「AWSで、社内DCよりセキュリティを高められる」理由NASA JPLの担当者も注目する「意外な」機能とは

セキュリティについての懸念から、IaaSの採用に二の足を踏む企業や組織は多い。だが、NASA ジェット推進研究所(JPL)のシニア・ソリューション・アーキテクトであるカワジャ・シャムズ氏は、「クラウド(この場合AWSのサービスを意味している)ではさまざまな理由で、われわれの組織内のインフラよりもはるかに高いセキュリティを保てるようになる」と語っている。

» 2013年01月24日 16時10分 公開
[三木 泉,@IT]

 セキュリティについての懸念から、IaaSの採用に二の足を踏む企業や組織は多い。だが、NASA ジェット推進研究所(JPL)のシニア・ソリューション・アーキテクトであるカワジャ・シャムズ(Khawaja Shams)氏は、2012年12月に実施されたAmazon Web Services(AWS)のイベント「re:Invent」で、「クラウド(この場合AWSのサービスを意味している)ではさまざまな理由で、われわれの組織内のインフラよりもはるかに高いセキュリティを保てるようになる」と語った。

NASA JPLのシニア・ソリューション・アーキテクトであるカワジャ・シャムズ氏

 クラウドサービスのセキュリティというと、事業者のデータセンター施設への物理的な出入りの制限や、セキュリティの専門知識を備えた人がどれだけ働いているかといった話に偏りがちだ。だが、シャムズ氏が「組織内のインフラよりもはるかに高いセキュリティ」実現のために不可欠な要素として指摘したのは、AWSが提供する、「Amazon VPC」と「AWS Identity and Access Management(AWS IAM)」の2つの機能だ。

 Amazon VPCは、AWSのパブリッククラウドサービスのなかに、特定ユーザー企業/組織のための専用空間を論理的に構築できる機能。Amazon VPC内に作成した仮想マシンには、基本的にプライベートIPアドレスだけが付与されるため、インターネット側から直接アクセスされることはない。もっとも、こうした隔離機能は、他の事業者でもよく見られるものであり、それ自体が社内データセンターよりも「はるかに高い」セキュリティを実現するわけではない。

 シャムズ氏が指摘するポイントの1つは、Amazon VPC上に構築した仮想専用セグメントを、さらに複数のサブネットに分割し、各サブネットに対してきめ細かなアクセス制御を、集中制御のもとに実行できることにある。

 通常、社内のネットワークを用途に応じてきめ細かく分割し、ITリソースの利用ポリシーに基づいて綿密なアクセス制御を行うことは、さまざまな理由から困難だ。特に新しいアプリケーションが次々とデプロイされていくような環境では、ネットワークセキュリティをこれに追いつかせるのは容易ではない。一方でAmazon VPCでは、大規模な「仮想データセンター」を、セキュリティニーズに応じて分割し、それぞれを細かく制御できるとともに、セキュリティが実際に維持できているかどうかをログで常時確認し、必要に応じて即座に対策を講じることができる。

 また、Amazon VPCでは、任意の仮想インスタンスにパブリックIPアドレスを追加的に付与し、インターネットからのアクセスを許すことができるが、こうした仮想インスタンスに対して不審なネットワークアクセスが発生したら、このインスタンスを即座に隔離用のネットワークセグメントへ移行することで、潜在的な被害の防止も可能だと、シャムズ氏は指摘した。

企業IT担当者にとって「使える」アドバイザリ情報の提供を目指す「IT INSIDER」シリーズの第2弾は、AWSを例に、クラウドサービスのセキュリティの意外な側面を解説します

 一方、アイデンティティ/アクセス管理機能であるAWS IAMは、Amazon VPCに比べれば、まだ注目度は低い。しかし、この機能では、ユーザーあるいはユーザーグループ単位で、AWSサービスの利用権限をきめ細かく制御できる。アクセス元のIPアドレスやアクセス時間帯も、容易に制限できる。きめ細かなアクセス制御によって、不正アクセスが発生する隙を減らし、万が一特定ユーザーのアカウントが乗っ取られたとしても、被害を最小限にとどめられることで、積極的にセキュリティを高められると同氏は指摘している。

 Amazon VPCおよびAWS IAMをはじめとしたAWSのセキュリティを、企業における社内ITリソース運用の観点から、IT INSIDERシリーズNo.2 「企業ITセキュリティに対するAmazon Web Servicesの意外なインパクト」(PDF)にまとめていますので、ぜひご覧ください(本コンテンツのダウンロードには、TechTarget会員登録が必要です)。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。