クラウドサービスは使いたい時、使いたい分だけ使うことができて便利だ。セキュリティ対策に役立つサービスもいろいろと提供されている。しかしクラウドサービスを使えば安心とは限らない。適切な構成や設定にしておくこと、最新の便利なサービスを有効化にしておくことも忘れてはならない。AWS(Amazon Web Services)のセキュリティで欠かせないポイントをネイサン・ケース氏が解説する。
まずは鉄板の重要なドキュメントとツールから
AWSのネイサン・ケース氏は冒頭の自己紹介で「セキュリティを担当しています。例えば月曜日の朝、GitHubにお客様のAWSクレデンシャルが……というケースに対応することもあります」と述べた。ケース氏はそれ以上の説明は省略したが、重要なことなので補足しておこう。
ネイサン・ケース氏
GitHubでは多くのソースコードが共有されている。開発者が有用なモジュールをみんなと分かち合うのはとてもいいことだ。しかし、たまにうっかり、ソースコードにAWSのアクセスキーやクレデンシャルなどが混入されたまま公開されていることがある。会社の鍵を公共の場に放置しているようなものだ。
ハッカーは常時GitHubを探索していて、GitHubにあるソースコード内に認証情報があるとすぐに見つけて悪用する。GitHubやAWSも巡回チェックして注意喚起しているものの、ハッカーのほうが足が速い場合もある。重要な情報はソースコードに混入しないように、くれぐれも留意しておこう。
それでは本題に入ろう。まずは基本的な枠組から。重要な要素が3つある。土台となるのがNIST(米国国立標準技術研究所)が発行しているCSF(Cyber Security Framework)。日本語版はIPAで「重要インフラのサイバーセキュリティを改善するためのフレームワーク」として公開されている。
このCSFを土台にして、AWSでは「AWS CAF(AWSクラウド導入フレームワーク)」と「AWS Well-Architected Tool」を提供している。前者は企業システムでクラウドサービスを利用するとき、どのような枠組みで進めていけばいいかが示されている。後者は実際に運用しているAWSの環境が適切であるかをチェックするツールとなる。無料の健康診断のようなものだ。もし設定に不備があれば、どう改善すればいいのかが示される。
長年AWSを使っているなら、AWS Well-Architected Toolは試してみるべきだ。管理コンソールから利用できる。筆者も長年AWSはGlacierを使っているため、試したところ「多要素認証が設定されていません」とアドバイスしてもらえた。見逃している設定や項目がないかチェックするにはいいツールだ。
この記事は参考になりましたか?
- この記事の著者
-
加山 恵美(カヤマ エミ)
EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
