Amazon Web Services ブログ

AWSセキュリティサービスで MovieLabs Common Security Architecture for Production (CSAP) に適応する方法

本ブログでは、MovieLabs の概要とセキュリティに焦点を当てたこれまでの出版物、MovieLabs のセキュリティアーキテクチャにおける基礎概念に関する AWS の見解、そして本シリーズの残りのブログのプレビューを提供します。

メディア & エンターテイメント業界は、破壊的なイノベーションと無縁ではありません。この業界で最も大きな変革の 1 つは、アナログ記録媒体からデジタルへの移行です。この変化により、ポストプロダクションを制作プロセスの早い段階で行うことができるデイリーズワークフローが実現し、番組や映画の制作にかかる時間が短縮されました。

今日、Amazon Web Services(AWS)は、メディアのお客様が新しいオリジナル・コンテンツに対する消費者や企業の需要に応えるために、クラウドでのコンテンツ制作を拡大できるよう支援しています。クラウドはメディア & エンターテインメント業界にとって次のディスラプターであり、業界団体もそれを認識しています。2019 年、Motion Picture Laboratories, Inc.( MovieLabs )は、エピソード、長編、メディア制作の将来について、クラウドがビジョン達成に重要な役割を果たすという大胆なビジョンを発表しました。

MovieLabs 2030 ビジョンは、10 の原則に基づき、すべてのワークフローがソフトウェアで定義され、クリエイティブなスタッフが中断することなくセキュリティを確保し、プロダクションワークフローの中で、アセットインジェスト用のシングルソースとして、クラウドが主要な宛先となる未来を描いています。MovieLabs 2030 のビジョンは、テクノロジーベンダーやクラウドサービスプロバイダーが、コンテンツ制作を加速させ、クリエイターが映画やテレビのために魅力的なコンテンツを制作することを可能にするよりクラウドネイティブなツールを生み出すためのロードマップを提供しています。

ロードマップの最初のステップとして、MovieLabs はセキュリティに焦点を当て、プロダクション・セキュリティの進化についてホワイトペーパーを発表し、2030 年のビジョンをサポートするセキュリティ・アーキテクチャの基礎を作りました。Common Security Architecture for Production (CSAP) では、クラウド上で制作ワークフローをセキュアに構築し、大規模に運用する方法を示す参照アーキテクチャを概説しています。CSAP は、アーキテクチャの説明、インターフェースの定義、セキュリティレベル、ソフトウェア定義のワークフローの整合性、実装の考慮事項、ポリシー記述言語など、6 つの部分からなるフレームワークで、CSAP  アーキテクチャを支える次の 3  つの基礎的なコンセプトがあります。

  1. ゼロトラストアーキテクチャ
  2. 内因的なセキュリテ vs 外因的なセキュリティ
  3. 認証 と認可

これらの基本概念は AWS にとって新しいものではなく、お客様が AWS のセキュリティサービスを使用して CSAP に適応する方法はたくさんあります。

AWS security, identity, and compliance solutions broken down into 6 categories for identity and access management, detective controls, infrastructure protection, data

ゼロ・トラスト・アーキテクチャ

ゼロトラストは、従来のネットワーク制御やネットワーク境界線に単独または基本的に依存しない、アセット周りのデジタルセキュリティ制御の提供に焦点を当てた概念モデルおよび関連メカニズム群です。歴史的に、従来のネットワーク内にエンティティが存在することで、システム内にある種の信頼がもたらされていました。ゼロトラストシステムでは、これらのネットワーク中心の信頼モデルは、アイデンティティ( ID )中心の制御によって強化されます。これらの制御は、エンティティの ID と、エンティティが実行を許可されていることを確認する ID およびアクセス管理システムを指します。 ゼロトラストアーキテクチャに適用されるこれら 2 種類の制御の組み合わせにより、より適切に構築され、より柔軟で、より安全なソフトウェアシステムが可能になります。

Zero Trust の概念モデルでは、ネットワークの位置への依存度は低くなっていますが、ネットワーク制御の役割は、システムの全体的なセキュリティ・アーキテクチャにとって重要であることに変わりはありません。最高のセキュリティは、ネットワーク中心の制御と ID 中心の制御の両方を効果的に組み合わせることで実現されるのです。詳細については、Zero Trust on AWSのドキュメントページをご覧ください。

内因的なセキュリテ vs 外因的なセキュリティ

内因的なセキュリティとは、アプリケーション、プラットフォーム、インフラストラクチャの各レイヤーにまたがる既存のインフラストラクチャと統合ポイントを保護するためのアプローチです。セキュリティ管理は、企業のネットワーク、ハードウェア、ソフトウェアのあらゆる側面に組み込まれ、後から追加するようなものではありません。組織全体のデータと行動は、サイロ化されることなく、全体的な状況で把握されます。その結果、どんなアプリケーションも、どんなデバイスも、どんな企業システムも、よりよく保護されるようになります。

AWS はお客様に本質的に安全なサービスを提供する。すべての AWS API コールはリクエストに署名を必要とし、署名を裏付けるすべてのプリンシパルはプリンシパルに付与された粒度の高いパーミッションでアクセスポリシーを持ち、すべてのプリンシパルは明示的にアクセスを許可されない限りサービスへのアクセスを暗黙的に拒否されます。次回のブログでは、AWS Identity and Access Management (IAM) によって、お客様が最小特権の原則に従ったきめ細かいアクセス制御を使用して、本質的に安全なシステムを設計する方法について説明します。

認証と認可

アイデンティティとアクセスを定義し、管理するセキュリティメカニズムは、クラウドを運用するあらゆる組織にとって重要です。認証されたプリンシパルのみが、意図された方法で、最小特権で、対象リソースへのアクセスを許可されることを保証するものです。AWS の内部では、プリンシパルは AWS にリクエストを送信するために認証される必要があります。認証されたリクエストに対して、AWS はリクエストコンテキストを調べ、リクエストを許可または拒否するために適用可能なすべてのポリシーを識別します。CSAP で概説されているように、認証と認可を別々の機能として扱うことで、より幅広いユースケースに対応できる十分な柔軟性を持たせることができます。認証されたプリンシパルがアクションを実行するために明示的に認可される必要があるため、認証と認可の間のこの線引きが AWS に存在します。

まとめ

シリーズの次のブログでは、エンティティを認証できる AWS 内のさまざまなサービスと、階層化されたポリシーを使用して最小特権の承認を実現する方法について説明します。 また、これらのサービスが CSAP のさまざまな ID コンポーネントとどのように連携するか、AWS に強力な ID 基盤があることで、お客様がクラウドで本番ワークフローを保護するのにどのように役立つかについても説明します。 その後のブログシリーズの中では、AWS サービスを使用して、CSAP に配置されたセキュリティコントロールを本番ワークフローに適用する方法に焦点を当てます。

MovieLabs スポットライト


MovieLabs は、ハリウッドの主要スタジオによって設立された非営利の研究開発合弁会社です。 その使命は、メディア & エンターテインメント業界の複雑な課題に対する革新的なソリューションを定義し、伝道することです。


参考リンク

AWS Media Services
AWS Media & Entertainment Blog (日本語)
AWS Media & Entertainment Blog (英語)

AWS のメディアチームの問い合わせ先: awsmedia@amazon.co.jp
※ 毎月のメルマガをはじめました。最新のニュースやイベント情報を発信していきます。購読希望は上記宛先にご連絡ください。

翻訳は  BD 山口、SA 斎藤が担当しました。原文はこちらをご覧ください。