まだオンプレミスで消耗してるの?--AWSのセキュリティサービスを使い倒す

　クラウドへの不安要素としてよく挙げられる項目に「セキュリティ」がある。充分に理解し尽くしている既存のオンプレミス環境が、その方の安全基準になっており、パブリッククラウドにデータを置くことに対し漠然とした不安があるのだろうと想像する。要するに「クラウドがよく分からない」ということだ。

　この第5回では、アイレットが実践しているセキュリティ対策を紐解いていく。きっと「オンプレミスはセキュリティが高い」という考えを改めることになるだろう。

　政府や金融機関など、高いセキュリティ基準を維持する企業はごく一部だが、あなたの所属する会社は、それらと同等もしくはそれ以上のセキュリティを確実に担保していると言えるだろうか。おそらく頷ける人はそう多くないだろう。

　クラウドを正しく利用することで、多くの企業は、現在の環境よりも大幅にセキュリティの強化を狙うことが可能なはずだ。今回はその方法について具体的に説明していこう。

クラウドの正しい使い方の「はじめの一歩」

AWS責任共有モデルの理解が不可欠

　従来のオンプレミス環境であれば、データセンターや導入するハードウェア、そしてその上にインストールするOSからミドルウェアに至るまで、そのすべてにおけるセキュリティを自社で担保する必要があった。

　AWSを利用すると、それらの一部をAWSが責任を持って守ることとなり、利用者が守るべきセキュリティの範囲が絞られることを意味している。つまりAWSの利用者は、あらゆるセキュリティ対策に追われることから解放され、自社ビジネスの運用や維持へ、より多くの時間を使えるようになる。

責任共有モデル図

AWSが守るべき範囲は、どのようにして守られているのか理解する

　セキュリティには何かしらの基準が必要なので、自社のセキュリティにおいても一定の基準が設けられ、どのように守られているか明文化されていたり、運用されていたりすることだろう。これらの基準は、第三者機関を用いて遵守されていることを証明することができ、どうセキュリティを担保しているのか、利用者へ伝えることができる。

　AWSは、ISO 27001やPCI DSSを始めとした国際基準はもちろん、大変厳しいセキュリティ監査として知られるSOC 2など、多くの認証を取得し更新を続けている。自社でこれらと同レベルの認証をオンプレミスに適用するのは、コストや労力、実際の運用面から考えても非現実的だろう。AWSを利用することで、高い透明性によって守られた環境を今すぐに利用できる。

　とはいえ、AWSを使うだけで利用者がこれらの外部認証に準じたサービスを構築できるというわけではないので注意が必要だ。責任共有モデルを思い出してほしい。例えば、利用者が脆弱なOSやミドルウェアをAWSに実装したとして、そこに攻撃があったとしよう。この場合、AWSに責任を問うことはできない。あくまで利用者自身が対応すべき事象となるのだ。