2023年4月20日,21日に、AWS Summit Tokyo 2023が4年ぶりにオフラインで開催されました。
私は4月21日に現地に出向き、セッションにもいくつか参加したため、セッションレポートを作成したいと思います。
AWS でゼロトラストを実現するためのアプローチ
アマゾン ウェブ サービス ジャパン合同会社
セキュリティ ソリューション アーキテクト
勝原 達也 氏
AWSでゼロトラストを実現するには以下の3点を意識する。
それぞれ詳しく見ていこうと思いますが、まずその前に、AWSでのゼロトラストとはなにかを説明します。
セッション内では以下のように説明がありました。
”データ保護のセキュリティ管理策を提供するためのコンセプトモデルとそれに関連する一連のメカニズム”
従来のネットワーク制御に依存せずに、デジタル資産を保護する仕組みのことを指しています。
セキュリティと聞くと、ネットワークで境界を置くことを考える方が多いのではないでしょうか。
例えば、境界の外側となるシステム外からのアクセスは、許可しているネットワークからのみ接続を許可をする。
その際、境界の内側となるシステム内のアクセスは、暗黙的に通信元を信頼しているため、接続元の制限がなく、システム内での水平移動しやすい場合があり、これが問題となることもあります。
一方で、アイデンティティによる境界を置くセキュリティは、AWS IAMサービスに代表される認証と認可によってアクセスを制御しています。
接続元のネットワークを意識せず、誰が、どこへのアクセスをしているかを制限してセキュリティを保ちます。
このネットワークでのセキュリティとアイデンティティのセキュリティを、片方ではなく、組み合わせることが必要となっています。
次に利用者のユースケースにフォーカスしていきます。リソースへのアクセスは主に以下のパターンに分かれます。
こちらはそれぞれ実現方法が異なるため、解決したい課題に焦点を当てて、対応を変えていくことが重要です
保護したいシステムやデータの特性をとらえて、ゼロトラストを実現させる対象として適切か判断することが重要です。
例えば、ゼロトラストのセキュリティを実現したとして、時間の経過やアップデートによる変化の対応が、労力に見合っているかどうかを検討する必要があります。
続いて、AWSのゼロトラストの達成を助けるという観点の、AWSのサービスが2つ紹介されました。
いずれも最近のサービスばかりで、個人的に詳細が把握できていなかったサービスのため、今回のセッションで詳細が聞けてよかったです。
以上、セッションレポートとなります。
今までゼロトラストと聞くと、ネットワークの境界を無くしていくセキュリティの在り方だと思っていました。
「ネットワーク境界に依存をしない」というニュアンスが正しいため、ゼロトラストについての認識を改めていくようにします。
また、最近公開されたサービスよってゼロトラストの達成がしやすくなるなど、今後もAWSでセキュリティを高めるために重要となっていくキーワードになりそうだという印象を受けました。
今回を機にゼロトラストという観点を、より意識した設計ができるようにしたいです。