AWSのセキュリティカンファレンスで見たこと、聞いたこと、感じたこと
re:Inforceに参加した9人が語るセキュリティの目指すべき方向
2019年10月21日 07時00分更新
Amazon Web Services(AWS)ではラスベガスで開催する年次カンファレンス「re:Invent」だけでなく、いくつかのテーマに特化したカンファレンスも開催している。その1つが、セキュリティとコンプライアンスにフォーカスした学習型カンファレンス、「re:Inforce」だ。日本から参加したユーザー企業の代表者による振り返りのイベント「AWS re:Inforce 2019 re:Cap Seminar」の内容を元に、re:Inforceの概要と、AWSが目指すセキュリティのあり方を振り返ってみよう。
セキュリティは「すべての人の仕事」
まず最初にアマゾン ウェブ サービス ジャパンのシニアセキュリティソリューションアーキテクト、桐山隼人氏が、re:Inforceの概要と、基調講演でのキーメッセージを紹介した。
2019年6月25日、26日にボストンで開催されたこのカンファレンスには、初開催にもかかわらず8000人を超える参加者があったという。AWSのCISOを務めるステファン・シュミット氏による基調講演はYouTubeで公開されているが、中でも「ビジネスのレジリエンスと、GDPRに代表されるコンプライアンスの対立構造を解決させるアベイラビリティゾーン(AZ)のようなインフラが、AWSにはあること」「最後の砦として、顧客のデータすべてを暗号化していくこと」「DevSecOpsと言われるが、価値を生み出すOpsありきで考え、その中にDevもSecも自然に組み込んでいくこと」の3つが大きなメッセージだとした。
桐山氏はその上で、「セキュリティは今やすべての人の仕事。だから怖いものではないし、むしろ心配事や曖昧さを排除することでビジネスを安心して前進できるようにするドライバーである」という同社の姿勢を強調した。さらに「後手に回るのではなく『Be Proactive』に、問題が起きる前に先んじて対応していく姿勢を支援していく」とした。
人手に頼る監査からCompliance as a Codeへ
オンライン証券サービスを展開しているカブドットコム証券では、API公開に向けてシステムをAWSに移行するなど積極的に活用している。同社の石川陽一氏は、「GRC」(Governance, Risk, Compliance)に注目してre:Inforce 2019に参加したそうだ。
「システム監査の文脈でGRCの検討を続けていたが、正直、日本ではあまり浸透していない。ガバナンスは、J-SOX法が入ってきて内部統制が叫ばれた時期に、難しい言葉で考えられることが多かった。だがre:Inforceに行ってみて、その考え方を変えていかなければならないと思った」と述べた。
どのように変えるのか。「これまでGRCというと、ガバナンスだ、スタンダードだと取締役が偉そうに言ってくるイメージだったが、そうではない。継続的な改善を通じてレジリエントな組織を作り、継続的なコンプライアンスを実現するには人では無理で、機械でやっていかなければならない」と石川氏は述べ、Excelやチェックリストで○、×を付けていくのではなく、コードで表現し、自動化していく「Compliance as a Code」の考え方に強く共感したと振り返った。
「マルチアカウント環境は当たり前」でどう管理するかのヒントを
Speeeの荻原一平氏は「セキュリティを担保しつつ、開発者の負荷を減らし、プロダクトに開発できる環境を作りたい」という狙いで参加。re:inventに比べるとかなりコンパクトなre:Inforceは「セキュリティに特化しており、回るのにちょうどいいな」という印象だったという。
その荻原氏が注目したポイントの1つはマルチアカウント対応の強化だ。同社自身、AWS Organizationsを用いてアカウント管理基盤を構築中だが、「AWSのワークロードが大きくなると、社内の利用者も増えていく。マルチアカウント環境が当たり前になっていることを背景に、それをどう実現し、管理していくかのセッションが多かった」と振り返った。
関連して、地味だがけっこううれしいアップデートの情報を、ユースケースとともに得られることもre:Inforceの収穫だったという。「たとえば、IAMユーザーやRoleなどにタグが付けられるようになった上、Orgnizationsの機能でAWSアカウントにもタグを付けられるようになった。めちゃくちゃ地味だけれど、グループングできるようになって自動化が可能になり、すごくうれしい」(荻原氏)。同様に、Organizations SCPの強化で、さまざまな制限をよりきめ細かく設定できるようになったこともありがたいという。
「AWSでは日々新サービスやアップデートがあるけれど、セキュリティ関連は地味なものが多く、追いかけているつもりでも見落とすこともある。会場で話を聞くことで、そのキャッチアップができた」と現地に足を運んではじめて得られるメリットを振り返った。