「情シスのためのAWSセキュリティ強化の具体策」セミナーレポート：ジャパンネット銀行や渥美氏が語る（2/2 ページ）

　そうした課題を解決するのが「Logstorage for AWS」だ。「Logstorageはあらゆる場所・フォーマットで点在するログを管理・分析する純国産の統合ログ管理システムで、2000社への導入実績があります。AWS環境でも、PCI DSSやSOC2といったセキュリティ認証基準に準拠し、各種監査に対応したログ運用が可能です」（安達氏）。マルチクラウドにも対応しており、クラウド環境のログを統合して管理できるという。

SecureWorks Japanサイバーセキュリティコンサルタントの古川勝也氏

　続いて、SecureWorks Japanサイバーセキュリティコンサルタントの古川勝也氏による「AWSを包括的なセキュリティ対策で、よりセキュアに活用するには」と題する講演が行われた。SecureWorksは、ベンダーニュートラルな立場で、マネージドセキュリティサービスを提供するデルグループのセキュリティ専業企業だ。

　「Counter Threat Unit（CTU）」と呼ばれるセキュリティのプロフェッショナル80名からなるリサーチ組織が有名で、CTUを主軸とした脅威インテリジェンスを基に世界59カ国でサービスを展開する。日本国内にもSOC拠点を有し、24時間365日の監視体制を敷く。グローバルで地域ごとに分担する方式と異なり、グローバルの知見を生かした国内専門組織によるサービス提供が特徴だ。

　AWS向けには、セキュリティ戦略の策定から、マネージドサービスの提供、運用監視まで一貫したサービス提供を行う。例えば、マネージドクラウドソリューションでは、仮想ファイアウォール監視やEC2インスタンス監視、仮想IPS管理、脆弱性スキャン管理などを提供。さらに、AWS環境のインシデントレスポンス対応も行っている。

　古川氏は「クラウド環境ではセキュリティ責任を分担するモデルで、利用者が担保すべき領域があります。その意味では、クラウドであってもオンプレミスと同様の運用が求められることになります」と指摘。同社が提供しているAWS向けマネージドセキュリティサービスは、そうしたニーズに応えるものだとし、「オンプレミスとクラウドの混在環境で求められるシームレスな運用を支援していくことができます」とアピールした。

TOKAIコミュニケーションズ AWS認定ソリューションアーキテクト、平原陽一氏

　続くベンダーセッションに登壇したのは、TOKAIコミュニケーションズのAWS認定ソリューションアーキテクトである平原陽一氏。平原氏は「AWSのプロフェッショナルが語る！ 実施すべきセキュリティ対策とは」と題して、AWS Direct ConnectやAmazon WorkSpacesを利用する際のポイントを解説した。

　TOKAIコミュニケーションズは、データセンター事業とSI／CI事業を提供するサービスプロバイダーだ。AWSアドバンスドコンサルティングパートナーであり、AWS認定ソリューションアーキテクトは30名以上在籍する。また、AWS Direct Connectパートナーとして、東京と大阪のデータセンターを使って、企業とAWS環境をさまざまな条件下で柔軟に接続できるサービスを提供することが特徴だ。

　例えば、同社のDirect Connectサービスは、帯域設計の自由度が高く、アクセス回線を冗長化したり、1回線を複数回線へ分割したりといった多様な要件に対応できる。また、接続用ルータのマネージドサービスを提供したり、1つの回線で複数のアカウント、VPCに接続したりできる。

　また、Amazon WorkSpacesについては、その利用で課題になりがちな、ローカルPCへのコピー＆ペーストの問題や、ローカルPCへの印刷の問題、Proxyサーバやファイアウォール設定の課題などをすべて解決していると指摘。さらに、ID／パスワード認証への不安を解消するための多要素認証を提供したり、端末からの情報漏洩を防ぐためにChromebookを活用したシンクライアント端末の提供を行ったりしていると説明した。

　平原氏は「AWSの運用では、コスト削減、アカウント管理、コンプライアンス対策、安定運用が大きなポイントです。AWSが提供する便利な機能や、AWSのパートナーが提供するマネージドサービス、サポートなどを使って、AWSを賢く運用してください」とアドバイスした。

開発と運用だけでなく「セキュリティ」と「監査」もAPIで統合

　特別講演には、クラウド利用促進機構（CUPA）運営委員、日本セキュリティ監査協会JASA-クラウドセキュリティ推進協議会 （JCISPA）アドバイザーを務める渥美俊英氏が登壇。「AWSクラウドの進化と真価 ?AWS導入に際して情シスがなすべきこと」と題して、情シスにとっての大きな課題となっている「セキュリティ」と「統制」について解説した。

クラウド利用促進機構（CUPA）運営委員、渥美俊英氏

　渥美氏は、アマゾンウェブサービスジャパンでエンタープライズエバンジェリストを務めたことで知られる。2012年に公表された「金融機関向けAWSセキュリティリファレンス」の作成コアメンバーであり、2013年には「経産省クラウドマネジメントガイドライン活用ガイド」の執筆も担当した。

　渥美氏はまず、AWSのエンタープライズ利用が拡大するなか、オンプレミスにないクラウドならではの価値を提供するようになったと指摘。2015年には700を超える新機能の発表があったが、興味深いのは、そうした機能拡張のなかで、全体の4分の1近くが、セキュリティ、コンプライアンス、統制、監査に関する機能であることだ。

　「セキュリティはAWSにおいて最優先されるべき事項だととらえられています。テクノロジー、専門組織、プロセスに継続的に投資しています。特徴的なのは、セキュリティと統制の要求が厳しい企業、組織の要求を個別にではなく、ソフトウェアで対応しサービス化していることです。これにより、同じレベルの機能をスタートアップ企業や個人でもすべてのユーザーが安価に同じコストで利用できるようになります」（渥美氏）

　AWSでは、SOC2、SOC3などの主要な認証/標準に準拠しており、コンプライアンス情報やセキュリティや統制に関する各種ホワイトペーパーも広く公開していることはよく知られている。最近では、Security By Design（SbD）の考え方とサービス拡充により、ユーザーが安全にクラウド環境を利用できるようにしているという。

　「SbDによって、顧客のセキュリティ要求とガバナンスポリシーがコード化されます。これによる効果は、運用や管理統制について信頼できる実装と強制ができることです。AWSは、SbDの実現を支えるAPIとサービス群を続々と提供し始めてきています」（渥美氏）

　システムの適切な設計と運用の下では、すべてのAWSリソースへのアクセスと操作、アプリケーションからのAPI呼び出しはIAMで統一的にアクセス管理され、CloudTrailでログ保管、CloudWatchでリソースとログが監視される。CloudFormationでシステムの配備はコード化され、AWS Config Rulesでポリシーを設定、これに合わない設定や変更は通知か抑止される。さらにInspectorでセキュリティ診断、Trusted Advisorで定期的評価を行う。

「これらの仕組みの応用として、PCI DSSなどの要求体系もコードとしてテンプレート化されAWSから提供されています。オンプレミスで全て自前でやるよりも、設計導入から運用と変更、監査まで、より安全に効率化されることがクラウドでは現実解になってきています」（渥美氏）

　開発（Dev）、運用（Ops）だけでなく、セキュリティや監査までAPIで統合できるようになってきたということだ。クラウドのセキュリティや監査に関するガイドラインも充実してきた。金融はクラウドから縁遠いと思われがちだが、実は大きな動きがある。金融向けの業界ガイドラインの「FISC安全対策基準」が改訂され、クラウド利用の項目が追加されてリスク管理の考え方が明記された。改訂の方向性を検討する会議には、AWSジャパンも有識者メンバーとして参加している。

　渥美氏らが作成し公開した「金融機関向けAWSセキュリティリファレンス」もその1つだ。このリファレンスは、AWSが「FISC安全対策基準」に適合し得るという研究成果を示したもので、金融機関によるAWS採用を強く後押しするものとなった。リファレンスを利用することで、責任境界を明確化したり、セキュリティ対応の根拠を把握したり、対策の検討が効果的に行えるといったメリットが得られる。改訂された安全対策基準の最新版に対応した新しいリファレンスが、近々にAWSパートナーから公開される予定だ。

　渥美氏は最後に、「AWSクラウドならではの進化と真価を使いこなして、ITシステムの開発、運用、セキュリティをより俊敏に、より楽に、より安心・安全にしていってください」とアドバイスした。