投稿日: Dec 5, 2018
セキュアでコンプライアンスを遵守したマルチアカウント環境を構成し、管理できる、自動化された ランディングゾーンを構成する AWS Control Tower
AWS 環境全般にわたりセキュリティとコンプライアンスを中央で管理する AWS Security Hub
これまで数ヶ月かかっていた、セキュアなデータレイクの構築を数日に短縮する AWS Lake Formation
(シアトル発、2018 年 11 月 28 日発表)Amazon.com, Inc.(NASDAQ:AMZN)の関連会社である AmazonWeb Services, Inc.(AWS)は本日、AWS re:Invent にて、AWS 上にセキュアなシステムを迅速に構築できる自動化および規範となるガイダンスを提供する 3 つの新たなサービスを発表しました。AWS Control Tower は、マルチアカウント環境を容易に構築し、セキュリティ、オペレーション、コンプライアンスのルールに従い AWS ワークロードを継続的に管理できる自動ランディングゾーンを提供します。AWS Security Hub は、AWS 環境全般にわたりセキュリティとコンプライアンスを管理する中心的な役割を果たし、お客様は自社の AWSセキュリティおよびコンプライアンス状況を単一のダッシュボードで素早く確認することができます。AWS LakeFormation は、データの収集、整理、カタログ化を含む、通常必要な多くの複雑な手動作業を簡素化、自動化することで、セキュアなデータレイクを容易に構築できます。
様々な業種のあらゆる規模の組織がクラウドをデフォルトの選択肢として採用するようになったことで、クラウドは 2 種類の開発者の関心を引くようになってきました。最初のグループは、あらゆる種類の AWS サービスを使用し、様々なビルディングブロックを選び出し、それらを組み合わせることで、独自のアーキテクチャを構築したいと考えている開発者です。2 番目のグループは、AWS の幅広く洗練された機能の恩恵など、前者と同じような理由で AWS に関心を抱いていますが、いくつかのサービスの精度を犠牲にしてでも、大半がすでに開発済みで、すぐに使用できる、より優れた抽象化レイヤーからすぐにでも開始したいと考えている開発者です。AWS はすでに、ゼロから開発したいお客様向けにサービスを提供している一方、AWS Elastic Beanstalk、Amazon Lightsail、Amazon SageMaker といった、後者の開発者のニーズを満たすために設計されたサービスも徐々に追加しています。AWS Control Tower、AWS Security Hub、および AWS Lake Formation は、この後者のアプローチを様々なワークロードやシナリオに拡張し、プロビジョニングとガバナンス、セキュリティとコンプライアンスのモニタリング、データレイクの構築と管理といった、抽象化されたサービスをお客様に提供します。AWS のお客様は、これらのサービスを使用することで、複数のプロセスを自動化し、より迅速にシステムを構築、稼働できる一方、AWS 環境の重要なコンポーネントを集中管理し、一貫性を維持しながら、より詳細に確認できるようになります。
AWS のシニアバイスプレジデントのチャーリー・ベル(Charlie Bell)は「当社の提供する幅広い機能はお客様より高い評価をいただいていますが、同時に、容易にかつ迅速にアーキテクチャを開発できるような形で当社のサービスをパッケージ化してほしいという要望があります。当社のクラウドの主な恩恵は、物理インフラストラクチャの管理に必要な多くの複雑な作業を取り除くことにあります。今回の新しいサービスにより、この複雑性をより一層取り除くことができ、クラウドワークロードの展開と管理プロセスを簡素化し、スピードを早めることができます。結果として、お客様はより迅速にシステムを構築し、よりセキュアかつ着実に管理でき、イノベ ーションにさらに多くの時間をかけられるようになります」と述べています。
セキュアで法令を遵守したマルチアカウント環境を容易に構築し、管理できる AWS Control Tower(本日よりプレビュー版を提供開始)
AWS に移行する企業の中には、大量のアカウントや、分散したチームおよびアプリケーションを管理する必要があるケースがしばしば見られます。AWS のプロビジョニングおよび管理サービスは、そうした環境に対して精度の高い管理機能を提供しますが、多くの組織は規範となるガイダンスや、セキュアなマルチアカウント環境を構築するためのサポートも求めています。また、適切なツールを使用しているのかという点や、自社のチームがセキュアで法令を遵守する形でワークロードを展開するために、それらのツールを正しく使用してポリシーを作成し、強化できているのかという点に強い関心を抱いており、さらには、これらの全てを AWS のスピードやアジリティを犠牲にすることなく実現したいと考えています。AWS Control Tower はこれらの課題を解決するために、お客様の中心的なクラウドチームに、業界およびAWSのベストプラクティスに沿ってアカウントとワークロードをプロビジョニングできる単一の自動化されたランディングゾーンを提供します。この自動化されたランディングゾーンは、AWS Organizations を使用したマルチアカウント構造の設定や、AWS Single Sign-on または Microsoft Active Directory を使用したユーザー ID およびフェデレーションアクセスの管理、AWS Service Catalog を使用したアカウントファクトリーの設定、AWS CloudTrail と AWS Config を使用したログアーカイブの集約化など、ベストプラクティスの計画を活用します。AWS Control Tower は、セキュリティー、運用、コンプライアンス向けの事前にパッケージ化されたガバナンスルールを提供し、お客様はそのルールを全社またはアカウントグループに提供することで、ポリシーを強化したり、違反行為を検出することができます。これらの全ては、AWS Control Tower のダッシュボードから容易に管理、確認することができ、プロビジョニングされたアカウントや、実行された予防的および検知ガードレール、そのガードレールに関連するアカウントのコンプライアンス状況といった情報を集約的に把握することができます。AWS Control Tower に関しては、以下の URL を参照ください。
https://aws.amazon.com/controltower/
Change Healthcare の最高技術責任者(CTO)のアーロン・サイマンスキー(Aaron Symanski)氏は「医療技術プロバイダーである当社は、ワークロード全般の統制を着実に維持しながら、自社チームに反復作業を迅速に実行し、継続的に革新していくのに必要な柔軟性を提供していくという課題に常に直面していました。AWS Control Tower を使用することで、分散したチームがセルフサービス形で AWS を迅速に採用できる一方、集中管理型のチームは、法令に遵守しないアプリケーションが展開されるのを防ぐことができ、安心して業務に取り組むことができます。また、ポリシーが自動で強化されることから、多くの時間と労力を節約できるだけでなく、組織全体にわたってコンプライアンス基準を一貫して遵守していくことができます」と述べています。
セキュリティとコンプライアンスを集中して管理する AWS Security Hub(本日より一般向けに提供開始)
今日の企業は、AWS やサードパーティ製のセキュリティツールを幅広く使用しており、それにより継続的に生まれる結果を複数のコンソールやダッシュボードで確認しています。セキュリティや法令順守の状態全般を把握するには、これらのツールを手動で使い分けるか、資金を投入し、検知結果を集約し、分析する複雑なシステムを開発する必要がありました。結果として、多くのセキュリティチームは、無数のノイズの中から重要な兆候を発見し、最も問題となりうる結果を優先して、決定的に重要な意味を持つ情報を確実に把握することが困難になっていました。AWS Security Hub により、AWS のセキュリティおよび法令順守状況を一箇所から素早く確認できる他、Amazon GuardDuty による侵入検出結果、Amazon Inspector による脆弱性スキャン結果、Amazon Macie による機密データの把握、AWS パートナーネットワーク(APN)パートナーが提供する広範なセキュリティツールが生成する検索結果など、お客様の環境でセキュリティサービスが検知した結果を収集し、集約することができます。検知された結果は相互に関連付けられ、セキュリティや法令順守の現状や、重要なトレンド、多くの検知結果を生成している Amazon Elastic Compute Cloud(Amazon EC2)インスタンスを統合ダッシュボードで把握したり、そのサマリーを確認できます。また、注意が必要な特定のアカウントやリソースを特定する Center for Internet Security (CIS) AWS Foundations Benchmark といった、業界標準やベットプラクティスのサービスに基づいて、コンフィギュレーションおよびコンプライアンスチェックを自動化し、継続的に実行することができます。
AWS Security Hub は Amazon CloudWatch と AWS Lambda に統合されており、特定の種類の発見に対する修復アクションを自動化し、実行できます。また、チケット発行や、チャット、Security Information and Event Management(SIEM)システムといった、自社の自動ワークフローやサードパーティ製ツールを AWS Security Hubに統合し、問題が生じたときに迅速に措置を講じることもできます。Alert Logic、Armor、Barracuda、Check Point、Cloud Custodian、CrowdStrike、CyberArk、Demisto、F5、Fortinet、GuardiCore、IBM、McAfee、Palo Alto Networks、Qualys、Rapid7、Splunk、Sophos、Sumo Logic、Symantec、Tenable、Trend Micro、Turbot、Twistlock などの大手プロバイダーはすでに、AWS Security Hub を統合した製品を開発しており、今後、その他のプロバイダーからも対応製品が提供される予定です。AWS Security Hub に関しては、以下の URL を参照ください。 https://aws.amazon.com/security-hub/
セキュアなデータレイクを容易に構築できる AWS Lake Formation(近日プレビュー版を提供予定)
現在、サイロを取り除き、すべての自社データを集中管理して、分析や機械学習を適用できることから、多くのお客様がデータレイクについて語るようになってきました。Amazon Simple Storage Service(Amazon S3)は、セキュリティ、アクセス制御、運用性能、機能、管理制御の全てを提供し、AWS で利用可能なアナリティクスおよび機械学習サービスと同様に機能を提供できることから、データレイクを構築するのに適した環境となっています。しかし、データレイクを構築し、管理することは、複雑で時間のかかるプロセスで、様々なソースからデータをロードする必要がある他、バケットやパーティションの設定、データの整理と準備、広範なサービスにわたるセキュリティーポリシーの設定と強化、アクセス制御の詳細な設定などの作業が求められます。AWS Lake Formation はこれらの時間のかかる多くの作業を取り除き、数日でデータレイクを構築できます。AWS Lake Formation を使用すれば、取り込みたいデータソースを定義し、規定のデータアクセスおよびセキュリティポリシーリストの中から適用したいものを選ぶだけで済み、自社の分析アプリケーション全般にわたりポリシーを定義し、強化する必要がなくなります。その後は、AWS Lake Formation がデータを収集し、そのデータを新しい Amazon S3データレイクに移動させます。また、データをカタログ化し、整理するための技術メタデータを抽出し、容易に検索できるようにします。さらに、データのパーティショニングを自動で最適化することで、性能向上とコスト削減を図り、Apache Parquet や ORC のようなフォーマットにデータを変換することで、分析時間を短縮できる他、機械学習を使用して、合致した記録の重複排除を行い、データ品質を高めることもできます。
AWS Lake Formation を使用することで、お客様はデータレイク向けのセキュリティ、ガバナンスおよび監査ポリシーを一元的に定義、管理することができます。その後、定義したポリシーを着実に適用することで、セキュリティ、ストレージ、アナリティクス、機械学習サービス全般にわたり手動で定義、強化していく重複作業を減らすことができます。また、使用可能なデータ群とその最適なビジネス利用を記述した、一元化されカスタマイズ可能なカタログを提供することで、アナリストやデータサイエンティストは必要なデータ群を迅速に探し出すことができる他、ユーザーは Amazon EMR、Amazon Redshift、Amazon Athena、Amazon Sagemaker、Amazon QuickSight など、自社が使用しているアナリティクスおよび機械学習サービスと組み合わせてセルフサービス型の分析作業を実行できます。AWS Lake Formation に関しては、以下の URL を参照ください。
https://aws.amazon.com/lake-formation/
アマゾン ウェブ サービスについて
アマゾン ウェブ サービス(AWS)は 12 年の間に、世界で最も包括的かつ幅広く採用されたクラウドプラットフォームになっています。AWS は、米国、オーストラリア、ブラジル、カナダ、中国、フランス、ドイツ、インド、アイルランド、日本、韓国、シンガポールおよび英国の 19 の AWS リージョン、1 つのローカルリージョンと 57 のアベイラビリティーゾーン(AZ)で、コンピューティング、ストレージ、データベース、ネットワーキング、アナリティクス、マシンラーニング、人工知能(AI)、モノのインターネット(IoT)、モバイル、セキュリティ、ハイブリッド、仮想現実および拡張現実 (VR/AR)、メディア、アプリケーションディベロプメント、デプロイメントおよびマネージメントに関する 125 種類以上の十分な機能を有するサービスを提供しています。AWS のサービスは、アジリティを高めながら同時にコストを削減できるインフラエンジンとして、急速に成長しているスタートアップや大手企業、および有数の政府機関を含む数百万以上のアクティブなお客様から信頼を獲得しています。AWS の詳細については以下の URL をご参照ください。https://aws.amazon.com/
Amazon.com について
Amazon は 4 つの理念を指針としています。競合他社ではなくお客様を起点にすること、創造への情熱、優れた運営へのこだわり、そして長期的な発想です。カスタマーレビュー、1-Click 注文、パーソナライズされたおすすめ商品機能、Amazon プライム、フルフィルメント by Amazon(FBA)、アマゾン ウェブ サービス(AWS)、Kindle ダイレクト・パブリッシング、Kindle、Fire タブレット、Fire TV、Amazon Echo、Alexa などは、Amazon が先駆けて提供している商品やサービスです。
報道関係からのお問い合わせ先
アマゾン ウェブ サービス ジャパン株式会社広報担当 河村
Email: awsjp-pr@amazon.com