中堅・中小企業がビジネスとセキュリティを両立するためのAWS活用術セキュリティ対策としてのAWS移行のススメ(1/2 ページ)

セキュリティ対策かビジネスのミッション達成か――。これまで中堅・中小企業が抱えていた課題を解決するためにAWSが有効なワケとは。

» 2023年10月27日 08時00分 公開
[濱田一成ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 本連載は「オンプレミス環境でセキュリティに課題がある」「セキュリティの不安からクラウド移行に踏み切れない」「クラウドに移行したいが経営層を説得できない」といった悩みを持つ中堅・中小企業に向けて、クラウド移行がもたらす「セキュリティメリット」を解説する企画だ。

 連載第2回では米国国立標準技術研究所(以下、NIST)の「サイバーセキュリティフレームワーク」(以下、NIST CSF)に基づいた「識別」機能の紹介に加え、パブリッククラウドのデファクトスタンダードである「Amazon Web Services」(以下、AWS)に移行することで「識別」機能のセキュリティ対策がどのように変わるのかについて解説した。

 第3回となる本稿は、NIST CSFで定義される5つの機能のうち、「防御」に分類されるセキュリティ対策について、AWS移行で得られるセキュリティメリットを解説する。

図1 NIST CSFによるセキュリティ機能の分類(出典:ソニービズネットワークス作成)

この連載について

本連載は、クラウドのセキュリティに不安を感じている中堅・中小企業に向けて、全5回にわたってクラウドのセキュリティメリットや注意点を紹介する。クラウド移行を考える際に参考にしてほしい。

筆者紹介:濱田一成 ソニービズネットワークス株式会社

【開発本部 インテグレーション部 クラウドインテグレーション課 開発グループ リーダー】

 2019年にソニービズネットワークス株式会社へ入社し、AWSエンジニアとして設計・構築業務に従事。AWSセキュリティを得意領域とし、ソニービズネットワークスのセキュリティコンピテンシー認定取得に貢献。2023年にソニーグループ初となる「2023 Japan AWS Ambassadors」に選出。



NIST CSFにおける情報セキュリティ対策の根幹

 NIST CSFにおける「防御」機能の役割は、「サービスを確実に提供するための保護対策を検討し、実施すること」だ。「防御」機能は情報セキュリティの三要素(機密性、完全性、可用性)に直接関わる部分であり、情報セキュリティ対策の根幹といえる。具体的には以下のサブカテゴリーに該当する対策が分類される。

  • アクセス制御: 物理的な資産と論理的な資産へのアクセスを正当な権限を持つユーザーやプロセス、デバイスに限定し、管理する
  • 意識向上およびトレーニング: 組織のメンバーおよびパートナーにサイバーセキュリティに関する意識教育やトレーニングを実施する
  • データセキュリティ: 情報を組織のリスク戦略に従って管理し、機密性や完全性、可用性を保護する
  • 情報を保護するプロセスおよび手順: セキュリティ対策の方針やプロセス、手順を維持管理し、利用する
  • 保守: 情報システムを構成している要素を手順に従って保守、修理する
  • 保守技術: システムと資産のセキュリティを管理することを目的にした技術的なソリューションを管理する

 「防御」機能における「アクセス制御」の例としては、ファイル共有システムを運用する際、ユーザーの所属部門や職位といった情報に基づいて閲覧できる領域を制限する、などが挙がる。また、ユーザー端末のIPアドレスによって接続できるネットワークを制御しているケースもあるかもしれない。

 「防御」機能における「データセキュリティ」に分類されるものには、定期的なバックアップや複数ディスクを組み合わせたレイド構成、重要なデータを喪失させない為の障害対策などがある。

 前回紹介した「識別」機能は、システムや人、資産、データ、役割を理解し、守るべき対象が何かを定義するものだった。それに対し、「防御」機能には「識別」で定義した守るべき対象を“実際に守るためのセキュリティ対策”がまとめられている。

オンプレミスにおいて「防御」機能は後回しにされがち

 情報セキュリティ対策の根幹を担う「防御」機能だが、これをオンプレミスでシステム運用する中堅・中小企業が徹底することは困難だ。「防御」機能のセキュリティ対策は領域によって規模が大きくなるからだ。

 「防御」機能の目的は以下の「情報セキュリティの三要素」を守ることにある。

  • 機密性(Confidentiality): 限られた人だけが情報に接触できること
  • 完全性(Integrity): 情報の改ざんから保護すること
  • 可用性(Availability): その情報をいつでも利用できること

 企業で情報システムを構成する際、多かれ少なかれ情報漏えい対策やデータベースの更新権限の制限、災害に備えてのバックアップなどを検討するだろう。突き詰めて考えるとこれらは全てシステムの機密性や完全性、可用性を守るために実施される。

 この三要素のうち、機密性や完全性はある程度技術や運用でカバーできるが、可用性への対策はさまざまなコストの増大に直結するため困難だ。例えば機器故障に備えようとした場合、各機器を複数そろえる必要がある。地震などの災害対策を検討する場合はデータセンターそのものを複数用意する必要がある。設備が変われば内部で使われる技術も複雑になり、運用には多くの人員が必要だ。

 これらを背景に、予算や人員などの制約が厳しい中堅・中小企業では自社のセキュリティ対策とビジネスミッションをてんびんにかけ、後者に注力しながら前者は後回しにされがちだ。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.