まずは鉄板の重要なドキュメントとツールから
AWSのネイサン・ケース氏は冒頭の自己紹介で「セキュリティを担当しています。例えば月曜日の朝、GitHubにお客様のAWSクレデンシャルが……というケースに対応することもあります」と述べた。ケース氏はそれ以上の説明は省略したが、重要なことなので補足しておこう。
ネイサン・ケース氏
GitHubでは多くのソースコードが共有されている。開発者が有用なモジュールをみんなと分かち合うのはとてもいいことだ。しかし、たまにうっかり、ソースコードにAWSのアクセスキーやクレデンシャルなどが混入されたまま公開されていることがある。会社の鍵を公共の場に放置しているようなものだ。
ハッカーは常時GitHubを探索していて、GitHubにあるソースコード内に認証情報があるとすぐに見つけて悪用する。GitHubやAWSも巡回チェックして注意喚起しているものの、ハッカーのほうが足が速い場合もある。重要な情報はソースコードに混入しないように、くれぐれも留意しておこう。
それでは本題に入ろう。まずは基本的な枠組から。重要な要素が3つある。土台となるのがNIST(米国国立標準技術研究所)が発行しているCSF(Cyber Security Framework)。日本語版はIPAで「重要インフラのサイバーセキュリティを改善するためのフレームワーク」として公開されている。
このCSFを土台にして、AWSでは「AWS CAF(AWSクラウド導入フレームワーク)」と「AWS Well-Architected Tool」を提供している。前者は企業システムでクラウドサービスを利用するとき、どのような枠組みで進めていけばいいかが示されている。後者は実際に運用しているAWSの環境が適切であるかをチェックするツールとなる。無料の健康診断のようなものだ。もし設定に不備があれば、どう改善すればいいのかが示される。
長年AWSを使っているなら、AWS Well-Architected Toolは試してみるべきだ。管理コンソールから利用できる。筆者も長年AWSはGlacierを使っているため、試したところ「多要素認証が設定されていません」とアドバイスしてもらえた。見逃している設定や項目がないかチェックするにはいいツールだ。
