はじめに
クラウドサービスの市場は国内、海外ともにますます拡大しています。日本国内では、2018年に、政府 によりクラウドの利用を第一に考えるクラウド・バイ・デフォルト原則が発表されるなど、公共分野でのクラウド利用が進んでいます。また、エンタープライズシステムにおいても、クラウドの利用が検討されるケースが多くなりました。こうした日本国内でのクラウド利用が促進される流れの中で、障壁となるのがセキュリティです。
パブリッククラウドでは、ファイアウォールなど、オンプレミスでも実現できるようなデータを保護するサービスが多数提供されています。しかしながら、パブリッククラウドの特性上、それらの設定次第で簡単にインターネットに情報を公開できてしまいます。近年では、その特性を悪用して、サイバー犯罪集団のMagecartによりAWSの設定の誤りを突いた攻撃が行われるなど、セキュリティインシデントが多数報告されています。
パブリッククラウドの場合、攻撃の手口に加え、インフラストラクチャー自身も変化していきます。この2つの変化と向き合い、どのような対策を行うかがパブリッククラウドにおけるセキュリティ担保の課題です。
そこで「AWS re:Invent 2019」参加レポートの第2弾では、セキュリティにフォーカスし、re:Inventで発表されたセキュリティに関するサービスアップデートや事例を通して、セキュリティ対策の最新動向をレポートします。
AIを利用したセキュリティリスクの検出機能の充実
セキュリティはRepeatも含め363のセッションやワークショップが開催されました。これはre:Inventにおける各技術領域の中で、トップクラスのセッション数でした。AWSのセキュリティへの注力の度合いがうかがえます。
今回のre:Inventでは、AWS上のセキュリティをより強固にする機能が数多くリリースされました。既存の機能のアップデートとして、IAM Access Analyzer、S3 Access Analyzerがリリースされました。
これらはIAM、S3、KMSなどの独自のアクセス制御機能を持つサービスの設定を集約し、外部からのアクセスができるようになっていないかを監視するサービスです。これらの機能により、オペミスや悪意を持った内部ユーザーによるAWSリソースの外部公開を容易に検知することができます。今まではAWSの設定の管理を行うAWS Configや、AWS内のイベントを起点に各種操作を行うことができるCloudWatch Eventsで作りこみを行うことで、同様の機能を実現することが可能でした。これらをAWSのネイティブの機能で統合監視できることは大きなメリットです。
アクセス制御機能の監視だけでなく、ネットワーク、データレイヤーの不正検出の機能もリリースされています。代表的なものとしては、VPC内の通信や操作履歴を記録するVPC FlowlogsやCloudTrailを利用して、潜在的なセキュリティリスクを検知するAmazon Detectiveと、Amazonの長年のECサイトの経験を組み込み、オンラインアクティビティを評価してその正当性をスコアリングするAmazon Fraud Detectorが発表されました。
Amazon Detective、Amazon Fraud Detectorと前述のAccess Analyzerを活用することで、セキュリティのベストプラクティスである発見的統制(リスクを迅速に検出し、影響を最小限にすること)をより強固に実現することができるでしょう。
アプリケーションレイヤーをより強固にするセキュリティ機能のアップデートも発表されています。Amazon CodeGuruはソースコードリポジトリに配置されているコードを解析し、パフォーマンスに影響を与える要素や個人情報が流出する可能性のあるコードを検出することができます。セッションの中で、実際に以下のようなレビューが行われていました。
そのほかには、S3へのアクセス先をアプリケーション単位で割り当てることができるS3 AccessPointsがリリースされています。
この機能により、今までバケット単位で制御するしかなかった領域をさらに細かく分割できます。今まではバケットポリシーを細かく設定するがゆえに設定ミスが起きやすく、多くのインシデントが報告されていました。本機能を使うことで、セキュリティの設計原則である最小権限かつ適切に分掌された状態をより容易に実現することができます。
近年、VPC内の不正な通信や個人情報が含まれたデータを検知するGuardDutyやMacie、異常なAPI操作を検出するCloudTrail Insightsが立て続けにリリースされています。これらのリリースに加えて、今回のre:Inventでリリースされたセキュリティアップデートの多くにはMachine Learningや推論モデルなどのAIを組み込んだ検出機能が多く使われていることは特筆すべき点です。今後強固なセキュリティが求められるAWSユーザーにとっては、これらの機能をどう組み合わせて実現していくかを考えていくことが重要になってきます。
