AWSの概要や実現できることに加え、話題になっているゼロトラストセキュリティの導入方法を解説しています。ゼロトラストのメリットや構築するためのポイントを確認し、より高度なセキュリティシステムを構築するためにも、ぜひ参考にしてください。
アマゾンが提供するAWSの概要
アマゾンが提供しているクラウドサービスの総称を、「Amazon Web Services」といい、一般的にAWSという名称で浸透しています。
AWSには、サーバーやストレージのほか、データベースやソフトウェアなどSaaS、IaaS、PaaSのさまざまなクラウドサービスが揃っています。10年以上の稼働実績があり、日本のみならず、世界各国の企業で採用されているクラウドサービスです。業界におけるシェア1位であるなど、信頼できるサービスと言えます。
AWSで何が実現できるのか
AWSを利用すると、オンプレミス環境をクラウドに移行でき、またゼロトラストセキュリティの実現や作業管理者の負担軽減につながるなど、さまざまなメリットがあります。
クラウド移行
AWSによって、自社ですべての機材やインターネットシステムなどを管理しなくてはならないオンプレミス環境から、クラウド環境へ移行可能です。
AWSにはソフトウェアからシステム基盤まで豊富なサービスが用意されており、1ライセンスからサービスを利用できます。そのため、状況に応じてオンプレミスとクラウドを併用してシステムを構築することもできます。柔軟性が高いサービスであるため、中小企業から大企業まで、どのような企業でも最適なクラウド環境を構築できるでしょう。
ゼロトラストセキュリティ
ゼロトラストとはセキュリティシステムの概念で、社内外を問わずすべてのネットワークに脅威が潜んでいることを前提にしています。
ファイアーウォールに代表される今までのセキュリティシステムは、外部とのネットワーク境界におけるセキュリティに重点を置いたものでした。しかし、ゼロトラストセキュリティはたとえ内部のネットワークからのアクセスでも「信頼しない」ことを前提としているため、アクセスごとに許可が必要になります。
どのような通信やデバイスでも都度許可が必要になり、アクセス権限も細かく設定できるため、セキュリティをより強化できます。
しかもゼロトラストはVPNネットワークによるセキュリティ対策と比較した場合でもアクセスポイントが多く確保できるので、機器によるボトルネックを回避可能であり、通信の不安定さも解消されます。
クラウド化に伴い、外部からのアクセスが増えることが想定される場合、セキュリティの強化や安定的な通信は必須です。そのためにはゼロトラストセキュリティという、新しいセキュリティの概念を取り入れることは非常に重要だといえるでしょう。
AWSにゼロトラストセキュリティを取り入れることで、クラウドにおける生産性の向上だけでなく、セキュリティレベルの向上も実現できます。
システム管理者負担の低減
AWSにゼロトラストセキュリティを取り入れると、セキュリティを強化するだけでなく、社内外問わずすべての通信を監視してログを収集します。すると、サイバー攻撃などの脅威が発生した場合でも、素早い対応が可能になるため、ダメージを最小限に抑えられるほか、システム管理者の負担を軽減することにもつながります。
また、AWSを利用してオンプレミスからクラウドへ移行すると、基本的に自社でサーバーの管理や運用をしなくてすむため、管理者の負担を大幅に減らすことが可能です。空いた時間を企業のよりコアな業務に当てられるようになり、人的資源の有効活用にもつながるでしょう。
加えて、人材確保ができずにシステム構築を見合わせていた企業においても、限られた労働資源でサーバーの構築や強固なセキュリティが手に入ります。
AWSでゼロトラストを実現するシステム要素
AWSのゼロトラストは、「STRIDE」という脅威分析モデルの要素を取り入れて設計されています。STRIDEはMicrosoft社が提唱したもので、以下の6つの要素から構成されています。
- Spoofing(なりすまし)
ユーザーIDやパスワードなどをハッキングして不正入手し、社内ネットワークに侵入してくること。 - Tempering(データの改ざん)
機密情報である文書やデータを改ざんしたり、データ偽装したりすること。 - Repudiation(ソースの否認)
情報の変更や消去をしたり、オペレーションのログを改ざんしたりして、証拠の改ざんや隠滅をすること。 - Information Disclosure(情報漏洩)
不正アクセスやサイバー攻撃、社員からの内部流出など、企業の情報やデータが外部へ流出すること。 - Denial of Service(サービスの拒否)
大量のリクエストを送るDDoS攻撃など、サーバーやシステムに高負荷をかけ、システムダウンに追い込む妨害行為。 - Elevation of Privilege(特権の昇格)
アクセスを許可されていないユーザーが不正に権限を入手してアクセスし、操作を行うこと。
AWSでゼロトラストを構築する方法
STRIDEの要素を取り入れたゼロトラストをAWSで実現するには、ゼロトラストネットワークアクセス(ZTNA)と、新たな境界モデルであるSDPを導入する必要があります。
ゼロトラストネットワークアクセスの機能を利用する
ゼロトラストネットワークアクセス(Zero Trust Network Access)とは、ゼロトラストの考えを取り入れたセキュリティソリューションです。
すべてのユーザーやデバイスからのアクセスに対して毎回認証を求め、ファイルやデータへのアクセス制御を一元的に管理します。これによりセキュリティレベルが統一でき、またアクセス権限を限られたユーザーに付与して通信を制限することで、不正リスクの軽減が可能です。
ZTNAを導入すると、ユーザーは場所やデバイスに捕らわれず、どこでも自由に権限が付与されたファイルやデータにアクセスできます。セキュリティの向上だけでなく、ユーザーの利便性が上がることも大きなメリットです。
SDP機能を利用する
SDPとは、Software Defined Perimeterの略で、ファイアーウォールやIPSなどに代わる、セキュリティの新たな境界モデルです。すべてのユーザーやデバイスごとにアクセス状態をチェックして、コントローラーが中心となって制御や管理を行います。
制御と管理のコントローラーは分かれており、またひとつの通信が終わった時点で都度消滅するため、不正アクセスを減らしたり、ネットワーク内の異常に早く気付けたりするなどのメリットがあります。
厳しいアクセス制御と徹底した可視化により、セキュリティインシデントの予防だけでなく、発生時の被害も最小化します。
Azureセキュリティでまずは安全な土台を
AWSは堅固なセキュリティを提供していますが、より安全性を求めるなら、Azureとの併用がおすすめです。
AzureとはMicrosoft社が提供するクラウドサービスの総称で、AWSと並んで高いシェアを誇っています。WindowsやOfficeなど、ほかのMicrosoft社製品との連携もスムーズで、オンプレミスサーバーとの親和性が高いのが特徴です。
セキュリティ対策にも非常に力を入れており、システムの安全な土台作りのために多層構造や最新鋭のセキュリティ環境を備えています。全世界で3,500名以上いるサイバーセキュリティの専門家や高度な分析により、脅威の予防や早期発見が可能です。
最近では、複数のクラウドサービス、特にAWSとAzureを併用している企業も増えています。なぜなら、両者の強みを活かしたシステム構築やリスクの分散が可能になるからです。
まとめ
AWSでゼロトラストを導入すると、さまざまな脅威を予防し、被害を最小限に抑えることが可能です。また通信も安定するため、安全性だけでなく利便性も向上します。さらにAzureを併用すると、両者の強みを活かしたシステム構築や、より高い安全を確保できるため、導入を検討してみてはいかがでしょうか。
