CISO インサイト: AWSサービスは全てセキュリティサービスである

こんにちは、AWSエンタープライズストラテジストのジョン・クラークです。いつも顧客の意思決定者と会話をしていますが、その中で頻出のトピックがデータセキュリティです。前職ではAWSのユーザー企業で経営を担っていた私にとっても、データセキュリティは間違いなく最優先事項でした。データドリブンな意思決定を行うためには、何をさておいても状況を正しく判断するための正確な情報を得ることが不可欠ですが、それを可能にしてくれたのがまさにAWSのテクノロジーでした。

今回は、私のチームメイトであるClarke Rogersが書いた記事をご紹介します。クラウドジャーニーにおけるビジネスインサイトをお楽しみください。

CISO Insight: Every AWS Service Is a Security Service

Amazon Web Services (AWS)のユーザーは、利用状況に応じて時には多くのサービスのなかから補完し合い、時には統合を検討することでクラウドジャーニーをより豊かなものにすることが可能です。イノベーションを継続し続け、新しいサービスと機能を発表しているクラウドプロバイダーのAWSは、ユーザーの皆様に組織の課題を解決する手段として有用だと感じて頂いています。今ご覧のCISOの皆様（もしく関連部署の皆様））は、セキュリティや認証、コンプライアンスといったカテゴリー以外のAWSサービスでも、一度お確かめいただくことをお勧めします。

私がCISOのお客様とお会いした時も直ぐにAWSのセキュリティサービスが話題に上り、「いくつサービスがあるのか？」「AWSのセキュリティサービスはセキュリティやリスク、コンプライアンス要件を満たすためにどう役立つのか？」「今あるセキュリティのポートフォリオにどうAWSサービスを組み込めばいいのか？」などと質問を頂きます。このような会話の中で私がCISOのお客様に伝えるのは、ファイヤーウォールが適応されているか確認するような“チェックボックス”形式で考えるのではなく、より経営的な視点でセキュリティがビジネス全体にもたらす影響考えるべきであるということです。私が提案するのは、柔軟に想定すればほとんどのAWSサービス（Amazon Lumberyardは違う可能性もありますが）が、）セキュリティやリスク、コンプライアンスの課題解決に利用可能だということです。

ブログ執筆時、AWSが提供するサービス数は200を越え、そのうちセキュリティ、認証、コンプライアンスに分類されるサービスは25あります。更にクラウドのワークロード保護に欠かせないサービスに絞ると、AWS Identity & Access Management (IAM), AWS Security Hub, Amazon GuardDuty, and Amazon Inspectorなどが挙げられます。

では、CISOの皆様が25個のAWSサービスを利用すれば、十分に組織のセキュリティを担保できたといえるのでしょうか？もちろんそれでは不十分で、私はAWSの200以上あるサービス全てが、状況に応じてサービス群を組み合わせることで、セキュリティやリスク、コンプライアンス基準を満たすこと、ひいてはセキュリティがビジネス全体にもたらす成果に繋がると考えています。

ここからは、セキュリティには分類されないAWSサービスでありながらも、セキュリティがビジネス全体にもたらす成果に繋がるものをご案内します。

Amazon workspaces – デスクトップ仮想化サービス。CISOの皆様にも、フルマネージドな仮想デスクトップ環境が数分でグローバルに構築可能な点をご好評頂いています。データは転送時も保存時も暗号化され、改ざん防止機能（例えばUSBデバイスの利用不可や、ワークスペース内外でのコピー＆ペースト不可など）による企業データの保護はもちろん、Amazon workspacesでは認証（MFAなど）や、検出（Cloudwatch、Cloudtrailなど）、暗号化（KMSなど）などその他のセキュリティサービスや機能とのnative integrationをサポートしています。HIPAAやPCI、SOC 1/2/3といったコンプライアンス要件やセキュリティ基準に準拠するため、Amazon Workspacesを活用するお客様もおられます。

AWS Systems Manager インフラの可視化と制御。セキュリティの基本的なベストプラクティスは、AWS Systems Managerを適切に利用することでかなりカバーできます。パッチ処理やインベントリ管理、構成管理、コンプライアンス管理などの利用用途に関わらず、AWS Systems ManageはCISOの皆様がセキュリティ基準やコンプライアンス要件、規制項目を準拠するのに非常に役立ちます。

AWS Lambda – サーバーレスコンピューティング。サーバーのセキュリティレベルを最も高くするにはどうすればいいでしょうか？サーバーをなくせばいいのです。もちろん、サーバーがなくなれば、その分仕事も恩恵もなくなるので検討は難しいでしょう。しかし、堅牢な環境で必要なだけコードが実行され、その後は勝手に停止されるようなサービスがあったとしたらどうでしょうか。サーバーが立ち上がっていない状態では敵も攻撃しようがないですし、起動したとしてもその後すぐまたサーバーは立ち消えるのです。更には、“脅威”を検知した際に警告や修正を行うワークフローの自動化にAWS Lambdaを活用したＣＩＳＯの皆様もおられました。

ＡＷＳ導入済み企業であるGoldman Sachsの事例を見てみましょう。権限の最小化や、管理権限の just-in-time付与、証跡管理強化に取り組む中で、該当のAWSサービスを検討しても、これらを全て同時に実現できるサービスはありませんでした。しかし、サードパーティ製品を検討するのではなく、当時のセキュリティエンジニアは複数のセキュリティサービスとAmazon DynamoDB, AWS Lambda, Amazon Athenaといったセキュリティには分類されないサービスを組み合わせることで、自社の環境に必要なソリューションを自作しました。この実例は、単にGoldman Sachsに特異な課題の解決だけでなく、想像力を働かせて今あるツールを活用すれば何を実現できるのかという点でも非常に参考になるので、こちらのre:Invent 2020の講演資料を視聴するのをお勧めします。

現代の CISO の皆様は、セキュリティに特化した技術的な専門家ではなくビジネスに対するリスクを評価するアドバイザへとしての役割が求められており、組織の目標を実現するために必要なソリューションを構築する際、使いうる全てのツールとそのユースケースを理解することが不可欠になります。AWSのセキュリティには分類されないサービスにも、セキュリティや、リスク、コンプライアンスに関するユースケースが沢山あります。組織的にAWSのワークロードを導入することが会社全体にどのような影響をもたらすか、CISOの皆様が考えるきっかけとして、このようなユースケースをご活用いただければ幸いです。また、CISOの皆様には、インフラ・開発部門と連携してどんなAWSサービスを組み合わせれば、安全性やリスク、コンプライアンス要件といったセキュリティ基準を満たすか議論されるのをお勧めします。