Amazon Web Services: ユビキタスなセキュリティ保護を使用してクラウドイノベーションを保護する

クラウド コンピューティング アプリケーションがますます高度になるにつれ、ユーザーはクラウドを利用する方法だけでなく、クラウド上のセキュリティを確保する方法についても関心を持つようになりました。近年のクラウド セキュリティ インシデントの頻発により、クラウド セキュリティに対するユーザーの要求はますます緊急なものになっています。 「サイバーセキュリティ法」「データセキュリティ法」「個人情報保護法」などの法規制の導入、GDPRやCCPAなどの関連データセキュリティ法規制の発表により、企業のセキュリティコンプライアンスに対する要件が強化され、クラウドセキュリティ市場の急速な発展がさらに促進されました。このような状況の中、大手クラウドベンダーは自社のセキュリティ機能を強化し、そのセキュリティ機能を製品として輸出しています。

「クラウドのセキュリティ状況は常に変化しています。私たちは先を見据え、鋭い洞察力を維持し、水や空気のようにどこにでもあるセキュリティ保護を継続的に顧客に提供する必要があります」と、Amazon Web Services Greater Chinaの製品担当ゼネラルマネージャー、Chen Xiaojian氏は述べた。

陳暁建、アマゾン ウェブ サービス グレーター チャイナ、製品部門ゼネラル マネージャー

Amazon Web Services は常にセキュリティを最優先事項とみなし、Amazon Web Services の企業運営全体にわたってセキュリティを文化として統合しています。先日開催されたAmazon Web Services re:Inforce Global Cloud Security Conference China Media Conferenceで、Chen Xiaojian氏は、セキュリティの概念、セキュリティ文化とメカニズム、新製品とサービスのリリースという3つの側面からAmazon Web Servicesのセキュリティレイアウトについて詳細に紹介しました。

事故を未然に防ぐ安全コンセプト

Amazon Web Services のクラウド セキュリティの理念は、問題が発生する前にそれを防ぐことです。すべてのセキュリティ問題を発見し、基本的な問題をできるだけ早く解決し、世界中の何百万もの顧客に対する大規模な運用とさまざまなセキュリティインシデントのサポートの経験と実践を他の顧客に再利用することで、規模の経済を実現することを目指しています。同時に、Amazon Web Services は、製品とサービスの開発ライフサイクルと運用にセキュリティを統合し、セキュリティ ガーディアン チームを設置し、一定の割合で製品チームにセキュリティ担当者を配置して、製品とサービスのすべてのセキュリティに責任を持ち、すべての製品サービスの更新とリリースに適用できる独立したアプリケーション セキュリティ レビュー プロセスを設定します。

タマネギ型の階層化保護メカニズムは、Amazon Web Services セキュリティの主要な機能であり、脅威の検出とインシデント対応、ID 認証とアクセス制御、ネットワークとインフラストラクチャのセキュリティ、データ保護とプライバシー、リスク管理とコンプライアンスの 5 つのレイヤーで構成されています。 「セキュリティに対するお客様の要望が、私たちの進歩と改善の原動力となっています。私たちは、これらの発見、経験、実践をまとめ、より多くのお客様と共有しています。その結果、Amazon Web Services とユーザーは協力して進歩し、より強力になります。」

企業の安全文化とメカニズムの構築を強化する

セキュリティは CEO だけの責任ではなく、会社のセキュリティ チームだけの責任でもありません。それは会社全員の責任です。 Amazon Web Services では、ビジネス リーダーが参加するセキュリティ ミーティングを毎週開催し、ビジネス ニーズを確認し、セキュリティの問題に重点を置きます。このメカニズムにより、セキュリティ文化の発展が強化されます。 Amazon Web Services では、自動化ツールを使用して効率性と競争力を向上させ、開発プロセス全体にセキュリティを組み込んでいます。基本的な問題や複雑な問題に異なるツールを使用することで、開発者はセキュリティの境界を明確に理解でき、開発プロセスの安全性が高まり、レビューの効率が向上します。

Amazon Web Services は、長年にわたる顧客サービスで得た 4 つのベストプラクティスをまとめました。1 つ目は、ユーザーの役割と責任の範囲を考慮し、アクセス権の有効期間を設定する、最小限の権限です。 2つ目は脆弱性報告です。当社では、従業員と顧客が誤報を心配することなくセキュリティの脆弱性を発見して報告できるように、内部と外部の 2 セットの脆弱性報告メカニズムを設定しました。 Amazon Web Services の専門セキュリティチームが脆弱性レポートを評価し、解決します。 3つ目はランサムウェアです。問題を発見し予測するために、Amazon Inspector を使用して脆弱性を事前に検出し、Amazon GuardDuty を使用して異常なアクティビティを検出し、Amazon Backup を使用してストレージのバックアップ機能を実装することができます。 4 番目に、Log4J の脆弱性については、インターネットからのアクセスを厳しく制限し、ソフトウェアとその使用方法の包括的なインベントリを維持し、サードパーティ製品を最新バージョンに更新し、徹底した防御を実行し、ログ記録を適切に行う必要があります。

さらに、Amazon Web Services は、サプライヤーのセキュリティコンプライアンス評価を簡素化し、リスクの継続的な監視を可能にする Marketplace Vendor Insights のプレビュー バージョンをリリースしました。このサービスにより、サプライヤーの評価を加速し、ユーザーの調達期間を8～12週間から7日間に短縮し、迅速なビジネス立ち上げが可能になります。 Amazon Web Services は、クラウド コンピューティング向けに特別に設計されたコンプライアンス監査トレーニング コース「Cloud Academy Audit」も開始しました。同社は今年、中国にCAAコースを導入し、レベル保護に関するコンテンツを追加する予定だ。

顧客ニーズに応じてセキュリティサービスと機能を継続的に充実

暗号化に関しては、Amazon Web Services は静的暗号化機能と Amazon KMS を提供します。静的暗号化機能のキーは Amazon が管理・制御しますが、Amazon KMS ではユーザー自身がキーを管理・制御でき、業務負荷に応じて自動的に容量を拡張できます。

注目すべきは、今後の量子コンピューティングの急速な発展に対応するために、Amazon Web Services がハイブリッドポスト量子鍵交換を開始し、現在 Amazon Key Management Service (Amazon KMS)、Amazon Certificate Manager、Amazon Secrets Manager の 3 つのサービスに量子セキュリティ アルゴリズムを提供していることです。

オープンソース分野では、Amazon Web Services がオープンソースの暗号化ライブラリ LibCrypto を開発しました。 Chen Xiaojian 氏によると、LibCrypto は OpenSSL などのオープンソース暗号化ライブラリの代替として使用できるとのことです。 LibCrypto はクラウド サービス向けにも最適化されており、Gravition チップ上でより高速に実行できます。同氏は、Amazon Web Services が FIPS 認証を申請しており、LibCrypto と FIPS 認証を取得して、顧客がより効果的で安全な暗号化メカニズムを提供できるようにしたいと明かした。

AWS は暗号化に加えて、コアサービスに自動推論を適用してその結果が数学的に証明可能であることを保証することで、証明可能なセキュリティの開発を推進しています。

企業のセキュリティ構築に関して、陳小建氏は3つの行動提案も行いました。まず、暗号化は優れたデータ保護戦略の中核となる要素であり、すべてを暗号化する必要があります。次に、パブリックアクセス許可を無効にする必要があります。これは、Amazon S3 サービスにとって特に重要です。 3 番目に、多要素認証 (MFA) を有効にします。 Amazon MFA は、クラウドへのアクセスに追加のセキュリティを提供する最も簡単で最適な方法の 1 つです。

re:Inforce は、世界で最も重要なセキュリティ業界カンファレンスの 1 つです。このカンファレンスで、Amazon Web Services は、脅威の検出と対応、ID 認証とアクセス制御、コンプライアンスなどのセキュリティ分野における多くの新しいサービスと機能をリリースし、セキュリティ パートナー ネットワークに関連する新しい取り組みを開始しました。 Amazon GuardDuty マルウェア保護が含まれており、顧客がクラウド環境で実行されているマルウェアを検出するのに役立ちます。この機能の導入により、Amazon GuardDuty の脅威検出範囲がさらに拡大します。 Amazon Identity and Access Management (Amazon IAM) Roles Anywhere は、Amazon IAM のワークロード管理機能を顧客のクラウド環境を超えて拡張します。このサービスにより、顧客はローカル サーバー、コンテナ、アプリケーションなどのワークロードに一時的な認証情報を設定し、クラウド ワークロードと同じ IAM ロールとポリシーを使用して関連リソースにアクセスできるようになります。 Amazon Detective for Elastic Kubernetes Service (Amazon EKS) は、Amazon Detective がカバーするデータソースを Amazon EKS に拡張し、顧客が Amazon EKS クラスター上の Kubernetes における潜在的なセキュリティ問題や疑わしいアクティビティをより簡単に分析および調査し、根本原因を特定できるようにします。 Amazon Config は、顧客がリソースのコンプライアンスを追跡できるようにコンプライアンス スコア機能を追加しました。

セキュリティとコンプライアンスのためのコミュニケーションプラットフォームを作成する

アマゾン ウェブ サービスは、中国のユーザーが懸念するプライバシー保護、国境を越えたデータ、クラウド セキュリティ構築の問題に対応するため、今年から中国で CISO ダイアログを開催しています。目的は、相互交流のためのプラットフォームを作成し、Amazon Cloud のセキュリティコンプライアンスに関する経験と実践を輸出することです。同社はまた、このプラットフォームを利用して、クラウド セキュリティ コンプライアンスに関してユーザーの CISO が対処する必要のある具体的な要求や問題を把握したいと考えています。セキュリティ管理、文化、テクノロジーについて一緒に議論することで、セキュリティとコンプライアンスがクラウドにおけるビジネスの急速な成長の障害にならないようにすることができます。