SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

AWSでセキュリティを高めるために今すぐやるべき7つのこと

 クラウドサービスは使いたい時、使いたい分だけ使うことができて便利だ。セキュリティ対策に役立つサービスもいろいろと提供されている。しかしクラウドサービスを使えば安心とは限らない。適切な構成や設定にしておくこと、最新の便利なサービスを有効化にしておくことも忘れてはならない。AWS(Amazon Web Services)のセキュリティで欠かせないポイントをネイサン・ケース氏が解説する。

まずは鉄板の重要なドキュメントとツールから

 AWSのネイサン・ケース氏は冒頭の自己紹介で「セキュリティを担当しています。例えば月曜日の朝、GitHubにお客様のAWSクレデンシャルが……というケースに対応することもあります」と述べた。ケース氏はそれ以上の説明は省略したが、重要なことなので補足しておこう。

Amazon Web Services, Inc. AWS Security Strategist ネイサン・ケース氏
Amazon Web Services, Inc. AWS Security Strategist
ネイサン・ケース氏

 GitHubでは多くのソースコードが共有されている。開発者が有用なモジュールをみんなと分かち合うのはとてもいいことだ。しかし、たまにうっかり、ソースコードにAWSのアクセスキーやクレデンシャルなどが混入されたまま公開されていることがある。会社の鍵を公共の場に放置しているようなものだ。

 ハッカーは常時GitHubを探索していて、GitHubにあるソースコード内に認証情報があるとすぐに見つけて悪用する。GitHubやAWSも巡回チェックして注意喚起しているものの、ハッカーのほうが足が速い場合もある。重要な情報はソースコードに混入しないように、くれぐれも留意しておこう。

 それでは本題に入ろう。まずは基本的な枠組から。重要な要素が3つある。土台となるのがNIST(米国国立標準技術研究所)が発行しているCSF(Cyber Security Framework)。日本語版はIPAで「重要インフラのサイバーセキュリティを改善するためのフレームワーク」として公開されている。

 このCSFを土台にして、AWSでは「AWS CAF(AWSクラウド導入フレームワーク)」と「AWS Well-Architected Tool」を提供している。前者は企業システムでクラウドサービスを利用するとき、どのような枠組みで進めていけばいいかが示されている。後者は実際に運用しているAWSの環境が適切であるかをチェックするツールとなる。無料の健康診断のようなものだ。もし設定に不備があれば、どう改善すればいいのかが示される。

 長年AWSを使っているなら、AWS Well-Architected Toolは試してみるべきだ。管理コンソールから利用できる。筆者も長年AWSはGlacierを使っているため、試したところ「多要素認証が設定されていません」とアドバイスしてもらえた。見逃している設定や項目がないかチェックするにはいいツールだ。

次のページ
今すぐチェックしたい7つの項目

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
関連リンク
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:http://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/12536 2019/10/17 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング