[イベントレポート]

2017年1月25日(水)伊藤 秀樹（フリーランスライター）

リスト

セキュリティ第一主義のAWSが掲げる「Security by Design」

　AWSのこの分野への注力は最近になって始まったわけではない。以前よりセキュリティを最優先事項として掲げ、関連する技術や組織、プロセスに継続的な投資を行ってきた。

　渥美氏は、セキュリティ要件が厳しい企業の要求に個別対応することはせず、ソフトウェア化／サービス化を進めたうえで、すべての顧客が安価に利用できるようにするのがAWSのサービス提供スタンスであると説明。「つまり、小さなスタートアップ企業だって、グローバル金融企業や政府系組織などと同レベルのセキュアなITインフラを、クリックするだけで利用可能にしている」（同氏）。こうしてAWSがクラウドのセキュリティを担い、そのうえで、ユーザーはクラウドを自在にコントロールできる（図3）。

図3：AWSの責任共有モデル
拡大画像表示

　ここ数年でAWSのセキュリティとコンプライアンスはさらに進化を遂げていると渥美氏。これまでも世界各国の認証および業界ガイドラインへの準拠を推進してきたが、近年では、情報公開についても拡大中だという。例えば、システムのセキュリティに関連するAWSの統制環境について、利用者は第三者監査であるSOC2監査報告書を通じて情報を取得可能となっている。

　また、AWSにおけるセキュリティ監査のガイドラインについてもベストプラクティスを日本語で提供している（画面1）。「有用なガイドラインとなっている。監査に際して必要となる項目に関して、監査人は何をすればよいのか、実際のコマンド操作までが公表されている」（渥美氏）

画面1：AWSのセキュリティ監査ガイドライン（出典：AWS、https://aws.amazon.com/jp/compliance/）

　AWSは、セキュリティ／コンプライアンス強化の取り組みにおける最新の基本方針として「Security by Design」を掲げる（図4）。これは、システムやサービスの設計段階からセキュリティに関する機能を組み込んでいくという考え方だ。「Security by Designに基づいて構築されたサービスでは、アクセス管理やロギング、暗号化、変更管理といったセキュリティ機能を標準で利用できる。加えて、AWSを用いたアプリケーションでは、開発から運用管理に至るすべての段階で、利用者自身がセキュリティ機能群を横断的に適用させることが可能となる」

図4：AWSのセキュリティ／コンプライアンス強化方針の遷移（出典：AWS、https://aws.amazon.com/jp/compliance/）
拡大画像表示

　このほかにも、ポリシーに反する設定に対して警告を発する「Amazon Inspector」や、AWSが蓄積したデータに基づき、現状のシステム構成についてコスト削減や改善などのアドバイスを提供する「AWS Trusted Advisor」など、人手を介することなくソフトウェアが自動的にコントロールするサービスの提供も進められている。

　「『クラウドはセキュリティが不安』という声がいまだに聞かれるが、監査までを含めた安全・安心な仕組みが実現されつつある」と渥美氏。しかも、上述したように、AWSはそうした機能をすべてソフトウェアで実現し、統合されたAPIを通じて利用可能とする世界を実現させようとしている。