AWSでクラウドの安全性を保つには

貴社がクラウドジャーニーの途中でも、オンプレミスから移行を検討し始めたばかりでも、すでに何年もクラウドで運用をしていても、セキュリティは常に重要な優先事項です。しかし、クラウドでは新しいサービスを追加して規模を拡大することが非常に簡単なため、必要な予防策を見落とす可能性があります。

優れたセキュリティとは、適切なテクノロジーを導入することですが、同時に、人とプロセスにも大きく左右されます。これらの分野のいずれかに隙があれば、セキュリティ侵害やその他の障害が発生する可能性が高まります。また、ツールや機能、脅威の急速な変化に対応し、ビジネスの成長に合わせて脆弱性を持ち込まないようにする必要があります。

幸いなことに、Amazon Web Services（AWS）は、セキュリティニーズを常に把握するのに役立つ幅広いサービスを提供しています。SoftwareOneは、これらのサービスに精通したAWSプレミアパートナーとして、クラウドにおける包括的なセキュリティ基盤の構築についてお客様をご支援いたします。

クラウド移行には強固なセキュリティ基盤が必要

まだクラウドを導入しておらず、AWSへの移行を検討されているのであれば、SoftwareOneが AWS Migration Acceleration Program (MAP)のクラウド移行プログラムで包括的にご支援いたします。このプログラムには AWS Well-Architectedレビューが含まれており、最適なセキュリティ戦略について多くの知見を取得することができるとともに、コストがどの程度になるか分かります。

また、AWS Well-Architectedは、すでにクラウドを利用しているが、セキュリティ対策の最適化を検討されている場合にも役立ちます。こちらは、1日か2日で完了する比較的迅速なプロセスです。

クラウドに移行する際に理解しておくべき重要なことは、ハイパースケーラーはインフラストラクチャのセキュリティに多額の投資を行っているということです。つまり、セキュリティの問題は、クラウドインフラストラクチャ上のアプリケーションをユーザーがどのように設定し、管理するかに起因することが多いのです。

共有責任モデルにより、AWSはクラウドのセキュリティに責任を持っています。つまり、お客様のクラウドサービスが稼働するハードウェア、ソフトウェア、その他のインフラストラクチャをすべて保護するということです。一方、お客様はクラウドのセキュリティに責任を持ちます。つまり、多要素認証によるID管理の使用、機密データの暗号化、ユーザーが業務に必要なタスクのみにアクセスできるような権限設定（最小権限の原則）、パスワードやアクセスキーを定期的に変更するなど、セキュリティのベストプラクティスに従ってサービスを構成・管理します。

お客様のセキュリティニーズをより深く掘り下げるために、SoftwareOneは、ギャップを詳細に特定するセキュリティ体制の評価を実施しております。この評価は約4年前に導入したもので、ステークスホルダーとのワークショップ、お客様のAWS環境の自動スキャン、手動による検査などを総合的に組み合わせたものです。最後に、セキュリティのさまざまな側面から現在のパフォーマンスを採点し、セキュリティの実践を強化するための短期、中期、長期の推奨事項を記載した80～90ページの報告書をお届けします。

AWSクラウドの安全性を保つためのツール

どのようなアプローチを選択するにしても、通常はクラウド上のセキュリティのためにAWSツールの標準的なスタックを有効にし、その後、お客様の特定のセキュリティーニーズに応じて、他のサービスの実装や構成のカスタマイズを行うことが可能です。

標準的なツールの1つにAWS Security Hubがあります。これは、 クラウド環境でのアクティビティを一元管理するための管理コンソールを提供します。モニタリングは、さまざまなルールに従って構成することができます。例えば、CIS（Center for Internet Security）やPCI DSS（Payment Card Industry Data Security Standard）といった一般的なフレームワークへの準拠状況を自動チェックすることができます。このようにすることで、日常的なルールへの準拠レベルを確認することができます。

AWS Config も、コンプライアンスとセキュリティを監視するための重要なサービスです。このサービスは、お客様のクラウドリソース構成を継続的に評価、監査、査定し、潜在的な問題を警告します。例えば、「保管中の機密データはすべて暗号化しなければならない」というルールを作成した場合、組織内の誰かが暗号化されていないインスタンスを起動するとAWS Configが検知し、その情報をAWS Security Hubと共有し、対応するためのチケットを生成することができます。

さらに、セキュリティにとってもう一つ重要なサービスがAWS CloudTrailです。これは、すべてのAWSユーザーアカウントのアクティビティとAPI利用を監視・記録し、PCI DSS、SOC（System and Organization Controls）、HIPAA（Health Insurance Portability and Accountability Act）などの規制があるフレームワークへの準拠状況を示すのに使用できるログを生成します。

進化するAWSサービスの脅威防御レベル

セキュリティの脅威は進化し続けるため、組織のセキュリティ対策を継続的に更新し、拡張することが重要です。AWSとSoftwareOneは、この重要性を認識しており、脅威の変化に対応するため、常に新しい機能を追加しています。

2019年に発売されたAWS Control Tower は、AWSクラウドの複数アカウント環境を安全に設定するのに役立ちます。これは、予めAWSに組込みのガバナンスで AWS アカウントの作成を自動化し、事前に構成されたコントロールでセキュリティとコンプライアンスを適用するツールです。ベストプラクティスに従ってすべてのAWSアカウントを自動的に作成する専門家を待機させているようなものです。さらに包括的なソリューションとして、SoftwareOneのFoundational Landing Zoneをご使用いただけます。このアプローチでは、SoftwareOneのコンサルタントがAWSクラウドの基礎環境を構築し、ベストプラクティスに従うだけでなく、将来の成長にあわせて必要に応じて拡張することができます。

また、AWSは、機械学習によりクラウド環境のモデルを構築し、何が正常で何が異常かを判断する Amazon GuardDutyにより、進化し続ける脅威検出機能を提供します。

SoftwareOneでは、セキュリティ・ポスチャー評価における測定プロセスを自動化するシステムの構築に取り組んでいます。これにより、お客様は、自社のセキュリティ環境が同業他社と比較してどうなのかについて、より多くの知見を得ることができます。

AWSのようなクラウドハイパースケーラーは、クラウドセキュリティのベストプラクティスを維持・指導し、非常に高いレベルのセキュリティを提供していますが、お客様がサービスを追加して成長すると、環境は急激に、かつとても複雑になってしまうため、こうしたイノベーションは重要です。自動化されたモニタリング、機械学習、コードとしてのインフラストラクチャ、その他の高度な機能により、すべてのサービスを適切に構成し、適切なレベルの保護を有効にし、セキュリティ、ディザスタリカバリ、コンプライアンスのベストプラクティスに従っていることを確認することができます。

当社のAWSの専門知識を持ったエキスパートが、AWSクラウドセキュリティへの最良の道をご案内いたします。お気軽にお問い合わせください。