こんにちは。

ようやくアルバイトにも慣れてきました、kenshiroです。
今回は、クラウドを利用する際の情報セキュリティ対策についての記事を投稿します。

クラウドって本当に便利ですよね。クラウドサービスを駆使すれば、システム運用・保守・管理などに関する負担が大きく軽減されます。使えば使うほど、その魅力にとりつかれてしまいますね。

しかし、気軽に利用できるからといって、セキュリティ面などを考えずに安易に利用しては痛い目を見ます。

そこで、主要クラウドサービスのAWS(Amazon Web Services)において、AWS側がどんな情報セキュリティ対策をしているか、また利用者側がどのようなセキュリティ対策をすべきかを投稿していきたいと思います。

【クラウドを利用する上でなぜ情報セキュリティが強く必要とされるか】

JIS Q 27002（実践のための規範）序文 0.2.2 によれば，情報セキュリティマネジメントには，組織内のすべての従業員の参加が最低条件として要求されますが，外部組織の参加は必ずしも要求されません。
外部組織が提供するクラウドサービスを利用するということは、システムやネットワークといった情報資産を自組織の外部に置くことを意味します。

クラウド利用者が、外部組織であるクラウド事業者からこれらの情報資産を利用できるサービスの提供を受け、これを利用して組織事業を展開していくとすると、外部組織に依拠せずに情報セキュリティのマネジメントをすることはできません。

これがクラウド利用のための情報セキュリティが求められる理由です。

【クラウドサービス事業者が行うべき主要な情報セキュリティ対策】

今回、情報セキュリティ対策の項目について以下のリンクを参考にしました。

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/admin/15.html

抜粋すると、

①データセンターの物理的な情報セキュリティ対策（災害対策や侵入対策など）
②データのバックアップ
③ハードウェア機器の障害対策
④仮想サーバなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性（ぜいじゃくせい）の判定と対策
⑤不正アクセスの防止
⑥アクセスログの管理
⑦通信の暗号化の有無

この7つの項目について、それぞれまとめていきたいと思います。

①データセンターの物理的な情報セキュリティ対策の対策(災害対策や侵入対策)

・各DCは物理的に隔離、洪水面を考慮、地盤が安定している場所の選定
・無停止電源(UPS)、バックアップ電源、異なる電源供給元の確保
・冗長化されたTier-1ネットワークの接続
・厳格に管理された物理的なアクセス
→多要素認証、必要に応じて定められたアクセスを都度付与
・入室を許可されているスタッフは二要素検証を最低二回パスしないとデータセンターのフロアに到達できない
・物理アクセス可能な従業員は論理権限にアクセス不可

②データのバックアップ

・主要ストレージサービスのAmazonS3とAmazonGlacierでは、記録したデータが自動的に複数データセンター間でレプリケートされる

・AmazonS3とAmazonGlacierの設計上の耐久性は99.999999999%(イレブンナイン)となっている。

③ハードウェア機器の障害対策

これについては、オンプレミス同様クラウドもデータセンターの中に物理サーバが存在しているという部分は変わらないため、ハードウェア障害は発生してしまいます。そのため、以下のような対策をとるとよいでしょう。

・インスタンスを複数立てた冗長構成にする

→AWSなら簡単にMulti-AZ構成にすることができます。

・EBSやEC2に関しては、様々な方法でバックアップを取得する

→イレブンナインをうたっているS3などに保存すれば、十分な障害対策となり得るでしょう。

もしハードウェアが物理的に故障した場合は、AWS側で消磁及び破壊を実施して破棄しているようです。

④仮想サーバなどのホスト側のOS、ソフトウェア、アプリケーションにおける脆弱性（ぜいじゃくせい）の判定と対策

調べてみたところ、ホストOSへのパッチ適用ポリシーなどに関してはお知らせできないが、インスタンス以外(ゲストOS)の部分に関してはAWS側でプログラムアップデート等を行っている、と考えて問題ないそうです。

参考URL:https://forums.aws.amazon.com/thread.jspa?threadID=75817

⑤不正アクセスの防止

・分散サービス妨害(DDoS)攻撃
→長年の経験による独自のDDoS緩和技術
・介入者(MITM)攻撃
→SSLで保護されたエンドポイント EC2のホストキーは起動時に生成
・IPスプーフィング
→EC2のインスタンスは、送信元を偽造したデータをネットワークに送信できない。Amazonが制御する、ホストベースファイアーウォールがソースIPとMacアドレスの整合性をチェックしている
・ポートスキャニング
→そもそもAWS使用ポリシー違反。許可のないスキャニングは検出、停止、ブロック　入力ポートはデフォルトで閉じられている
・EC2インスタンスのインターフェースをプロミスキャスモードにしても、自分宛てではない通信を受け取ることは不可能

⑥アクセスログの管理

・管理レベルにアクセスする必要のある担当者はMFAを使用し専用の管理ホストにアクセスが必須。このアクセスは全て記録され、監査される

・管理レベルにアクセスする必要のある作業を担当者が完了すると、これらのホストと関連するシステムへの特権とアクセス権は取り消される

⑦通信の暗号化の有無

・API エンドポイントとも呼ばれる顧客アクセスポイントでは、AWS サービスとのセキュアな通信セッションを確立できるよう、SSL を使用したセキュアな HTTP アクセス（HTTPS）が使用可能

また、よりネットワークセキュリティを高める方法としてAmazon VPCを利用すべきでしょう。

まとめ

今回この記事を書くにあたって、普段あまり意識していなかったAWSの情報セキュリティ対策をかなり調べました。

セキュリティはAWSにおける最優先事項ということで、情報セキュリティにはかなり力を入れているようですね。

第三者認証も
・SSAE 16/ISAE 3402基準、SOC1レポート(旧SAS70)
・SOC2レポート、SOC3レポート
・ISO 27001 Certification etc...

と、これ以外にもかなりの種類を取得しています。

今までなんとなく、「AWSならセキュリティは大丈夫だろう」のような考え方で今まで利用していましたが、その考えはよりはっきりとしたものに変わりました。AWSの情報セキュリティへの取り組みを知っておけば、ますます安心して利用できますね。