クラウドセキュリティを企業のイノベーションの推進力にし、「タマネギ」スタイルの多層保護を構築しましょう

クラウドへの移行は、企業のデジタル構築における新たな標準となっています。企業はクラウドでのイノベーションを加速させていますが、同時にクラウドでのセキュリティも確保する必要があります。クラウド セキュリティはイノベーションを妨げる「ゲートキーパー」のようなものでしょうか?それとも、水や空気のように存在し、イノベーションをより良く起こすのに役立つのでしょうか?

クラウド コンピューティングは、セキュリティを含む企業のデジタル化のあらゆる側面を変革しました。クラウド内に優れたセキュリティ メカニズムを構築することで、企業はセキュリティとイノベーションのどちらかを選択する必要がなくなります。両方を並行して実行することによってのみ、企業はディープ デジタル化時代の目標と課題にうまく対処できるようになります。

イノベーションの制約ではなく促進要因となるためには、セキュリティ メカニズムは、水や空気のように「目に見えない」もので、すぐに利用できるものでなければなりません。この概念は、Amazon Web Services が提案する「共有セキュリティ責任モデル」にも反映されています。Amazon Web Services はクラウド自体のセキュリティに責任を持ち、ユーザーは自身のクラウド ビジネスのセキュリティに責任を持ち、Amazon Web Services はユーザーがクラウド内でセキュリティ保護を構築できるよう支援します。クラウド セキュリティを効果的にイノベーションに役立てるために、Amazon Web Services は、セキュリティ サービスを計画する際に常に次の 3 つの概念に従っています。

まず、チェックポイントを設定する代わりに、クラウド上のイベント駆動型アーキテクチャを使用して、自動化されたガードレールを構築します。自動化は、クラウドで拡張されたセキュリティを実現する上で重要な要素です。クラウド上の統合 API 管理と集中イベント管理に基づいて、脅威の検出からイベント対応、原因分析、回復までの一連の自動化された保護が確立され、開発チームのエネルギーを解放しながらセキュリティを実現し、ビジネス革新に集中できるようになります。

2 番目に、クラウドのセキュリティは、単に事後対応的ではなく、事前に設計されます。アクティブ設計とは、企業が自社のビジネスと実際のニーズに基づいて自社に適したセキュリティ ソリューションを設計し、セキュリティ構築の主導権を自らに委ね、過度な受動的な対応や変革を避けることを意味します。

3 番目に、クラウド セキュリティは、単一の卵ではなく、タマネギ型の多層防御でなければなりません。一見硬い殻が 1 つしかない卵と比較すると、タマネギのような多層の柔軟な保護は、クラウド環境のセキュリティ要件により適しています。 Amazon Web Services は、クラウド内のセキュリティ構築をさまざまなカテゴリに分割し、タマネギのように階層化された保護を提供します。ユーザーは、オニオン モデルに基づいてクラウド内にセキュリティを迅速に構築できます。

上記のコンセプトに基づき、Amazon Web Services は現在、ユーザーがデータを完全に所有し、制御するという前提で、一連のセキュリティ保護をユーザーに提供し、280 を超えるセキュリティおよびコンプライアンスのサービスと機能をユーザーに提供できるようになりました。

「オニオンモデル」による多層防御、5つの主要分野でセキュリティサービスを提供

「オニオン モデル」は、脅威の検出とインシデント対応、ID 認証とアクセス制御、ネットワークとインフラストラクチャのセキュリティ、データ保護とプライバシー、リスク管理とコンプライアンスという 5 つの主要領域を網羅する、Amazon Web Services の多層セキュリティ保護の体系的な概要です。

1. 脅威の検出とインシデント対応

セキュリティ リスクの最も重要な特徴の 1 つは、攻撃元が不明であることです。セキュリティ保護を成功させるには、攻撃について正しく予測できる必要があります。 COVID-19パンデミック以降、リモートワークや個人所有デバイスの持ち込みなどのシナリオが大幅に増加したため、フィッシングや個人情報の盗難などのセキュリティリスクも増加しました。さまざまな不確実性がクラウド セキュリティの「不確実性」をさらに悪化させています。この場合、企業には「プロの気象予報士」のような予測ツールが必要になります。これは通常、会社の業務とは関係のない分野であるため、会社自体がプロの気象予報士になる必要はありません。 Amazon Web Services が提供する脅威検出とインシデント対応は、企業にとってのリスクを自動的に特定して位置を特定し、迅速に対応する「プロの天気予報士」のような存在です。

主要なサービスの一つは、脅威に対する正確な位置特定と迅速な対応を可能にする Amazon GuardDuty です。 Amazon GuardDuty はワンクリックで有効にできます。 Amazon 電子商取引プラットフォームから収集された直接的なインテリジェンス ソースを組み込み、業界トップの CrowdStrike および Proofpoint インテリジェンス ソースを統合し、世界をリードする一連のセキュリティ企業と協力し、インテリジェンス ソースを充実させ続けています。さらに、Amazon GuardDuty には機械学習機能が組み込まれており、早期警告の精度が向上し、疑わしいアラートの数を 50% 削減します。 Amazon GuardDuty は、「イベント駆動型の自動ガードレール」として機能し、セキュリティリスクイベントに迅速に対応することもできます。

もう 1 つの重要なサービスは Amazon Security Hub です。これは、セキュリティコンプライアンスのリスクと脅威を 24 時間 365 日監視し、脅威にタイムリーに対応し、コンプライアンスチェックを自動化し、技術的なギャップを迅速に特定し、修復ソリューションを提供します。

Amazon GuardDuty と Amazon Security Hub は、ユーザーに包括的なセキュリティ防御ラインを提供するだけでなく、完全な自動化を通じてセキュリティ作業の効率を大幅に最適化します。例えば、オンラインゲーム会社であるFenglinhuoshanは、以前は人員不足により、膨大なログデータの分析と継続的なコンプライアンスに悩まされていました。現在、これらのタスクはすべて Amazon GuardDuty と Amazon Security Hub に引き継がれており、持続可能なセキュリティ保護が提供されるだけでなく、企業の人的資源も解放されます。

2. アイデンティティ認証とアクセス制御

クラウド環境のセキュリティ システムでは、ID 認証は堅固な城壁の門のようなものです。実際の使用シナリオでは、弱いパスワード、個人用デバイスの使用、個人用メールなどにより、ある段階で ID 認証が侵害され、他のセキュリティ対策が無効になるリスクが生じます。

Amazon Web Services の見解では、ID 認証とアクセス制御のセキュリティは「30% が技術、70% が管理」です。管理の面では、Amazon Web Services は、ユーザーが 2 つの原則に注意することを推奨しています。1 つ目は、各承認がビジネス責任に関連し、必要であることを保証する、最小承認の原則です。お客様は、時間、場所、役割、サービスなど、アクセス条件を可能な限り細かく設定できます。 2 つ目は、最低限の承認の原則について定期的な監査を実施し、ビジネスの動向に基づいて承認の適時性を調整することです。関連するセキュリティ サービスとしては、Amazon Identity and Access Management (Amazon IAM) が ID 認証とアクセス制御のコア サービスです。きめ細かな ID 認証とアクセス制御のメカニズムを、セキュリティ イベントの継続的な監視と正確なセキュリティ権限設定と組み合わせて使用​​することで、適切なリソースに適切なユーザーがアクセスできるようにします。もう 1 つのサービスは Amazon Organizations です。これにより、ユーザーはサービス制御ポリシー (SCP) を使用して、組織のアカウント内のすべての IAM ユーザーとロールが準拠する必要があるアクセス許可保護メカニズムとデータ境界を確立できます。たとえば、すべての会社のアカウントを異なるグループに分割し、それらに異なるアクセス制御ポリシーを発行できます。自動車デジタルサービス企業である WirelessCar は、Amazon Organizations の支援により、アカウントの運用と管理にかかる時間を効果的に短縮し、人件費を節約し、IT の運用と保守の効率を向上させ、チームがビジネス開発とイノベーションに集中できるようにしました。

3. ネットワークとインフラストラクチャのセキュリティ

Amazon Web Services が観測した攻撃データを見ると、近年 DDoS 攻撃が急激に増加していることがわかります。そのため、ネットワークエッジ、つまり CDN 側でのセキュリティ保護はますます厳格かつ重要になっています。さらに、DDoS 防御は 24 時間体制で維持する必要があり、緊急治療室への訪問のように扱うことはできません。そうしないと、時折発生する攻撃によってビジネスに大きな損失が生じる可能性があります。

したがって、Amazon Web Services は、ホスト、ネットワーク、およびアプリケーション レベルの境界できめ細かい保護を顧客に提供します。 Amazon Shield Advanced は、Amazon Web Services が提供するネットワーク エッジ保護サービスです。ユーザーは、ネットワークに接続されたすべてのリソースを Amazon Shield Advanced にロードして、24 時間 365 日の保護を実現できます。

もう一つの重要な製品は、多くのお客様に標準として使用されている Amazon WAF です。 Amazon WAF の特徴は、Amazon Web Services のセキュリティ専門家チームによって開発された完全に管理されたルールや、ユーザーがニーズに応じてカスタマイズできるルールを含む、豊富なルールライブラリを提供していることです。ユーザーは、Amazon Web Services の APN パートナーネットワークのメンバーである、多くの国際的な一流セキュリティベンダーのマネージドルールを Amazon WAF にロードすることもできます。

4. データ保護とプライバシー

Amazon Web Services データ保護サービスは、暗号化、キー管理、脅威検出機能を提供し、顧客データを継続的に保護し、顧客アカウントとワークロードを監視および保護します。 Amazon Web Services は、データ保護を実装するためにさまざまなアプローチを使用します。

中でも、データの自動識別と分類は、コンプライアンスのニーズに基づいて、個人データを含む機密データを顧客が迅速に発見して見つけるのに役立ちます。 Amazon Macie は機械学習を使用して、顧客の機密データを自動的に検出、保護、分類します。個人を特定できる情報 (PII) や知的財産などの機密データを識別し、そのようなデータがどのようにアクセスまたは移動されるかを理解するためのダッシュボードとアラートを顧客に提供できます。

データ暗号化に関しては、Amazon Web Services は、サービス統合を通じてライフサイクル全体のデータ暗号化を実現するという原則に従います。アマゾン
Key Management Service (Amazon KMS) は、Amazon Web Services で最も一般的に使用されているデータ暗号化サービスです。このサービスは、Amazon Web Services の 140 を超えるサービスと緊密に統合されており、ユーザーが手動で行う操作を大幅に削減し、エラーの可能性を減らすのに役立ちます。

より高いデータ機密性要件を持つユーザーは、Amazon CloudHSM を使用してクラウド上で専用の暗号化マシンサービスを利用することもできます。世界有数のスマートデバイスメーカーOPPOはAmazonを利用している
CloudHSM を使用すると、業界のセキュリティ標準に基づいた暗号化ハードウェアを取得し、独自のデータ保護システムを構築できます。アマゾン
また、CloudHSM により、OPPO はビジネスの変化に応じて暗号化マシンのハードウェア容量をいつでも拡張できるようになり、Amazon Web Services のマネージド サービスを使用して時間のかかる管理タスクを自動化することもできます。

データコンピューティングプロセス中、ユーザーは Amazon Nitro Enclaves のクラウドベースの機密コンピューティングテクノロジーを使用して、機密データを処理するための厳密に分離された環境を作成できます。このテクノロジーにより、データのセキュリティが確保されるだけでなく、ユーザーは新しい革新的なアプリケーション シナリオを探索することもできます。例えば、データに一切触れることなく、Amazon Nitro Enclaves が作成した、外界から完全に隔離されたデータ「秘密の部屋」で重要なデータを保有するいくつかの機関と共同で計算や分析を行うことができます。

5. リスク管理とコンプライアンス

Amazon Web Services は、お客様がコンプライアンスの状況を包括的に把握できるように支援し、自動化されたコンプライアンス チェックを使用して環境を継続的に監視します。たとえば、Amazon Artifact セルフサービス ポータルを使用すると、顧客はオンデマンドで Amazon Web Services のコンプライアンス レポートにアクセスして取得できます。ユーザーがコンプライアンス監査と評価に多額のコストをかけないように、Amazon Web Services では、自動的にスキャンして証拠を収集できる Amazon Audit Manager を提供しています。また、コンプライアンス監査の証拠収集作業を簡素化し、効率的な自動化されたコンプライアンス監査と評価を実現するためのさまざまなコンプライアンス認証テンプレートも提供します。

現在、Amazon Web Services は、ユーザーのクラウド セキュリティ構築をさらに向上させるために、中国に先進的なセキュリティ サービスを継続的に導入しています (Western Cloud Data は寧夏地域で、Sinnet は北京地域で運営されています)。 Amazon Web Services のクラウドネイティブ セキュリティとクラウド内セキュリティ サービスを利用することで、ユーザーはクラウド上でビジネスを遂行しながら自動化されたスケーラブルなセキュリティ保護を実現でき、セキュリティが企業のイノベーションの推進力となります。