AWSのログソリューション「AWS CloudTrail」を有効活用するには

EnterpriseZine / 2014年7月24日 17時0分

 クラウドサービスを使う上でセキュリティやコンプライアンスをどう保全していくか。クラウド導入が本格化したいま、重要かつ切実な課題だ。なかでもログ管理はその中心にある。AWS(Amazon Web Service)にはWeb APIのログを記録するAWS CloudTrailというサービスがあり、7月1日から東京リージョンでも利用可能となった。これを有効活用するコツとは?7月17日から開催されたAWS Summit Tokyoで行われた「Security Deep Dive」のもようをお届けする。

 7月17日から開催されたAWS Summit Tokyoでは「Security Deep Dive」と題して、AWSからセキュリティについて解説するセッションがあった。講師はアマゾン データ サービス ジャパン株式会社梅谷晃宏氏と高田智己氏。

 セッション冒頭はAWSのセキュリティで重要な概念「責任共有モデル」について。セキュリティはAWSと利用者の双方で確保するという考え方だ。AWSは設備、インフラ(物理、仮想、ネットワーク)などに責任を持ち、利用者はOS、OSファイアウォール、アプリケーション、セキュリティグループ、ネットワーク設定、アカウント管理などに責任を持つという形で分担する。AWSを使うならユーザーは責任共有モデルを理解し、AWSで提供されるサービスをうまく活用し、必要なところに注力するといいだろう。

 セキュリティは高度な知識を必要とする分野ではあるものの、AWSには資料が多く提供されている。AWSセキュリティセンターやAWSコンプライアンスは必ず目を通しておこう。セキュリティセンターのセキュリティリソースとして公開されている資料には「セキュリティ監査チェックリスト(PDF)」がある。英文ではあるものの、参考になるだろう。

 セキュリティやコンプライアンスを確保していくなかで、特に重要なのがログである。技術的な詳細をつめる前に、まずはログについての要件をいろいろと定義する必要がある。組織固有のポリシー、コンプライアンス要件、業務上の処理手順などを整理していく。次にAWS資産を見渡し、どのサービスにどの要件を適用するか、優先度なども踏まえつつ整理していくといった流れとなる。

 参考として挙げられたのがPCI DSS(Payment Card Industry Data Security Standard)。もとはカード業界のためのグローバルセキュリティ基準ではあるものの、参考にできる部分が多い。PCI DSSでは情報セキュリティに関して12の要件を定めており、そのうち「要件10」はログ監視についてだ。監視対象は7つの項目で構成され、どうするべきか詳細が具体的に記されている。例えばシステム・コンポーネントに対するすべてのアクセス手段を確立することや監査証跡は改変できないように保護することなどだ。

  • 前のページ
    • 1
    • 2
  • 次のページ
EnterpriseZine

トピックスRSS

ランキング