セキュリティセミナーを開催しました！開催レポート

はじめに

近年クラウドの利活用が浸透し、その用途も広がってきています。そのような中でクラウド環境に対するセキュリティリスクも高まっており、サイバーマトリックスと共同で「今日から始める本気のクラウドセキュリティ」をテーマに、ウェビナーを開催するに至りました。

今回の記事ではウェビナーの内容や関連するセキュリティサービスについてご紹介したいと思います。

• こんなセキュリティの穴も？　サイバーマトリックスによる実際にあったセキュリティ事例紹介①
• こんなセキュリティの穴も？　サイバーマトリックスによる実際にあったセキュリティ事例紹介②
• セキュリティモデルは日々変化している
• スカイアーチネットワークスが提案するAWS環境下のセキュリティ対策は

こんなセキュリティの穴も？　サイバーマトリックスによる実際にあったセキュリティ事例紹介①

＜サイバーマトリックス 代表取締役 四柳勝利氏＞

ウェビナーの前半にはサイバーマトリックス 代表取締役の四柳氏が、AWS環境下における具体的なセキュリティ事例をお伝えしました。
まず一つが「Amazon S3」利用時に、設定ミスなどでセキュリティ上に問題が起きてしまった事例でした。「S3 Takeover」ですね。

Amazon S3はデータのバックアップなどに使われる、AWSの機能の一つです。多くの企業が利用しています。実は大手小売業のシステム上でもS3 Takeoverに関するリスクは発見されています。

　この事例は、S3に関連する設定の見直しを怠った結果引き起こされたものです。このようなセキュリティ事例を知った上で、プロセスの見直しを都度徹底していきましょう。

こんなセキュリティの穴も？　サイバーマトリックスによる実際にあったセキュリティ事例紹介②

もう一つ紹介されたのがWAF（Web Application Firewall）のバイパスです。従来のルールで脅威をブロックしてくれるWAFではありますが、それをすり抜けるルールを設定し、セキュリティリスクとなるのがWAFのバイパスです。

WAFをすでに設定していたとしても、破られることもあるという一例ですね。

　このような場合には、セキュリティ対策を一種類だけしているから安心するのではなく、多層防御がポイントとなります。セキュリティ対策の一つひとつはある目的に特化してその範囲を守るものです。完璧な対策は残念ながらありません。そのため多重に対策をとり、リスクを最小限に抑えることが重要なのです。

＜ウェビナー動画視聴はこちらから＞

セキュリティモデルは日々変化している

前半にはAWSの具体的な機能別に起こりうるセキュリティ事例をご紹介しましたが、セキュリティモデルは、SaaSサービスの利用や社内外を連携させるサービス等の利活用が進むと同時に変化しています。

例えば弊社の利用しているサービスは、一部ではありますが、上記のようなものがあります。非対面・非接触のコミュニケーションが原則となった今、外部とのコミュニケーションツールであるzoomやSlackなどは皆さんもお使いかもしれません。

　このように新しいサービスを自社のIT環境に組み入れる際、様々な視点でセキュリティ対策を見直し更新するのが求められます。

スカイアーチネットワークスが提案するAWS環境下のセキュリティ対策は

＜スカイアーチネットワークス 部長 松田昭穂＞

しかし、新しいサービスの利活用とセキュリティ対策の更新スピードを合わせていくのは非常に労力がかかります。

　そこで後半では、日頃から行うセキュリティチェックの方法をご紹介しました。それが「SKY-OPT（スカイオプト）」の導入です。直接的なセキュリティ対策ではありませんが、AWSのWell-Architected frameworkに基づくレビューを自動で行うため、クラウド環境全体のセキュリティを底上げしてくれるイメージです。SKY-OPTは、基本のサービスパックにお申し込みをいただくと、お申し込みいただいたアカウント全てに対してWell-Architected frameworkに基づき、システム設計全体にリスクがどの程度あるのかを報告する仕組みを実装しています。

＞AWSのWell-Architected frameworkについて詳しく見るhttps://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/index.ja.html

　クラウドは技術それ自体の進化スピードが早く、新しい機能が出るのも早い一方、セキュリティリスクも同じようなスピードで現れています。その背景があることを前提に、セキュリティを見直すサイクルや見直すポイントも当然、アップデートさせなければなりませんが、それがハードルになってしまってクラウドサービスの利活用が遅れるのは本末転倒です。

　セキュリティ対策を講じる際の考え方はいくつかあると思いますが、前半で解説された多層防御を個別のシステムごとに実施するのに加え、クラウド環境全体の見直しを自動で行い、人的・金銭的コストを最適に抑えながらIT環境全体の底上げを図るのも一つの手です。

　今回取り上げたAWSの事例はあくまで一例にすぎません。これを読んでいる皆さんがお使いのクラウド環境はそれぞれあると思うので、皆さんのお悩み、課題をぜひお聞かせください。

＜クラウドセキュリティに関する相談はこちらから＞

　スカイアーチネットワークスでは今後もクラウドに関するウェビナーを定期的に開催していきますのでぜひご応募ください。皆さんからのご参加をお待ちしております。