2019年03月07日07時00分

DevOpsからDevSecOpsに向かうアカウント認証基盤の取り組み

  • この記事をはてなブックマークに追加
  • Pocket

経営層に分かるようクラウドの利用状況を定量化

 PwCあらた有限責任監査法人の饒村吉晴氏は、「監査法人というと、ブレーキをかける役割のイメージが強いかもしれないが、実際には当局とも連携しながら実効性のある仕組みづくりを提案している」と言う。

SD
PwCあらた有限責任監査法人の饒村吉晴氏

 饒村氏によると、国内でもいくつかの枠組みが整備されつつある。たとえば米国では「FedRAMP」クラウドセキュリティ基準が定められていますが、日本国内でも、同様の認証プログラムの策定が検討されているそうだ。2018年4月には14年ぶりに「システム監査基準」「管理基準」が改定されたほか、金融庁の行政方針もあらためられ、重要なシステムにクラウドを利用する際の管理策について言及が加わっている。またNISCの政府情報セキュリティ統一基準も定められ、これに準拠した「AWS利用セキュリティリファレンス」も公開されている。

 こうした政府のセキュリティ施策のトレンドとして、「経営のリーダーシップとリスクベースアプローチ」「サプライチェーンセキュリティ」「事後対応の強化」「自動化とモニタリング」という4つの項目が挙げられるそう。経営層に関与してもらうには、「セキュリティの状況が経営者にも分かるように定量化し、かつ定期的に報告することが大事」と饒村氏は述べ、その指標の1つとして「PwC Cloud Evaluation Framework」を提供していると説明した。

 これは、欧州ENISAのクラウドセキュリティガイドラインをベースにPwCの知見を追加してまとめたフレームワークで、リスクとコントロールをマトリクス形式で対応付けられるようになっている。各項目に抜けがないかチェックしていくことで、たとえば「NISCのガイドラインに沿うならば○○点」といった具合にスコアリングも可能ということだ。有村拓朗氏は、さらに、「これまでは主に設計書やインタビューに基づいて評価していたものを、設定にまで踏み込んで確認し、深度の深い評価を行なう」とその特徴を説明している。

AM
PwCあらた有限責任監査法人 有村拓朗氏

いい感じにログを可視化してくれる「Sumo Logic」、機械学習技術にも期待

 クラスメソッドのブログでSecurity JAWSのレポートを書いている臼田佳祐氏。今回はプレゼンする側に回り、SaaSベースのログ分析基盤「Sumo Logic」について紹介した。

SD
クラスメソッド 臼田佳祐氏

 AWSで出力可能なログはいろいろありますが、中でも比率が高いのがCloudTrailだ。「CloudTrailが存在しなかった昔は、知らないEC2インスタンスが動いてるだけど、これなに?と聞かれてもどのアカウントで実行したか分からない恐ろしい状態だったが、CloudTrailを有効化してログを分析することで、IAMアカウントの不正利用のリスクなどを把握できるようになった」(臼田氏)。

 ただ、ログ分析作業がつらいという課題はある。「CloudTrailではJSONで多くの情報が出力される。こんなつらいログ分析は人がやってはいけないと思う」と臼田氏は指摘する。かといって、デフォルトで提供されるダッシュボードは情報量が少なく物足りない。……というわけで、Amazon AthenaやCloudWatch Logsといったツールの活用がログ分析のポイントになっており、過去のSecurity JAWSでも紹介されてきた。今回のセッションで紹介されたCloudWatch Logs Insightsも期待大だ。

 Sumo Logicもこうしたログ分析を支援するツールの1つだ。AWSはもちろんだが、それ以外にもApacheなどのソフトウェアやセキュリティ製品、さらには他のクラウドサービスのログも集約し、可視化できることが特徴。臼田氏は「データを入れてダッシュボードを選べばいい感じに可視化してくれる」と述べ、ログイン失敗履歴を確認したり、S3でバケットがパブリックに公開されたときにアラートを送るといった利用法をデモンストレーションした。

SD
いい感じに可視化してくれるSumo Logic

 Sumo Logicはさらに、機械学習技術を組み合わせて異常を検知したり、傾向に基づいて将来予測を行う機能も備えているという。「1月にようやく東京リージョンでサービスを開始しました。興味を持った方がいれば始め時です」と臼田氏はアピールする。

AWSのOffice of the CISOが果たす役割とは

 最後に、ちょうど来日していたAWSのOffice of the CISOのメンバーも登場した。

SD
AWS Office of the CISO ディレクター マーク・ライランド(Mark Ryland)氏

 ディレクターを務めるマーク・ライランド(Mark Ryland)氏によると、Office of the CISOにはいくつかの役割があると言う。1つはAWSのプラットフォーム自体をセキュアに運用していくこと。次に、その上でサービスを開発するデベロッパーがセキュアなライフサイクルで開発できるよう、脆弱性検査やペネトレーションテストを通じて支援していくこと。さらに、各種法規制に対するコンプライアンスを満たすアシュアランスも重要な役割の1つだという。

 これらは主に社内向けの仕事だが、並行して「AWS Control Tower」や「AWS Security Hub」といったセキュリティ機能を顧客に提供するのも大事な仕事だ。Office of the CISOとして、営業やマーケティングといった担当とは独立して、「顧客とダイレクトにコミュニケーションを取り、関係を築いていくことが大切だ」とライランド氏は述べた。

 改めてセキュリティは後付けではなく、はじめから埋め込んでいくべきものであることを強調。そんなセキュアな基盤を実現するには、顧客との対話を通してCxOレベルにおけるセキュリティに対する関与を深めていくことが重要だと述べ、ともにセキュリティを推進していこうと呼び掛けた。

■関連サイト

関連記事

あわせて読みたい

最新のニュース

アスキーストア人気ランキング

アクセスランキング

Like Ranking