Amazon Web Serviceはawsという略称で急速に広められてきました。世界的に使用されていることから導入して運用してみたいと思う企業も増えているものの、運用面で心配がないのかと疑問に思うケースも少なくありません。
特にセキュリティについて懸念を抱くケースが多いですが、awsの整えているセキュリティは安心できるものなのでしょうか。
クラウドサービスだからセキュリティが肝心
ネットワークサービスを使用する上では常にセキュリティに気をかけなければならない時代になりました。企業としては生命線となる機密情報が漏えいすると事業の継続が難しくなるだけでなく倒産のリスクすらあるからです。
ハッカーやウイルスなどが猛威を振るうケースもある他、使用しているサーバーのトラブルによって情報が失われたり破損したりするケースも少なくありません。データの保護と安心できる管理を同時に達成し、高いセキュリティを維持することは必須となっています。
また、データコンプライアンスについても社会的要求が高くなっていることから、常に管理体制について詳細に検討を続けなければならないのが現状です。awsはクラウドサーバーを使用しているクラウドコンピューティングのためのプラットフォームです。
無数のサービスを包括的に提供しているのが特徴で全世界で利用されるプラットフォームとして広まっています。利便性が高い一方で、世界中の利用者からサーバーへのアクセスがあることから、セキュリティに関しては十分な対応が必要です。
クラウドサービスは社内サーバーでシステム管理をするのに比べて外部からアクセスを受けるリスクが高く、他社のサーバー利用によるサーバートラブルも起こりやすいという問題があります。そのため、awsを導入する際にはどのような管理体制を敷いてセキュリティを高い水準で保ちつつ、運用に支障を与えないようにするかを考えなければなりません。詳細>AWS監視
awsは責任共有モデル
awsでは高いレベルのセキュリティ対策とコンプライアンス対策を実施しているため、多くのユーザーが集まっているという面があります。セキュリティ面では充実した機能を持ち、awsのシステムに特化したファイアウォールを標準で提供しています。
そのソフトウェアそのものがきちんと高い機能を発揮することはawsが責任を持つというのが基本です。しかし、その設定をどのようにして運用するかはユーザーが責任を持つ仕組みになっています。この他にもawsはストレージやデータベースなどを提供していて、そのシステム自体のセキュリティに責任を負います。
そのシステム上で使用するOSやネットワーク、プラットフォームやアプリケーションなどのセキュリティはユーザーが考えるというのが基本的な仕組みです。つまり、ハードウェアやインフラも含めたサーバーそのものに関わる部分と提供しているソフトウェアについてはawsが責任を持ちます。
その中で行う作業全般についてはユーザーが責任を負うという形式になっているのです。この責任の分け方の表現として、awsはクラウドのセキュリティを保ち、ユーザーがクラウドにおけるセキュリティ対策を行うという表現をします。
ただ、ユーザーにセキュリティ対策を完全に任せているわけではなく、データの暗号化やアクセス管理などのツールを提供することで容易に管理できるシステムを整えているので心配ありません。それにさらに追加して独自のセキュリティシステムを導入するのは自由で、必要に応じてサポートも受けながらセキュリティ対策を進めることが可能です。
ユーザーが運用の際に必要な対策とは
ユーザーとしてawsを運用するために取らなければならない対策は何かを区分して考えてみましょう。まずawsが提供するクラウドセキュリティ環境内で通信する際のセキュリティ対策は個々に行わなければなりません。
ゾーンを作って区分したようなときにそのゾーン間でのセキュリティを管理するといったケースが代表例です。セキュリティ環境内で利用するアプリケーションやサービスそのもののセキュリティも確保することが必要になります。
一方、ユーザーとawsとの間で共有する部分については統制が行われています。パッチ管理と構成管理の内容がユーザーとawsで区分されているので担当箇所については対策が必要です。パッチ管理についてはゲストOSとアプリケーションのパッチ適用に関して、構成管理については独自のゲストOS、データベース、アプリケーションの構成についてユーザーの責任になります。
基本的には提供された枠組みの中で独自のシステムを導入したときにはその部分のセキュリティ対策が必要と考えることが可能です。
運用のための教育も必要
もう一つ運用の際に準備しなければならないのが教育です。導入に携わる人たちは十分に勉強していることが多いものの、実際に現場で使用する人は必ずしもセキュリティに関する知識を持っているとは限りません。クラウドコンピューティングとは何か、クラウドサーバーのリスクは何か、awsのセキュリティに関する共有責任モデルとは何かなどといった情報を提供して理解させることが必要です。
awsでは特にユーザー側の従業員のトレーニングを実施していないので、自社でトレーニング内容を決めて実施しなければなりません。
ただ、基本的な操作方法や利用上の注意点を説明した後で、運用をする上で重要な事項をawsを使ってeラーニングにより教育することは可能です。
セキュリティやコンプライアンスに関わる内容は納得して覚えてもらうことが必要なので、効果測定によって理解度を測ることができるeラーニングが有効です。
awsを実際に運用するとどうなるのかを理解してもらうためにも実践的な方法になるので上手に活用しましょう。
コンプライアンス要件を満たしやすいのもメリット
awsを運用する上ではセキュリティを整えつつコンプライアンスも高めることも重要になります。awsではクラウドサーバー側については各種規格に準拠しているため、基本的にはユーザー側が担当する領域でも準拠できていれば問題がありません。
あらゆる規格に準拠しているわけではないので、必要な規格が含まれているかどうかを確認する必要があります。それぞれの規格について認証を得るために満たすべき要件などの情報も提供してくれる他、希望すればawsのスタッフによるサポートも受けられるのでスムーズに認証を得ることができるでしょう。