Amazon Web Services ブログ

NISC「クラウドを利用したシステム運用に関するガイダンス」発行によせて

内閣サイバーセキュリティセンター(NISC )は、2021年11月30日に「クラウドを利用したシステム運用に関するガイダンス」(以下、本ガイダンス)を公表いたしました。

本ガイダンスは“クラウド利用者向けの基本的なガイダンス”として、責任共有モデルの考え方に基づく留意点を解説しています。私たちも本ガイダンスの策定に協力しており、こうした活動を通じて、お客様がクラウドサービスをより安全にご利用いただけるよう貢献しております。

本Blog では、本ガイダンスを通じて、よりAWS を理解するために基本となる考え方や情報をまとめております。本Blog をご覧いただいたお客様が、ステークホルダーとサービスや運用を見直すようなレビューをする機会をつくる、といった形でご活用いただけるような材料をまとめております。

今回は、本ガイダンスの理解の上で特に理解の土台となる、“利用者”、“様々なクラウドサービス”、そして“クラウドサービス活用のインシデント対応に備えて”をとりあげております。

1.“利用者”とは誰だろう

本ガイドラインの主な読み手はクラウドの”利用者”となります。

AWS であれば、“AWS のお客様”が“利用者”、そしてお客様がAWS を利用してサービスを設計し、提供する相手が本ガイダンスでいう”顧客”となります。また、本ガイダンスではステークホルダーの例として”構築者”や”設置者”という例を紹介しています。

クラウドに限らず、一般的にサービスを受ける場合や商品を購入する場合、利用者は適切にそのサービスを利用する責任があります。あらかじめ定められたサービス利用上の約束を守ることができなければ、安全な利用自体が損なわれる恐れがあります。そのため、利用者が自らの責任を自覚することは、エンドユーザーへの安全なサービス提供の第一歩となります。つまり、クラウドに限った話ではありませんが、“自らがどのような責任を持つのか”ということを当事者が理解していなければ、サービスの適正な利用は難しいものとなります。

しかし、必ずしも“利用者”がIT技術を熟知し、開発や設計を行っているわけではない、という現状があります。本ガイダンスでは、“利用者が様々な情報技術を活用する場面において、自組織のみで対応が完結することは少なく、システムの構築や運用の全体や一部を外部に委託している”という現状を紐解き、利用者の中に含まれる“情報システム子会社やシステムインテグレータをはじめとしたステークホルダー(利害関係者)を把握することの大切さを問うています。
つまり、一口に“利用者”といっても、“利用者”の中には、サービスの設計や運用の委託を受ける事業者、システム子会社、もしくは社内の他部門がいるパターンもあれば、お客様自体が、開発や運用を自組織の中で行うケースもあります。(内製化とも呼ばれます)。
そこで本ガイダンスではシステム視点、もしくはデータ視点でのステークホルダーの例示を提示し、例えば”クラウドサービスを活用してシステムを構築する組織を構築者“として定義するなど、利用者の中にも様々な責任をもった役割があることを位置づけいます。つまり、本ガイダンスにおける”構築者”や”設置者”、”運用者”が当事者意識を持ち、それぞれの責任を果たすことがサービスを有効に活用する上では必須となります。

AWSでは様々な機会において、この考え方の土台となる“責任共有モデル”の理解促進につとめてきました。

AWS の一般的な責任分担モデル

AWS 責任共有モデル
責任共有モデルとは何か、を改めて考える(AWS Blog)

ぜひ、本ガイダンスをはじめの一歩として、こうした情報もご活用いただければ幸いです。

2.様々な“クラウドサービス”を理解しよう

上記の責任共有モデルという考え方を通じて、単に責任分界点を定めるだけではなく、サービス全体の運用責任を共有しあうという考え方が示されていますが、実際のクラウドサービスの利活用において、このモデルは多様化しています。本ガイダンスにおいても、IaaS やPaaS 、SaaS といった一般的にクラウドサービス事業者が管理する範囲を踏まえて分類する考え方も紹介されています。
利用者が理解する上で重要な点は、外から見れば同じ機能を提供しているウェブサイトであっても、実際の構成は、クラウドサービス事業者が提供している仮想化の基盤上に利用者がサーバを構築し運用するようなパターンもあれば、アプリケーションの基本的な運用(バックアップや可用性設計、パッチ宛等)をクラウド事業者がサービスとして提供しており、利用者はアプリケーションの改善に集中している、といったパターンもあります。単純に一つの分類でサービスが構築されるものではなく、利用者の設計によって様々な組み合わせがあるのだということを理解しておくことはよりニーズに合ったサービスを提供する上で重要なポイントとなります。

AWS では、お客様のニーズに合わせて多様なサービスを提供しています。Amazon EC2 を利用すればお客様はOS の選択からその上のサービス構築、運用を自ら設計、運用することができますし、マネージドサービスやサーバレスアーキテクチャを採用すると、よりITインフラストラクチャの運用から解放されて、アプリケーションやデータの管理に集中することができます。つまり、画一的に類型に当てはめることものではなく、AWS を”どのように利用するか”という利用者(実際には利用者が起用している”構築者”)の設計によって責任共有モデルの選択が変わってくる、ということになります。
さらには、多くのウェブサービスは単純に一つのモデルを利用するわけではありません。例えばデータベースはより運用負荷を軽減するためにAWS が管理をしてくれるマネージドサービスを積極的に利用し、ウェブアプリケーションサーバは、Amazon EC2 により利用者自らが管理し運用、さらには認証認可はAWS 以外のSaaS サービスを連携させる、といったように複数のモデルが組み合わされてエンドユーザーにサービスが提供されることが一般的です。

こうしたモデルの多様化は、お客様の様々なニーズに応えるために発展、成長してきたものでありますが、一方、選択肢が多い場合、”ではどのように選べばいいのか”と混乱してしまうケースがあります。本ガイダンスでは”クラウドサービスの選定に当たっては、組織の活用目的に最も合致したサービスを、利用者が主体となって選定”することをポイントとしてあげています。

そこで、参考となる考え方のステップとして、各府省情報化統括責任者(CIO)連絡会議決定「 政府情報システムにおけるクラウド サービスの利用に係る基本方針 」では、効率性やセキュリティ水準の向上等のクラウド利用上のメリットを示したうえで、”クラウド・バイ・デフォルト原則に基づく利用検討プロセス”という形で、SaaS から検討をはじめ、IaaS/PaaS 、それでも要件を満たせない場合にはオンプレミスといったように、より利用者としてクラウド利用の恩恵を受けつつ、サービスに求められるニーズ(規制要件への準拠など)を踏まえた選択をするためのステップを示しています。

AWSでは、ISMAP やISO/IEC27001などのコンプライアンスプログラムへの取り組みを通じて、AWSサービスのセキュリティをお客様が評価することを支援しています。また、「AWS のサービスのプライバシー機能」ページでは、AWS の様々なサービスに対し、利用者がどのようなセキュリティ機能を実装することが可能かを確認いただけます。

3.クラウドサービス活用の“インシデント”に備えよう

本ガイダンスでは、代表的なインシデントとして、「システムやサービスの脆弱性を狙った攻撃」、「サイバー攻撃による被害」、「装置故障などによるシステム障害」、そして「設定の不備」をあげており、こうした通常のオペレーションと異なる事象を”「想定内のインシデント」にするように事前の対応”の必要性をうたっています。

一般的に、事業継続計画(BCP )の考え方では、想定される災害などのリスクに対し、その発生頻度や事業への影響を踏まえ、必要な業務設計や、代替手段や回復手段の組み込み、その継続的な見直しのPDCAサイクルを運用することを組織に求めています。また、本ガイダンスでもうたわれている通り、必要に応じたコミュニティとの連携などを踏まえた情報共有もインシデントに備えるための重要なポイントとなります。

AWS においては、サービスは“Secure by Default ”に設定されており、AWS のサービスは利用者が権限を与えない限りは他のサービスとの連携や外部への公開ができません。一方で利用者が様々なユースケースで利用する中で、様々な設定の変更が行われることや、設計上に単一障害点が生まれることで、ビジネスに大きな影響を与えるインシデントをまねく恐れがあります。さらにはAWS には様々なセキュリティサービスや機能があり、アップデートされています。こうした機能を利用者がタイムリーに取り入れ、利用者のサービスをより安全に保つことを推奨しています。

さらに適切な設計や必要な情報のキャッチアップは、お客様がサービスを運用する上で不可欠なものとなります。AWS ではWell Architected Frameworkを通じ、ベストプラクティスへの準拠を評価する枠組みを提供しており、これはAWSマネジメントコンソール上のWell-Architected Toolによる自己評価や、APNパートナー様等によるWell-Architected Partner プログラムにより、よりお客様がビジネスニーズやサービスへの期待値に基づくリスク評価を行える支援をしております。

適切な連携という観点では、AWSはお客様のニーズに合わせたサポートプランを用意しており、お客様との連携を行っております。
サービス自体をよりリアルタイムに監視し、早期発見や自動的な対応を実現する、という点はクラウドの価値を活かすことができるポイントであり、AWS Security HubAWS Trusted Advisor等の活用により、従来のオンプレミス環境と比較して、お客様環境上でどのような変化がおきているかを把握し、また自動的な修正対応を組み込むことが容易です。

さらにはそうしたインシデントを実際の環境上でシミュレーションするAWS Fault Injection Simulatorのようなサービスも、お客様がよりインシデントを想定内のものとするために活用いただけます。

終わりに

初回となる今回は、ガイダンスの発行にともない、特に理解の土台となる“利用者”、“様々なクラウドサービス”、そして“クラウドサービス活用インシデント対応”をとりあげてみました。こうしたガイダンスやAWS からの情報提供を通じて、より安全なサービスな実現に寄与することが出来れば幸いです。

このブログの著者
松本 照吾(Matsumoto, Shogo)
セキュリティ アシュアランス本部 本部長