にも多様なクラウドを積極的に活用している。
宮本氏はまず、@ITが行った読者調査の結果を引き合いに出しながら、多くの企業がAWS導入に踏み切れない理由についてジャパンネット銀行でどう対応したのかから説明した。調査によると、踏み切れない理由のトップ3は、「業者による情報漏洩などセキュリティの不安(52.0%)」「サービスの可用性への不安(32.0%)」「トラブルに自社対応できないことへの不安(31.9%)」「社外にデータを置くことへの抵抗感(31.9%)」「ランニングコストが高い(31.9%)」だ。
「セキュリティや社外にデータを置くことへの不安については、外部委託先管理にクラウド利用に関するチェック項目を追加し、クラウドベンダー側の内部不正対策を確認するといった対策を行いました。可用性については、マルチAZ(Availability Zone)やクラスタソフトなどの活用で、高可用性のあるシステムを構築。トラブル対応の不安については、『オンプレミスでも原因不明になることは多い』と割り切り、パブリッククラウドならではの設計をすることを重視しました」(宮本氏)
また、ランニングコストへの不安については、「今いくらかかっているか」をマネジメントコンソールで確認できることや、ピークにあわせたサイジングが不要になり、スモールスタートが可能であるというメリットを挙げながら、「ジャパンネット銀行ではピーク時のCPUリソースが80%程度の、『ちょうどよいEC2』で運用している」と説明。このほか、不正アクセスやサービス監視への不安についても、AWSが提供する閉域網やセキュリティグループなどのネットワークを分離するサービスをうまく組み合わせることで対応していると解説した。
「AWSは当行として初のパブリッククラウド。第三者認証をしっかり確認するとともに、パブリッククラウド利用の関連規定を整備し、社内外の不安を解消するためにステークホルダーの説得に力を入れました」(宮本氏)
宮本氏は、OAシステム構築のポイントとして、正WANを専用線、副WANをインターネットVPNとするネットワークの冗長構成を敷いたこと、マルチAZでサーバを冗長化したうえでスタンバイ系を非稼働運用にしてコスト削減したこと、ファイルサーバのレスポンス問題を解消するために、SCSKが国内展開するキャッシュ製品「Panzura」を活用したことを挙げた。移行に際してはTOKAIコミュニケーションズの協力を得た。
AWS移行の効果としては、開発やテストでのスピードアップや運用効率の向上を挙げた。開発工程では、ハードウェア調達にかかる事務・期間がなく、開発が非常に速くなった。また環境を簡易に構築して用が済んだら消したり、サイジングが不要になったりすることを評価した。試験工程では、物理的な作業を伴うインフラ系の試験項目が減った分、身軽になったことを強調した。
最後に宮本氏は、「ハードウェア保守期限切れに伴って投資する時代は終わった。競合に勝つために世の中の流れにアンテナを張っていくことが重要だと感じている」と、AWSを含めたクラウドサービスが、企業文化にも大きな影響を与えることを訴えた。
AWS上での「ログ管理」「セキュリティ管理」「デスクトップ管理」に対応
インフォサイエンスのセッションには、プロダクト事業部ネットワークソフトウェア開発チームリーダーの安達賢一郎氏が登壇。「統合ログ管理システム『Logstorage』によるAWSシステムの監査・可視化」と題して、AWS環境におけるログ監視の重要性を解説した。
インフォサイエンスは1995年に設立されたシステム開発・運用会社で、そのノウハウをもとにパッケージソフト「Logstorage」を展開する。安達氏はまず、AWSのようなパブリッククラウドでもサイバー攻撃の脅威にさらされているとし、侵入を前提とした対策が必要になってきたと指摘。具体的な対策として「システムのログを横断的に収集し、モニタリングを行うことが重要です」と訴えた。
AWSでは、CloudTrail、AWS Config、CloudWatchのEC2ログやACL、Security Groupなどさまざまなサービスからログ収集が可能だ。ただ、サービス出力形式は多様で、目視で確認しにくいJSON形式が用いられることが多い。また、ログ保管のコストやマネジメントコンソールからの管理がしにくいという課題もある。
Copyright © ITmedia, Inc. All Rights Reserved.