【AWS Summit Tokyo 2023 レポート】AWSでゼロトラストを実現するためのアプローチ

はじめに

2023年4月20日,21日に、AWS Summit Tokyo 2023が4年ぶりにオフラインで開催されました。
私は4月21日に現地に出向き、セッションにもいくつか参加したため、セッションレポートを作成したいと思います。

セッション名

AWS でゼロトラストを実現するためのアプローチ

スピーカー

アマゾン ウェブ サービス ジャパン合同会社
セキュリティ ソリューション アーキテクト
勝原 達也　氏

セッションレポート

AWSでゼロトラストを実現するには以下の３点を意識する。

• ネットワークとアイデンティティを組み合わせる
• ユースケースにフォーカス
• システムやデータの特性に応じて適用

それぞれ詳しく見ていこうと思いますが、まずその前に、AWSでのゼロトラストとはなにかを説明します。
セッション内では以下のように説明がありました。

”データ保護のセキュリティ管理策を提供するためのコンセプトモデルとそれに関連する一連のメカニズム”

従来のネットワーク制御に依存せずに、デジタル資産を保護する仕組みのことを指しています。

ネットワークとアイデンティティのセキュリティを組み合わせる

セキュリティと聞くと、ネットワークで境界を置くことを考える方が多いのではないでしょうか。
例えば、境界の外側となるシステム外からのアクセスは、許可しているネットワークからのみ接続を許可をする。
その際、境界の内側となるシステム内のアクセスは、暗黙的に通信元を信頼しているため、接続元の制限がなく、システム内での水平移動しやすい場合があり、これが問題となることもあります。

一方で、アイデンティティによる境界を置くセキュリティは、AWS IAMサービスに代表される認証と認可によってアクセスを制御しています。
接続元のネットワークを意識せず、誰が、どこへのアクセスをしているかを制限してセキュリティを保ちます。
このネットワークでのセキュリティとアイデンティティのセキュリティを、片方ではなく、組み合わせることが必要となっています。

ユースケースにフォーカス

次に利用者のユースケースにフォーカスしていきます。リソースへのアクセスは主に以下のパターンに分かれます。

• 人からアプリケーション
• マシン同士の接続
• IoTなどのデジタルトランスフォーメーション

こちらはそれぞれ実現方法が異なるため、解決したい課題に焦点を当てて、対応を変えていくことが重要です

システムやデータの特性に応じて適用

保護したいシステムやデータの特性をとらえて、ゼロトラストを実現させる対象として適切か判断することが重要です。
例えば、ゼロトラストのセキュリティを実現したとして、時間の経過やアップデートによる変化の対応が、労力に見合っているかどうかを検討する必要があります。
続いて、AWSのゼロトラストの達成を助けるという観点の、AWSのサービスが２つ紹介されました。

AWS Verified Access

• VPNレスで、企業のアプリケーションにアクセスが可能
• ユーザとデバイスベースのアクセス制御
• ポリシーやログの一元化を行い、セキュリティ運用をシンプルにする

Amazon VPC Lattice

• クロスアカウント、クロスVPCで接続を実現
• アクセスポリシーの一元化とIN/OUTによるトラフィック制御
• アプリケーションレイヤのプロトコルのルーティング

いずれも最近のサービスばかりで、個人的に詳細が把握できていなかったサービスのため、今回のセッションで詳細が聞けてよかったです。

まとめ

以上、セッションレポートとなります。
今までゼロトラストと聞くと、ネットワークの境界を無くしていくセキュリティの在り方だと思っていました。
「ネットワーク境界に依存をしない」というニュアンスが正しいため、ゼロトラストについての認識を改めていくようにします。
また、最近公開されたサービスよってゼロトラストの達成がしやすくなるなど、今後もAWSでセキュリティを高めるために重要となっていくキーワードになりそうだという印象を受けました。
今回を機にゼロトラストという観点を、より意識した設計ができるようにしたいです。