IaaS PaaS

まだオンプレミスで消耗してるの?--AWSのセキュリティサービスを使い倒す

クラウドを正しく利用することで、多くの企業は、現在の環境よりも大幅にセキュリティの強化を狙うことが可能なはずだ。今回はその方法について具体的に説明していこう。

AWSを含む、すべてのクラウドサービスは利用前に評価すること

 利用するクラウドサービスが安全かどうか、まずは机上で評価することが重要だ。もし自社に評価基準がない場合は、IPA(独立行政法人 情報処理推進機構)が公開している中小企業のためのクラウドサービス安全利用チェックシートの27ページが参考になる。cloudpackでは、この基準に独自の基準を加えたチェックシートを作成し、AWSを含むすべてのクラウドサービスを定期的に評価している。

ハイレベルで高セキュアなAWS運用

cloudpackが実践するPCI DSS/SOC 2運用

 AWS上でのクレジットカード番号の取り扱いの有無に関わらず、PCI DSSのようなハイレベルなセキュリティ基準に適合した運用を望む顧客は増加傾向にある。その要望に応えるため、cloudpackでは専用のセキュリティルームを設け、さらに物理回線から社内ネットワークとは隔離してセキュアな環境で運用している。

 さらに、米国公認会計士協会が定める内部統制の有効性に関する保証報告書であるSOC 2(Service Organization Controls 2 )の運用を行うために、物理インフラからAWSへのアクセスは専用線による完全な閉域網で構成されている。

参考:cloudpackネットワーク構成図
参考:cloudpackネットワーク構成図

 AWSに対して利用する認証情報はすべて、閉域網内のVPC上に存在するActive Directoryサーバが保有しており、ここからSAML認証を使ってAWSへのログインを試みる仕組みになっている。

 このため、AWSアカウントごとに必要なアカウント名および、パスワードが存在しない。したがって、悪意のある第三者が、われわれが管理するAWSアカウントにインターネット経由でログインすること自体が不可能となっている。

複数の認証システムを併用する

 悪意のある第三者が、cloudpackの閉域業務ネットワークに接続してきて、特定AWS環境へのアクセス権を有する社員のアカウント名、およびパスワードが漏えいしていたとしよう。これだけでも条件は厳しいが、それでもログインを防ぐ仕組みを導入している。

  • ハードウェア認証:閉域業務ネットワークに接続する端末が、cloudpackに属するものであるかを認証する
  • ユーザー認証:ログインするユーザーが、cloudpackのスタッフである事を認証する
  • 多要素認証:ログインするユーザーしか持ち得ない情報、もしくは知り得ない一時的な情報を利用した認証をする

 さらに、認証経路の暗号化、パスワード複数回の失敗によるアカウントロックアウト、一定期間に非アクティブなアカウントの自動無効化、などの運用を実施している。

「IaaS」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
クラウドストレージ
IaaS
PaaS
プライベートクラウド
OS・ミドルウェア
開発
データベース
運用
セキュリティ

ホワイトペーパーランキング

  1. MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版
  2. コンテナセキュリティ入門ーコンテナ保護の基礎知識
  3. 前経済産業省審議官 三角育生氏が語る「新時代のセキュリティ対策」
  4. 悲惨な「ひとり情シス」を脱却するための7つの話題!うまく回している人が実践していることとは?
  5. 見えてきた“悪意のあるインフラストラクチャ”の恐るべき実態

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]