第144号コラム:熊平 美香 監事(一般財団法人クマヒラセキュリティ財団 専務理事)
題:「クラウド時代のセキュリティの真実~AWS最新動向から見る現実解~」

昨年秋に、AWS(アマゾンウェブサービス)のJeff Barr氏を講師に招き、クラウド時代のセキュリティをテーマにセミナーを開催致しました。企業のセキュリティ担当者やセキュリティの専門家など全部で136名の方にお集まりいただきました。Jeff Barr氏は、技術的な専門性が高く、AWS に精通している一方で、対象者の専門性や興味・関心に合わせて、『言語』を変えて話すことができるAWS のエバンジェリストです。現在は、世界中を回り、AWS の競争優位性や特徴を、経営者や技術専門家に対して『言語』を使い分け、解説されているそうです。講演では、セキュリティの専門家の『言語』でお話し頂きました。

Jeff Barr氏の講演を聞いて一番驚いたのは、「安全性」を実現しながらも、アマゾンの「顧客中心」という企業方針が、クラウド・コンピューティングサービスにも生かされているという点です。アマゾンがこのサービスを企業に提供し始めたのは2006年ですが、初期設計段階からセキュリティを設計に組み入れていました。システムを使うユーザーが最初から独立した形で保護されるという安全性を実現することが、顧客にとって最重要課題であり、セキュリティを保証するためには、セキュリティを後付けにするのではなく、システム設計の初期段階から設計に組み入むことが不可欠であるという認識からです。

AWSにとって、最も重要なコンセプトは“PAY AS YOU GO”、つまり、使用した分だけ顧客が支払うということです。顧客は、プロセッサー、ストレージ、帯域について支払いをしますが、実際に使用するまでは支払いは発生しない、というのが原則です。そして、使用については全てアマゾン側が測定し、集約してアマゾン・ウエブサービスのアカウントの中に情報を保管します。顧客が使用した分だけ、使用後に支払う、という事を実現するために、かなりしっかりとした測定が行われています。

AWSセキュリティセンターでは、技術情報、ツール、規範ガイダンスへのリンクを提供しています。安全なクラウド・コンピューティングシステムを提供する上でのAWS哲学の概要と参考資料については、6ヶ月に1度更新される、セキュリティ白書の中に記載されています。
日本語の白書(2009年11月発行)については、以下のリンクから、http://awsmedia.s3.amazonaws.com/jp/jp_AWS_Security_Whitepaper.pdf
最新の英語の白書(2010年8月発行)については、以下のリンクからご覧いただけます。
http://media.amazonwebservices.com/pdf/AWS_Security_Whitepaper.pdf

AWSはまた、各種の認証取得にも取り組んでいます。AWSワシントンオフィスでは、他のデータセンターよりセキュリティの高い状況を維持するために調査を行い、継続的に認証取得を行う明確な方針を持っていて、最近、ISO27001を取得しました。

また、AWSは独立した監査法人と監査契約を結び、SAS70タイプⅡ監査を定期的に受けています。セキュリティにおいて何らかの問題が発生した時、どうやってそれを検知し、どう理解・把握するのか、お客さまにどうやってそれを通知し、どのような情報を公表するのか、問題が発生しないための予防策についても考えています。こうしたこと全てがSAS70タイプⅡ監査の中で6ヶ月ごとに審査されます。監査がいつ行われるかを事前に知らされずに、監査を受けることになるので、当然、通常のオペレーションが監査されるわけです。単に監査をパスすればいいのではなく、セキュリティを最重要視し、いつ監査を受けてもいいように運営しています。

物理的セキュリティの特色として、大規模なセキュリティセンターの存在があります。データセンターが外部からはわからないような場所にあり、住所も建物の写真も公表されていないので特定されることはありません。ビデオ監視カメラ、最新鋭の侵入検出システム、その他エレクトロニクスによる手段を用いて、専門のセキュリティスタッフが建物の入り口とその周辺両方において、物理的アクセスを厳密に管理しています。AWSの従業員に対しても作業を完了したらデータへのアクセス権を速やかに取り消します。AWS従業員によるデータセンターへの全ての物理的アクセスは記録され、定期的に監査されています。また、顧客データにアクセスする可能性のあるスタッフには綿密な身元調査を実施しています。

障害分離も重要な側面です。顧客のアプリケーションがあらゆる自然災害や人的な災害からも保護されるように設計されています。世界で4地域(米国に2つ、欧州に1つ、アジア太平洋地域に1つ)にデータセンターが分散されていて、どの地域のデータセンターで処理・保管を行うかは顧客の希望で選ぶことができます。それぞれのアベイラビリティゾーンは、一般的な都市地域内で物理的に分離されていて、地震や洪水での影響が同時に及ばないような場所が考慮されています。個別の無停電電源装置(UPS)やオンサイトのバックアップ生成施設に加え、さらにシングルポイントの障害の可能性を減らすために、個別に電力供給を行っています。

Jeff Barr氏の講演を聴き、クラウド・コンピューティングサービスにおいて、セキュリティは、競争優位性に繋がることを再認識し、柔軟性と安全性という相反する概念を共に実現しようとしているAWSの姿勢と具体的な取り組みに感銘を受けました。

【著作権は熊平氏に属します】